Pszichológiai manipuláció (informatika)

A Wikipédiából, a szabad enciklopédiából

A pszichológiai manipuláció (social engineering)[1] az informatikában olyan megtévesztő viselkedés, amely arra irányul, hogy a megtévesztett személy az egyébként nem jogosult megtévesztő számára bizalmas adatokat adjon át, vagy lehetőséget biztosítson a rendszerbe történő belépésre.

Akik pszichológiai manipuláció útján akarnak hozzájutni információkhoz, általában az emberi természet két aspektusát igyekeznek kihasználni. Az első: a legtöbb ember segítőkész és igyekszik segíteni azoknak, akik segítséget kérnek. A másik pedig az, hogy az emberek általában konfliktuskerülők.

Máshogy megfogalmazva: A social engineering (pszichológiai manipuláció) olyan kifejezés, ami a nem technológiai jellegű behatolásokra vonatkozik, hanem elsősorban az emberi interakciókra támaszkodik. Lényege, hogy más emberek becsapásával feltörhetjük az alapvédelemmel ellátott rendszereket.

A pszichológiai manipuláció folyamata[szerkesztés]

Egy gyakorlott manipulátor megkeresi a kiszemelt szervezet felhasználói támogatását azzal, hogy ő új alkalmazott, aki segítséget kér a vállalati számítógépes rendszerbe való bejelentkezéshez. Ezt megtéve fontos információkhoz juthat a hálózat felépítését, a használt rendszereket illetően. A következő telefonhíváskor már olyan belső információkra tud hivatkozni, amiket első hívásakor megszerzett, ezek alkalmasak arra, hogy bennfentes felhasználó látszatát keltsék. Ez azért működik, mert az emberek általában szívesen segítenek a környezetet ismerő, de tapasztalatlan kollégáknak. Ha ez a módszer mégsem működne, akkor agresszívebb módszerhez folyamodik, tudva, hogy az emberek többsége konfliktuskerülő. Valamilyen cégvezetőre, főnökre hivatkozik és hátrányokat helyez kilátásba. A pszichológiai manipuláció folyamata általában egymást követő kis lépesekből áll. Minden egyes lépésben megszerzett információ további lépésekhez biztosítja az előfeltételeket, egészen addig, míg a manipulátor el nem jut a megcélzott bizalmas információ megszerzéséig.

Adathalászat[szerkesztés]

(Angol elnevezéssel phishing, kiejtve fising)

A pszichológiai manipuláció azon esete, amikor látszólag megbízható partnerként elektronikus levélben vagy honlapon próbálnak bizalmas információhoz jutni. A támadó által megszerezni kívánt információk a legkülönbözőbbek lehetnek pl.: felhasználónév, jelszó, hitelkártyaszám, bankszámla adatok stb. Az üzenet arra hívja fel a felhasználót, hogy az jelentkezzen be valamilyen ismert honlaphoz (PayPal, eBay, valamilyen ismert bank stb.) nagyon hasonlító honlapra, ami a manipulátor által üzemeltetett lap, itt a feltett kérdések lehetőséget adnak fontos információk megszerzésére. Valójában komoly szervezetek, bankok soha nem kérnek bizalmas adatokat elektronikus levélben.

Az adathalászat (phishing) speciális esetei:

szigonyozás

(angolul: spear phishing) sok száz vagy sok ezer, véletlenszerűen elküldött elektronikus levél helyett egy jól definiált célcsoportot választanak ki, pl.: egy konkrét bank ügyfeleit, vagy egy webáruház vevőkörét stb.

bálnavadászat

(angolul: whaling) a szigonyozáshoz hasonlóan egy célcsoportra fókuszál, de ennek a célcsoportnak a tagjai elsősorban a megcélzott szervezet vezető rétegéből kerülnek ki.

Telefonos adathalászat[szerkesztés]

A telefonos adathalászat (angolul: Vishing, a VoIP technológia nyomán) lényege, hogy a manipulátor valamilyen hangátviteli technológiát használ. Eredményességét biztosítja, hogy az emberek többsége bízik a telefonos hálózatokban, nem feltételezi, hogy nem hiteles helyről hangüzenetet kaphat. A hívó általában hitelkártya információt, esetleg más személyiség lopásra alkalmas információt igyekszik ezzel a módszerrel megszerezni. A telefonos adathalászat történhet úgy, hogy a felhasználót elektronikus levéllel keresik meg, és arra kérik, hogy hívja fel az ott megadott telefonszámot, de gyakori a hangüzenet is. Ez ellen a támadás ellen úgy lehet védekezni, hogy mielőtt felhívjuk a megadott telefon számot, leellenőrizzük azt valamilyen megbízható forrásból (telefonkönyv, a megnevezett cég honlapja stb.).

Farmolás[szerkesztés]

A farmolás (angolul: pharming) a pszichológiai manipuláció adathalászathoz nagyon hasonló módszere. A módszer lényege, hogy a megtévesztett felhasználót egy hamis, de a megbízhatóhoz nagyon hasonlító honlapra irányítják. Míg az adathalászatkor a megtévesztett felhasználótól aktív cselekményt várnak el (el kell küldenie a kért adatait) addig a farmolás esetén felhasználót tudta nélkül irányítják a hamis weblapra. Ezt DNS-mérgezéssel (az URL-ek átírása a szerver domain név táblájában), vagy a URL-ek és IP-címek összerendelésének a konkrét gép hosts fájljában történő kéretlen megváltoztatásával érik el. Az itt feltett kérdések már lehetőséget adnak a fontos információk megszerzésére.

Információ ellesése[szerkesztés]

Az információ ellesése (angolul: shoulder surfing) esetén a támadó nem kerül közvetlen kapcsolatba a megtámadottal. Ehelyett közvetlenül megfigyeli, amikor az érzékeny adatait beviszi a rendszerbe a beviteli űrlap vagy a billentyűzet megfigyelésével. A leggyakoribb célba vett információk a PIN kódok; beléptető rendszerek, kaputelefonok kódjai; hívókártyák, hitelkártyák száma stb. Legprimitívebb esete, amikor a megtámadott felhasználó mögé állva figyelik meg annak válla felett (innen az angol név) az általa begépelt jelszót vagy PIN kódot. Nagyon gyakori pénzkiadó automatáknál, hogy valamilyen szerkezet, távcső vagy kamera felhasználásával igyekeznek megszerezni a PIN kódot. A védekezés a kódok bevitelekor: eltakarni a kezünket, ezt gyakran eleve felszerelt védőlemezek segítik, de léteznek olyan számbillentyűzetek, amelyek változtatják a számok helyét a panelen. Ezek használata több időt igényel, de jól védenek az elleséses adatszerzés ellen.

Jegyzetek[szerkesztés]

  1. Angol–magyar elektronikus informatikai szótár. Iványi Antal (főszerk.) people.inf.elte.hu (Hozzáférés: 2022. december 20.) (pdf) arch

Források[szerkesztés]

Kiegészítő információk[szerkesztés]

Social Engineering szolgáltatás és biztonságtudatossági oktatás