Pszichológiai manipuláció (informatika)

A Wikipédiából, a szabad enciklopédiából

A pszichológiai manipuláció (social engineering) [1] amikor egy jogosultsággal rendelkező felhasználó jogosulatlan személy számára bizalmas adatokat ad át, vagy lehetőséget biztosít a rendszerbe történő belépésre a másik személy megtévesztő viselkedése miatt.

Akik pszichológiai manipuláció útján akarnak hozzájutni információkhoz, általában az emberi természet két aspektusát igyekeznek kihasználni. Az első: a legtöbb ember segítőkész és igyekszik segíteni azoknak, akik segítséget kérnek. A másik pedig az, hogy az emberek általában konfliktuskerülők.

Máshogy megfogalmazva: A social engineering ( pszichológiai manipuláció ) olyan kifejezés, ami a nem technológiai jellegű behatolásokra vonatkozik, mely elsősorban az emberi interakciókra támaszkodik. Lényege, hogy más emberek becsapásával feltörhetjük az alapvédelemmel ellátott rendszereket. Egy hasznos eszköz: SET(Social Engineering Toolkit), BackTrack5.

A pszichológiai manipuláció folyamata[szerkesztés | forrásszöveg szerkesztése]

Egy gyakorlott manipulátor felhívja a kiszemelt szervezet felhasználói támogatását azzal, hogy ő új alkalmazott, aki segítséget kér a vállalati számítógépes rendszerbe való bejelentkezéshez. Ezt megtéve fontos információkhoz juthat a hálózat felépítését, a használt rendszereket illetően. A következő telefonhíváskor már olyan belső információkra tud hivatkozni, amiket első hívásakor megszerzett, ezek alkalmasak arra, hogy bennfentes felhasználó látszatát keltsék. Ez azért működik, mert az emberek általában szívesen segítenek a környezetet ismerő, de tapasztalatlan kollégáknak. Ha ez a módszer mégsem működne, akkor agresszívebb módszerhez folyamodik, tudva, hogy az emberek többsége konfliktuskerülő. Valamilyen cégvezetőre, főnökre hivatkozik és hátrányokat helyez kilátásba. A pszichológiai manipuláció folyamata általában egymást követő kis lépesekből áll. Minden egyes lépésben megszerzett információ további lépésekhez biztosítja az előfeltételeket, egészen addig, míg a manipulátor el nem jut a megcélzott bizalmas információ megszerzéséig.

Adathalászat[szerkesztés | forrásszöveg szerkesztése]

(Angol elnevezéssel phishing, kiejtve fising)

A pszichológiai manipuláció azon esete, amikor látszólag megbízható partnerként elektronikus levélben vagy honlapon próbálnak bizalmas információhoz jutni. A támadó által megszerezni kívánt információk a legkülönbözőbbek lehetnek pl.: felhasználónév, jelszó, hitelkártyaszám, bankszámla adatok stb. Az üzenet arra hívja fel a felhasználót, hogy az jelentkezzen be valamilyen ismert honlaphoz (PayPal, eBay, valamilyen ismert bank, stb.) nagyon hasonlító honlapra, ami a manipulátor által üzemeltetett lap, itt a feltett kérdések lehetőséget adnak fontos információk megszerzésére. Valójában komoly szervezetek, bankok soha nem kérnek bizalmas adatokat elektronikus levélben.

Az adathalászat (phishing) speciális esetei:

szigonyozás[szerkesztés | forrásszöveg szerkesztése]

(angolul: spear phishing) amikor sok száz vagy sok ezer, véletlenszerűen elküldött elektronikus levél helyett egy jól definiált célcsoportot választanak ki, pl.: egy konkrét bank ügyfeleit, vagy egy webáruház vevőkörét stb.

bálnavadászat[szerkesztés | forrásszöveg szerkesztése]

(angolul: whaling) ami a szigonyozáshoz hasonlóan egy célcsoportra fókuszál, de ennek a célcsoportnak a tagjai elsősorban a megcélzott szervezet vezető rétegéből kerülnek ki.

Telefonos adathalászat[szerkesztés | forrásszöveg szerkesztése]

A telefonos adathalászat (angolul: Vishing) a VoIP technológia nyomán) lényege, hogy a manipulátor valamilyen hangátviteli technológiát használ. Eredményességét biztosítja, hogy az emberek többsége bízik a telefonos hálózatokban, nem feltételezi, hogy nem hiteles helyről hangüzenetet kaphat. A hívó általában hitelkártya információt esetleg más személyiség lopásra alkalmas információt igyekszik ezzel a módszerrel megszerezni. A telefonos adathalászat történhet úgy, hogy a felhasználót elektronikus levéllel keresik meg és arra kérik, hogy hívja fel az ott megadott telefonszámot, de gyakori a hangüzenet is. Ez ellen a támadás ellen úgy lehet védekezni, hogy mielőtt felhívjuk a megadott telefon számot leellenőrizzük azt valamilyen megbízható forrásból (telefonkönyv, a megnevezett cég honlapja stb.)

Farmolás[szerkesztés | forrásszöveg szerkesztése]

A farmolás (angolul: pharming) a pszichológiai manipuláció adathalászathoz nagyon hasonló módszere. A módszer lényege, hogy a megtévesztett felhasználót egy hamis, de a megbízhatóhoz nagyon hasonlító honlapra irányítják. Míg az adathalászatkor a megtévesztett felhasználótól aktív cselekményt várnak el (el kell küldenie a kért adatait) addig a farmolás esetén felhasználót tudta nélkül irányítják a hamis weblapra. Ezt DNS-mérgezéssel (az URL-ek átírása a szerver domain név táblájában), vagy a URL-ek és IP-címek összerendelésének a konkrét gép hosts fájljában történő kéretlen megváltoztatásával érik el. Az itt feltett kérdések már lehetőséget adnak a fontos információk megszerzésére.

Információ ellesése[szerkesztés | forrásszöveg szerkesztése]

Az információ ellesése (angolul: shoulder surfing) esetén a támadó nem kerül közvetlen kapcsolatba a megtámadottal. Ehelyett közvetlenül megfigyeli, amikor az érzékeny adatait beviszi a rendszerbe a beviteli űrlap vagy a billentyűzet megfigyelésével. A leggyakoribb célba vett információk a PIN kódok; beléptető rendszerek, kaputelefonok kódjai; hívókártyák, hitelkártyák száma stb. Legprimitívebb esete, amikor a megtámadott felhasználó mögé állva figyelik meg annak válla felett (innen az angol név) az általa begépelt jelszót vagy PIN kódot. Nagyon gyakori pénzkiadó automatáknál, hogy valamilyen szerkezet, távcső vagy kamera felhasználásával igyekeznek megszerezni a PIN kódot. A védekezés a kódok bevitelekor: eltakarni a kezünket, ezt gyakran eleve felszerelt védőlemezek segítik, de léteznek olyan szám-billentyűzetek amelyek változtatják a számok helyet a panelen. Ezek használata több időt igényel, de jól védenek a elleséses adatszerzés ellen.

Jegyzetek[szerkesztés | forrásszöveg szerkesztése]

Források[szerkesztés | forrásszöveg szerkesztése]