Az információs rendszerek menedzserei és ellenőrei nemzetközi szakmai szervezetének (ISACA) friss felmérése szerint a megkérdezettek 52 százaléka a legnagyobb biztonsági veszélyt jelenleg a felhasználót támadó, úgynevezett social engineeringben látja. A módszer hatékonyságát bizonyítja, hogy ezzel sikerült a közelmúltban hackereknek megszerezniük az amerikai nemzetbiztonsági szolgálat kilencezer, illetve az FBI 22 ezer alkalmazottjának elérhetőségi adatait. A cégek megfelelő belső szabályozással és a munkatársak oktatásával kivédhetik a megtévesztésre, becsapásra épülő támadások jelentős részét, az átlagembereknek viszont nagyon résen kell lenniük, nehogy egy ártatlannak tűnő kérdezősködés után eltűnjön a pénz a bankszámlánkról.
Csokiért információt
Habár sokaknak evidenciának tűnik, hogy a munkatársak védik a vállalati rendszerek jelszavait, ez meglehetősen csalóka biztonságérzetet kelt, ugyanis sokkoló történetek kerekedhetnek ki egy-egy manipulációs próbálkozásból. Az egyik információtechnológiai biztonsággal foglalkozó vállalat például csokoládét kínált fel egy híres pénzügyi negyedben dolgozóknak a céges informatikai rendszerbe való belépési jelszavukért cserébe. Szinte hihetetlen, de a megkérdezettek 70 százaléka kiadta a céges jelszavát egy szelet édességért. Lengyel Csaba, a Hunguard Kft. szakmai igazgatója szerint sokan úgy gondolják, csak a jelszó kevés ahhoz, hogy feltörjék felhasználói fiókjukat. Azt azonban senki nem tudhatja, hogy a támadó korábban milyen információk és adatok birtokába jutott. A célszemélyek gyakran olyan alkalmazottak, akik nem feltétlenül ismerik az információk értékét; például külsős munkatársak, gyártók, beszállítók, kiszolgáló területeken dolgozó munkatársak. „Ez esetben a probléma igazi forrása az, hogy a támadónak kezdetben elég egy alacsony szintű hozzáférés, amivel később bővíteni tudja saját felhasználói jogait, ami pedig még fontosabb, hogy akár hónapokon keresztül lophat vagy változtathat meg adatokat.
A vállalati információk megszerzésének másik módja az alkalmazottak nem megfelelő jelszóválasztási szokásainak kihasználásából ered. Jellemzően mindössze a felhasználók negyede használ valamilyen, a legbiztonságosabbnak számító, különleges karaktereket is tartalmazó jelszavakat. Egy csak számokból álló jelszó feltöréséhez egy gyakorlott hackernek alig öt percre van szüksége, a csak betűkből álló jelszavak öt-hat nap alatt megfejthetőek, a betűk és számok kombinációjából álló jelszó kitalálása viszont már hónapokba telhet. A legjobb megoldás, ha számokat, kis- és nagybetűket, valamint speciális karaktereket is tartalmaz a jelszó; ugyanis ezek feltörési ideje akár száz években is mérhető.
Nemcsak a kiadott jelszó, de a lezáratlan számítógépek is kockázatot rejtenek: nagy szervezetek esetében meglepően sikeres módszer az úgynevezett piggybacking technika, amink során a hackerek magukat munkatársnak, esetleg karbantartónak vagy takarítónak kiadva jutnak be a vállalat irodáiba. A helyszínen már ellenőrzés nélkül, szabadon hozzáférhetnek a magukra hagyott, nem lezárt terminálokhoz, laptopokhoz. Ilyenkor a legnagyobb károkat nem a gépek és adathordozók ellopása okozza, hanem az azokon tárolt adatok és információk eltulajdonítása, megváltoztatása.
Bombabiztos azonosítás
A jelszavas azonosítást egyébként napjainkban egyre kevésbé tartják biztonságosnak. Az ilyen jellegű bejelentkezésnél a teljes hitelesítési folyamat olyan dolgon alapul, amit csak a felhasználó ismer. Ezt a dolgot azonban el lehet lopni, tehát megszerezhetik mások. Éppen ezért célszerű egyéb azonosítási formákat is megvizsgálni, és kombinálni azokat, amelyek a legegyszerűbben és leghatékonyabban használhatók együtt. Ezzel sajnos bonyolultabbá válik a felhasználók dolga az azonosításkor, azonban megfelelő szemlélettel egyszerűsíthető a többtényezős hitelesítés. Ez, ahogyan a név is mutatja, több személyazonosság-forrást kombinál a hozzáférés eszközeként. A NetIQ szakértői szerint ideális esetben ezek a források különböző típusúak. Ilyen forrás lehet valami, amit csak mi tudunk, például egy PIN-kód; valami, amit birtoklunk, például egy kulcskártya vagy egy token; illetve valami, ami a mi saját egyedi azonosítónk, például az ujjlenyomatunk, retinánk vagy a hangunk. Két vagy három ilyen forrás használatával jelentősen csökkenthető az illetéktelen behatolás kockázata. Így ha például a világ másik pontján ül a kiberbűnöző, akkor hiába tudja ellopni a felhasználó azonosítóját és jelszavát, ha nem tudja megszerezni mellé az illető saját tokenjét vagy ujjlenyomatát. A módszer terjedéséhez az is hozzájárul, hogy egyre szélesebb körben és egyre több eszközben jelennek meg a beépített biometrikus azonosítók. Mivel számos számítógépben és okostelefonban megtalálható az ujjlenyomat-leolvasó, a vállalatok – de magánszemélyek is – már egy ideje bevezethették volna a többfaktoros azonosítást, mindössze eddig nem tartották fontosnak.
Mint a legtöbb új technológia vagy megközelítés megjelenésénél, itt is megfigyelhető ellenállás. Egyesek például nem akarnak olyan módszert bevezetni, amely bonyolultabbá teszi a feladatokat. Sok helyen az egyszerű használatot egyenlőnek tekintik a hatékonysággal, és erről nem szívesen mondanak le, még a biztonság kedvéért sem. Továbbá a teljes többfaktoros azonosítás kihasználásához telepíteni és optimalizálni kell egy hozzáférési rendszert. Ugyanis ha külön kell kezelni az egyes azonosítási rendszereket, az komoly terhet ró az informatikai szakemberekre, ezért a cégeknek érdemes olyan megoldást keresniük, amelyen keresztül egyszerre felügyelhető minden felület.
Egy a jelszónk
Mindezzel ellentétben sok felhasználó még mindig csak egy jelszót használ az összes fiókjához. A felhasználók számítógépes hozzáértését vizsgáló Kaspersky Lab internetbiztonsági cég megállapította, hogy a felmérésbe vontaknak csak 38 százaléka hoz létre erős jelszavakat minden egyes fiókhoz, míg hétből egy (14 százalék) felhasználó ugyanazt a jelszót használja az összes fiókjához. Ők azt kockáztatják, hogy több fiókjukból egyszerre lopjanak el adatokat. A kockázati szint nem sokkal alacsonyabb azoknál, akik csak néhány jelszót használnak sok fiókhoz (36 százalék) és azok számára sem, akik ugyanannak a jelszónak a különféle változatait használják (12 százalék). Tovább bonyolítja a helyzetet, hogy a cég egy másik felmérése szerint tíz felhasználó közül egy olyan jelszót használ, amely kevesebb mint nyolc karakter hosszúságú, míg 12 százalékuk meg sem próbálja bonyolultabbá tenni jelszavát, például nagybetűk, számok, kisbetűk és írásjelek kombinálásával, vagy más hasonló egyszerű trükkökkel. Még jobban rontja a helyzetet, hogy a felhasználók könnyen hozzáférhető vagy nem biztonságos helyen tárolják jelszavukat. A válaszadók több mint fele elismerte, hogy papíron, telefonon, számítógépen lévő szöveges fájlban vagy böngészőjükben tárolja jelszavait. Mi több, amikor a böngésző felajánlja a jelszó mentését, harmaduk kész ezt elfogadni, az eszközük felett esetlegesen ellenőrzést szerző kiberbűnözők és tisztességtelen emberek kezére játszva a bizalmas információt.
Ez a gondatlan hozzáállás a jelszavakkal kapcsolatban azzal magyarázható, hogy sok felhasználó meg van győződve: nem tárol bizalmas információt a számítógépén. A válaszadók több mint negyede hiszi ezt, pedig a jelszavak és felhasználónevek önmagukban is a kiberbűnözők kedvenc célpontjai. Ráadásul egy nemrégiben készült másik felmérés azt állapította meg, hogy a felhasználók csaknem kétharmada inkább felfedné jelszavát, mintsem hogy fehérnemű nélkül járjon-keljen. E hozzáállás riasztó következményeként a megkérdezettek negyedének fiókját törték fel tavaly.
A jelszó körüli bonyodalmakat már a fizetési szolgáltatók is érzékelték. A MasterCard bankkártyatársaság fogyasztói felméréséből például kiderül, hogy a vásárlók több mint fele gyakran nem emlékszik egy-egy fontos jelszóra, és ezek visszaállításával tíz percnél is hosszabb időt tölt el. Ennek következtében a felhasználók több mint egyharmada hagyja félbe az internetes vásárlást, tízből hatan pedig azért nem tudják megvenni a kiszemelt terméket, mert a jelszó visszaállításával eltöltött percek miatt kifutnak abból az időkeretből, amit a webshop – biztonsági okokból – a vásárlásra meghatározott. A kutatás arra is rámutat, hogy a fogyasztók több mint fele szeretné, ha a jelszavakat valami sokkal kényelmesebb, de ugyanazt a biztonsági szintet és egyszerűséget nyújtó azonosítási módszer váltaná fel. A MasterCard egy nemrégiben bejelentett innovációval igyekszik a problémát kezelni. Az Identity Check névre hallgató megoldás többek közt egyszeri SMS-jelszót és biometrikus fizetést alkalmaz. Így akár jelszavak megadása nélkül, az ujjlenyomatunkkal vagy a pillantásunkkal is vásárolhatunk online.
Pszichológiai manipuláció
A social engineering kifejezést magyarul leginkább pszichológiai manipulációval, megtévesztéssel, becsapással lehet visszaadni. Lényege, hogy a jogosulatlan hackerek a jogosultsággal rendelkező felhasználóktól olyan információkat – jellemzően jelszavakat, regisztrációs-bejelentkezési adatokat – csalnak ki, amelyek birtokában hozzáférést szereznek információtechnológiai rendszerekhez, azaz a technika direkt támadása nélkül jutnak el a kívánt adatokhoz annak érdekében, hogy azokat megszerezzék vagy módosítsák. Akik pszichológiai manipuláció útján akarnak hozzájutni információkhoz, általában az emberi természet több aspektusát igyekeznek kihasználni. Ilyen, hogy a legtöbb ember segítőkész és igyekszik segíteni azoknak, akik segítséget kérnek – ehhez azonban hiszékenységnek is párosulnia kell. Az is egyengeti a hackerek útját, hogy az emberek általában konfliktuskerülők, s még ha gyanakodnak is, nem szívesen mondanak ellent vagy szállnak vitába egy kellő határozottsággal fellépő, megnyerő csalóval.