Gyermekek a pszichológiai manipulátorok hálójában - Dr. Kollár Csaba cikke
Az emberi természet „kikódolói”- akcióban a social engineer
Azokat a hackereket, akik az informatikai és programozói technikák mellett és néha helyett már humán alapú technikákat is használnak, gyakran social engineer- nek hívják. A social engineer-ek tisztában vannak a pszichológia, a csoportlélektan és a kommunikáció gyakorlati oldalaival, kiválóan ismerik az emberi természetet, s azt is, hogy melyek azok a mechanizmusok, amiknek a segítségével az emberek átverhetőek, illetve hogyan lehet az egyébként titkos/intim információkat megszerezni rábeszéléssel, csőbehúzással, szélhámossággal.
A cikk folytatásában a social engineer-ek ún. "bálnavadász"- felsővezetők adatainak ellopására irányuló akciójának részleteiről, annak működéséről,a gyerekek behálózásáról, a fontos adatok ellopásáról és az egész jelenség megelőzéséről, megoldásáról lehet olvasni.
Emberi tulajdonságok, amit kihasználnak
Szinte valamennyi, a fejlett világ országaiban lakó emberre igaz, hogy szereti a kényelmet, gyakran figyelmetlen, felszínes, rendszerint segítőkész. Az is igaz, hogy könnyen befolyásolható, s egyszerű módszerekkel hiszékennyé és naivvá tehető. S végül, az is igaz, hogy a korábban őt ért sérelmek miatt egy részük – ha rövid ideig is, de – bosszúálló. Az új technikai eszközökés mobilalkalmazások rohamos elterjedéséta fiatalabbak, különösen a Z és az alfa generáció tagjainál életkorából adódóan is a meggondolatlanság és a megfontolatlanság jellemzi.
Adathalászat, „bálnavadászat”- célkeresztben a gyerek- a neten
A social engineer -eket számos feladattal bízhatják meg, többek között ipari kémkedéssel, rendszerek feltörésével, jelszavak megszerzésével, illetéktelen behatolással, adathalászattal, személyek titkos információinak levadászásával, kapcsolati hálójuk feltérképezésével.
Az adathalászat (phishing) lényege, hogy a gyanútlan felhasználót SMS-ben, telefonon, e-mailben, azonnali üzenetben, vagy reklámbanner segítségével olyan hamis weboldalra hívják meg, ahol megadja a belépési adatait (belépési név, jelszó). Az adathalászat speciális formája a bálnavadászat (whaling), amelynek korábban a vállalat közép- és felsővezetői és közvetlen munkatársai voltak a célcsoportja. Az utóbbi néhány évben többek között a vezetővel egy háztartásban élő fiatalabb gyereke/gyerekei is célponttá váltak.
A vezetőt – még ha jelenleg a többségük nem is kellően információbiztonság-tudatos – a munkahelyén több olyan információbiztonsági előírás és szabályzat próbálja védeni, aminek a célja az eredményes humán és informatikai alapú social engineer –ing támadások számának a minimalizálása.
A gyerek online behálózása és a körmönfont előkészítés
Az otthoni környezet azonban sokkal veszélyesebb.
A vezetők egy része a Facebook - oldalán megosztja a családról készített képeket, megnevezi, s bejelöli a családtagjait, megosztja a gyereke sikeres versenyszerepléséről készített képeket. A „bálnavadász” rövid idő alatt ki tudja deríteni, hogy a vezetőnek a gyermeke hány éves, milyen iskolába jár, s ha van a gyereknek saját Facebook- profilja, akkor többek között azt is, hogy mi a kedvenc időtöltése, milyen zenéket hallgat, milyen filmeket szeret, mit sportol, melyik csapatnak drukkol, mely osztálytársait szereti, s kiket nem, hova és kikkel jár szórakozni, mi akedvenc helye. Miután a gyereket a social engineer ismerősnek jelöli, s az visszajelöli, elkezdődhet a beszélgetés.
A támadás és a megoldás
A téma gyakorlatilag bármi lehet, a lényeg, hogy a gyerek számára az új ismerőse még szimpatikusabb legyen, akinek – különösen kamaszkorúaknál – hasonlóan elfoglaltak és „önzőek” a szülei. A kapcsolatuk elmélyül, s a vezető gyereke óhatatlanul is elmondja a családi titkokat. A social engineer feladata a „bálnavadászat”, tehát a vezető titkos adatait tartalmazó eszközökhöz történő hozzáférés. Könnyen adódhat olyan szituáció, amikor a gyerek a szülője gépéhez ül, s kíváncsiságból egy csatolt fájlként megküldött kémprogramot telepít a szülő céges számítógépére. A gyermek így akaratán kívül válik a vállalat céges adatainak „halászává”, kiszolgáltatójává.
A megoldás a vezető információbiztonság-tudatosságának a fejlesztése pl. coachinggal, családi szinten a bizalmi légkör megteremtése, illetve a céges számítógéphez történő hozzáférés kategorikus megtiltása valamennyi családtagnak.
írta:
Kollár Csaba
egyetemi adjunktus, Szent István Egyetem Gazdaság- és Társadalomtudományi Kar
oktató, Nemzeti Közszolgálati Egyetem Katonai Műszaki Doktori iskola
fotók: Nemzetközi Gyermekmentő Egyesület fotótár