„A vállalatok dollármilliókat költenek tűzfalakra és biztonságos távoli elérést nyújtó eszközökre, de ez mind kidobott pénz, mert ezek egyike se veszi figyelembe a leggyengébb szemet a biztonsági láncban: az embert, aki használja, igazgatja és működteti a számítógép rendszereket.”

A fenti sorok az egyik legismertebb hackertől, Kevin Mitnicktől származnak, aki világosan rámutatott arra – s ez kerül jelen írásom fókuszába – hogy miközben a technika folyamatosan fejlődik, az informatikai rendszereket és az ezekhez kapcsolódó eszközöket (így a Te laptopodat, számítógépedet, okostelefonodat s egyéb okoseszközeidet) megannyi újítás próbálja biztonságosabbá és védettebbé tenni, addig az emberek adat- és információbiztonság-tudatossága nem – vagy csak nagyon lassan – fejlődik. Ez pedig megannyi lehetőséget kínál azoknak a hackereknek, akik jobban értenek az emberi lélek sebezhetőségéhez és az ember befolyásolásához, mint a technikai eszközök gyenge pontjaihoz.

A trójai faló és társai

Tévedés lenne azt hinni, hogy a pszichológiai manipuláció (ezt hívják az információbiztonság területén social engineering-nek) csak a technikai eszközök megjelenésével lett része az életünknek. Gondoljunk csak többek között a trójai faló esetére, Thomas Mann Egy szélhámos vallomásai című műve címszereplőjére, vagy Kaposy Miklós Umbulda című könyvének szélhámosokat, ügyeskedőket bemutató történeteire. Bár a leírások meglehetősen heterogén képet mutatnak, mindegyikben fel lehet fedezni legalább egy közös pontot: az egyik fél olyan rafinált, agyafúrt, megtévesztő, manipulatív technikát használ, aminek a révén rendszerint fizikai erőszak nélkül meggyőzi igazáról a másik felet, aki így az ő szándéka szerint cselekszik, s csak később, vagy egyáltalán nem veszi észre, hogy átverték, lóvá tették.

A szakirodalomban megkülönböztetjük a műszaki alapon és a humán alapon történő social engineering módszereket. Az előbbibe tartozik a farmolás (az igazira nagyon hasonlító hamis weboldal, ami adatokat kér be a felhasználótól), az adathalászat (szigonyozás és bálnavadászat – célszemélyek adatainak illetéktelen megszerzése), a telefonos adathalászat, a hamis bannerek és reklámok, a trójai programok, a billentyűzet-naplózó alkalmazások, olyan informatikai eszközök (pl.: pendrive) elhagyása, amit, ha számítógéphez csatlakoztatnak, arra nem kívánatos kémprogramot telepít. Az utóbbi időben már ide soroljuk a hamis híreket közvetítő online oldalakat, melyek akár társadalmi szinten is képesek manipulációra. Az utóbbinak része az információ ellesése, a kukatúrás (szemetes tartalmának átnézése), a más jogosultságának felhasználása, a szoros követés, a kitalált szituáció, a különböző – személyközi, vagy csoportközi kommunikációhoz köthető – társas interakciók során alkalmazott manipulációs technikák.

A támadások elszenvedőinek jellemzői

Oroszi Eszter 2017-es tanulmányában négy csoportot állított fel, s nevezte meg azokat az egyénre jellemző fontosabb tényezőket, amelyek, nagyobb valószínűséggel tesznek valakit  a social engineering támadások elszenvedőjévé.

Jogos lehet a kérdés: van-e egyáltalán olyan ember, akire a fenti leírás egyáltalán nem illik? Természetesen nincs. Ugyanakkor a social engineering támadások sikere azon is múlik, hogy az adott csoporton belül hány tulajdonság jellemző az egyénre. Nézzük a munkahelyi szituációkat. Adva van egy új kolléga, aki nemrég lépett be a céghez. Természetes, hogy szeretne imponálni a főnökének, s szeretne jó, kollegiális kapcsolatot kialakítani a munkatársaival. Ha őt egy social engineer azzal az ürüggyel keresi meg, hogy a cég másik telephelyén indítanak egy új projektet, amiben nagyon számítanak az új kolléga speciális szakértelmére, akkor az egyén könnyen „elcsábul”, szívesen találkozik személyesen egy munkaebéden a támadóval, s magától értetődően megannyi adatot szolgáltat magáról és az új munkakörnyezetéről is. Ezeknek az adatoknak a feldolgozása nemcsak az egyént, de a munkakörnyezetét is sebezhetővé teszi, s komolyabb pszichológiai manipulációs támadásokat alapozhat meg.

Az online csalások jellemzői

Bár a törvény nem nevesíti a social engineeringet, a Büntető Törvénykönyv a csalás fogalmát definiálja, s azt írja róla, hogy „Aki jogtalan haszonszerzés végett mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz, csalást követ el”. Kutatóként lehetőségem volt megvizsgálni az országban 2013 és 2016 között elkövetett online csalásokat, s elemezni azok fontosabb tulajdonságait. A következő megállapításokat fogalmaztam meg a Belügyi Szemlében megjelent tanulmányomban:

1. Erős pozitív korreláció mutatható ki a digitális eszközök (okostelefon, laptop) elterjedése, a rajtuk futó technológiák (3G, 4G, wifi) és alkalmazások (Facebook, online hirdetés) használata, valamint a digitális/elektronikus térben elkövetett csalások száma között.
2. Az elkövetési módszerek egy része nem új, mivel a megvalósítás módja megtalálható a digitális kor előtti időszakban is – igaz, akkor még a szemtől szemben, vagy a nyomtatott médiában megjelenő (apró-) hirdetések révén tévesztették meg a sértetteket az elkövetők.
3. A digitális korban elkövetett csalások felderítésénél nehézséget okoz, hogy az esetek egyre nagyobb részénél a) a valódi elkövetők háttérben maradnak (strómanokat használnak fel erre a célra); vagy b) az elkövetők külföldi állampolgárok és/vagy külföldön vannak.
4. Az emberek hiszékenysége nem feltétlenül függ az iskolai végzettségüktől és az életkoruktól.
5. A sértettek általános pszichológiai jellemzői (például nyereségvágy, kapzsiság, manipulálhatóság, érzelmi gyengeség) nem a digitális korban alakultak ki, de a digitális kor hozzájárult bizonyos tulajdonságaik felerősödéséhez.

Mi védhet meg minket a pszichológiai manipulációs támadásoktól?

Egyáltalán hogyan alakítható ki biztonságtudatos magatartás, hogyan lehet felismerni a manipulátorokat, mit lehet tenni ellenük?

Hibás vállalati gyakorlat az, amikor ugyan rendelkezésre állnak a belső adat- és információbiztonsági szabályzatok, de azokat (1) vagy nem tartatják be, vagy (2) nem, vagy (3) nem megfelelő módon ellenőrzik a gyakorlatban, hogy azt a munkavállalók nem csak megtanulták és sikeresen kitöltötték a vizsgatesztet, de ténylegesen aszerint is járnak el a munkahelyen, a munkakörnyezetben. Az adat- és információbiztonságra figyelmet fordító szervezeteknél, ahol a biztonsági kultúra a vállalati kultúra szerves és markáns részét képezi, a munkavállalók számára rendszeresen tartanak olyan (tovább)képzéseket, amelyek elősegítik, hogy biztonságtudatosabbak legyenek (legalább a munkahelyen, a munkahellyel összefüggő szituációkban, a munkahelyi informatikai eszközök használatában). Ezek – jobb esetben – nem csupán tantermi előadások formájában valósulnak meg, de részét képezik egyebek mellett az interaktív kiscsoportos foglalkozások, az információbiztonsági szituációs auditok (amikor a gyanútlan munkavállaló viselkedését, reakcióit vizsgálják egy modellezett helyzetben), az esetmegbeszélések.

Az adatok korában felértékelődtek a rólunk, családunkról, munkahelyünkről szóló adatok. Nem lehet, és nem is szabad állandó félelemben élni, mert az megmérgezi az emberi kapcsolatokat, s nem segíti saját boldog, kiegyensúlyozott életünket (vagy nehezíti ennek megteremtését és fenntartását). Ugyanakkor ha szokatlan viselkedést tapasztalatunk általunk nem, vagy csak felszínesen ismert személyektől, feltehetjük magunknak a kérdést: mi a célja vele? S ha ezen egy kicsit elgondolkozunk, máris egy komoly lépést tettünk személyes információbiztonságunk irányába.

Dr. Kollár Csaba PhD

kibernetikus