Chameleoni v maďarské informatice

Názvy školicího centra NetAcademia a Marcell Fóti byly použity pro nakonec neúspěšný počítačový podvod, jehož cílem bylo získat přístup k síti pešťské střední školy. Případ zdůrazňuje šíření počítačového zneužívání typu sociálního inženýrství v Maďarsku.

Gymnázium v ​​Pešti nedávno obdrželo e-mail, ve kterém odesílatel požádal školu, aby se „podívala na jeho počítačový systém“ a mimochodem vytvořila „jednoduchý přístup administrátora“, pro který také zadal konkrétní heslo. Podvodník podepsal Marcell Fóti, známého jako odborník na IT bezpečnost, jako převlek, a také se odkazoval na NetAcademia Training Center, které je také vedoucím instruktorem a vedoucím specialisty - takže převlek mohl být ještě uvěřitelnější. Naštěstí vedení střední školy mělo podezření, že něco není v pořádku, a tak kontaktoval NetAcademia, kde vyšla najevo pravda: školicí středisko se nikdy nezeptá - a ani nemůže - požádat o heslo organizaci, která je na něm nezávislá, ať už telefonicky nebo e -pošta.

Výše uvedený případ je dobrým příkladem skutečnosti, že tzv sociální inženýrství, jehož koncept shrnul Marcell Fóti takto: „Sociální inženýrství je založeno na využívání přirozené tendence lidí důvěřovat. Aby počítačový zločinec získal přístup k systémům IT, nevyužívá možných selhání nebo bezpečnostních chyb v hardwaru, softwaru nebo síti, ale slabých stránek lidské přirozenosti. “

I v tomto případě útok začíná výzkumem: hackeři získají všechny dostupné informace o společnosti (výroční zpráva, marketingové materiály, novinové články atd.) A poté zmapují strukturu organizace, vztahy s podřízenými, nároky , často sezení zaměstnanců a přátelství. „V této fázi se také stává, že útočník zřídí firmě uklízečku a v noci prohledá odpadky zaměstnanců, přečte poznámky, které nechal jako připomenutí, listuje materiály, které zbyly na stole.“ Říká Marcell Fóti.

Přístup, identifikace, podvod
Jelikož hacker ve většině případů předstírá, že je zaměstnancem nebo partnerem společnosti - zaměstnancem, manažerem nebo známým odborníkem v dané oblasti - v průběhu výzkumu musí zvládnout odborný žargon dané problematiky. znáte interní systémy a převezmete všechny prvky vaší firemní kultury, které můžete použít k tomu, abyste se stali důvěryhodnějšími.

Po fázi výzkumu následuje samotný skutečný útok, během kterého podvodník získá důvěru a podporu cílové osoby chytrým trikem nebo dobře vymyšlenou výmluvou. Kevin Mitnick, který byl v roce 5 propuštěn z pětiletého vězení, známého jako „průkopník“ v sociálním inženýrství, také tyto metody použil mimo jiné k získání přístupu k počítačovým systémům od společností Motorola a Nokia.

Povinné podezření
V Maďarsku byl příklad někoho, kdo získal přístupové kódy zaměstnance, který přistupoval k informacím o společnosti pomocí telefonního hovoru trvajícího několik minut. "Víme o případu, kdy hacker vystavením se správci společnosti telefonicky požádal zaměstnance o přihlášení do systému a změnu hesla na běžně dohodnutý kód," popsal další příklad Marcell Fóti. Podle odborníka je nejefektivnějším způsobem, jak se chránit, dodržování zásad podezření a správy hesel. Pokud nás například neznámý „zaměstnanec“ telefonicky požádá o změnu hesla, požádáme vás o telefonní číslo vaší společnosti, přičemž uvedeme naši dostupnost a slíbíme zavolat zpět. To ponechává čas na kontrolu vaší identity ve firemním telefonním seznamu a dohledání informací, které poskytnete.

Podle Fótiho lze tyto typy podvodů nejúčinněji odfiltrovat pomocí bezpečnostní politiky zavedené ve společnostech a organizacích, která podrobně upravuje otázky zabezpečení dat a která přesně popisuje přísná pravidla týkající se hesel v současných situacích. Politiky je však třeba nejen rozvíjet, ale také pravidelně učit, aby byly v boji proti kyberzločincům skutečně úspěšné.