Jelenlegi hely

Hackerpszichológia – amikor a biztonságod kerül veszélybe

csak később, vagy egyáltalán nem veszi észre, hogy átverték, lóvá tették

Tévedés lenne azt hinni, hogy a pszichológiai manipuláció (ezt hívják az információbiztonság területén social engineering-nek) csak a technikai eszközök megjelenésével lett része az életünknek.

„A vállalatok dollármilliókat költenek tűzfalakra és biztonságos távoli elérést nyújtó eszközökre, de ez mind kidobott pénz, mert ezek egyike se veszi figyelembe a leggyengébb szemet a biztonsági láncban: az embert, aki használja, igazgatja és működteti a számítógép rendszereket.”

A fenti sorok az egyik legismertebb hackertől, Kevin Mitnicktől származnak, aki világosan rámutatott arra – s ez kerül jelen írásom fókuszába – hogy miközben a technika folyamatosan fejlődik, az informatikai rendszereket és az ezekhez kapcsolódó eszközöket (így a Te laptopodat, számítógépedet, okostelefonodat s egyéb okoseszközeidet) megannyi újítás próbálja biztonságosabbá és védettebbé tenni, addig az emberek adat- és információbiztonság-tudatossága nem – vagy csak nagyon lassan – fejlődik. Ez pedig megannyi lehetőséget kínál azoknak a hackereknek, akik jobban értenek az emberi lélek sebezhetőségéhez és az ember befolyásolásához, mint a technikai eszközök gyenge pontjaihoz.

A trójai faló és társai

Tévedés lenne azt hinni, hogy a pszichológiai manipuláció (ezt hívják az információbiztonság területén social engineering-nek) csak a technikai eszközök megjelenésével lett része az életünknek. Gondoljunk csak többek között a trójai faló esetére, Thomas Mann Egy szélhámos vallomásai című műve címszereplőjére, vagy Kaposy Miklós Umbulda című könyvének szélhámosokat, ügyeskedőket bemutató történeteire. Bár a leírások meglehetősen heterogén képet mutatnak, mindegyikben fel lehet fedezni legalább egy közös pontot: az egyik fél olyan rafinált, agyafúrt, megtévesztő, manipulatív technikát használ, aminek a révén rendszerint fizikai erőszak nélkül meggyőzi igazáról a másik felet, aki így az ő szándéka szerint cselekszik, s csak később, vagy egyáltalán nem veszi észre, hogy átverték, lóvá tették.

A szakirodalomban megkülönböztetjük a műszaki alapon és a humán alapon történő social engineering módszereket. Az előbbibe tartozik a farmolás (az igazira nagyon hasonlító hamis weboldal, ami adatokat kér be a felhasználótól), az adathalászat (szigonyozás és bálnavadászat – célszemélyek adatainak illetéktelen megszerzése), a telefonos adathalászat, a hamis bannerek és reklámok, a trójai programok, a billentyűzet-naplózó alkalmazások, olyan informatikai eszközök (pl.: pendrive) elhagyása, amit, ha számítógéphez csatlakoztatnak, arra nem kívánatos kémprogramot telepít. Az utóbbi időben már ide soroljuk a hamis híreket közvetítő online oldalakat, melyek akár társadalmi szinten is képesek manipulációra. Az utóbbinak része az információ ellesése, a kukatúrás (szemetes tartalmának átnézése), a más jogosultságának felhasználása, a szoros követés, a kitalált szituáció, a különböző – személyközi, vagy csoportközi kommunikációhoz köthető – társas interakciók során alkalmazott manipulációs technikák.

A támadások elszenvedőinek jellemzői

Oroszi Eszter 2017-es tanulmányában négy csoportot állított fel, s nevezte meg azokat az egyénre jellemző fontosabb tényezőket, amelyek, nagyobb valószínűséggel tesznek valakit  a social engineering támadások elszenvedőjévé.

Személyes jellemzők

Munkahelyi szituációk

Pillanatnyi lelki állapot

Stresszhelyzet

segítőkész

új munkatárs

fáradtság

konfliktuskerülés

naivitás

napi rutin

sietség, kapkodás

meggondolatlanság

nyitott, barátságos

problémamegoldás

figyelmetlenség

reflex

kíváncsiság, érdeklődés

ismeretlenekkel való együttműködés

túlterheltség

leblokkolás

befolyásolhatóság

elégedetlenség

szabadság érzése

hárítás

lustaság

lefizethetőség

betegség, enerváltság

kompromisszumkeresés

hanyagság, nemtörődömség

megzsarolhatóság

ünnepi lelki állapotba kerülés

együttműködés

rajongás

bosszúállás

dühösség érzése

irányíthatóság

 

Jogos lehet a kérdés: van-e egyáltalán olyan ember, akire a fenti leírás egyáltalán nem illik? Természetesen nincs. Ugyanakkor a social engineering támadások sikere azon is múlik, hogy az adott csoporton belül hány tulajdonság jellemző az egyénre. Nézzük a munkahelyi szituációkat. Adva van egy új kolléga, aki nemrég lépett be a céghez. Természetes, hogy szeretne imponálni a főnökének, s szeretne jó, kollegiális kapcsolatot kialakítani a munkatársaival. Ha őt egy social engineer azzal az ürüggyel keresi meg, hogy a cég másik telephelyén indítanak egy új projektet, amiben nagyon számítanak az új kolléga speciális szakértelmére, akkor az egyén könnyen „elcsábul”, szívesen találkozik személyesen egy munkaebéden a támadóval, s magától értetődően megannyi adatot szolgáltat magáról és az új munkakörnyezetéről is. Ezeknek az adatoknak a feldolgozása nemcsak az egyént, de a munkakörnyezetét is sebezhetővé teszi, s komolyabb pszichológiai manipulációs támadásokat alapozhat meg.

Az online csalások jellemzői

Bár a törvény nem nevesíti a social engineeringet, a Büntető Törvénykönyv a csalás fogalmát definiálja, s azt írja róla, hogy „Aki jogtalan haszonszerzés végett mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz, csalást követ el”. Kutatóként lehetőségem volt megvizsgálni az országban 2013 és 2016 között elkövetett online csalásokat, s elemezni azok fontosabb tulajdonságait. A következő megállapításokat fogalmaztam meg a Belügyi Szemlében megjelent tanulmányomban:

  1. Erős pozitív korreláció mutatható ki a digitális eszközök (okostelefon, laptop) elterjedése, a rajtuk futó technológiák (3G, 4G, wifi) és alkalmazások (Facebook, online hirdetés) használata, valamint a digitális/elektronikus térben elkövetett csalások száma között.
  2. Az elkövetési módszerek egy része nem új, mivel a megvalósítás módja megtalálható a digitális kor előtti időszakban is – igaz, akkor még a szemtől szemben, vagy a nyomtatott médiában megjelenő (apró-) hirdetések révén tévesztették meg a sértetteket az elkövetők.
  3. A digitális korban elkövetett csalások felderítésénél nehézséget okoz, hogy az esetek egyre nagyobb részénél a) a valódi elkövetők háttérben maradnak (strómanokat használnak fel erre a célra); vagy b) az elkövetők külföldi állampolgárok és/vagy külföldön vannak.
  4. Az emberek hiszékenysége nem feltétlenül függ az iskolai végzettségüktől és az életkoruktól.
  5. A sértettek általános pszichológiai jellemzői (például nyereségvágy, kapzsiság, manipulálhatóság, érzelmi gyengeség) nem a digitális korban alakultak ki, de a digitális kor hozzájárult bizonyos tulajdonságaik felerősödéséhez.

Mi védhet meg minket a pszichológiai manipulációs támadásoktól?

Egyáltalán hogyan alakítható ki biztonságtudatos magatartás, hogyan lehet felismerni a manipulátorokat, mit lehet tenni ellenük?

Hibás vállalati gyakorlat az, amikor ugyan rendelkezésre állnak a belső adat- és információbiztonsági szabályzatok, de azokat (1) vagy nem tartatják be, vagy (2) nem, vagy (3) nem megfelelő módon ellenőrzik a gyakorlatban, hogy azt a munkavállalók nem csak megtanulták és sikeresen kitöltötték a vizsgatesztet, de ténylegesen aszerint is járnak el a munkahelyen, a munkakörnyezetben. Az adat- és információbiztonságra figyelmet fordító szervezeteknél, ahol a biztonsági kultúra a vállalati kultúra szerves és markáns részét képezi, a munkavállalók számára rendszeresen tartanak olyan (tovább)képzéseket, amelyek elősegítik, hogy biztonságtudatosabbak legyenek (legalább a munkahelyen, a munkahellyel összefüggő szituációkban, a munkahelyi informatikai eszközök használatában). Ezek – jobb esetben – nem csupán tantermi előadások formájában valósulnak meg, de részét képezik egyebek mellett az interaktív kiscsoportos foglalkozások, az információbiztonsági szituációs auditok (amikor a gyanútlan munkavállaló viselkedését, reakcióit vizsgálják egy modellezett helyzetben), az esetmegbeszélések.

Az adatok korában felértékelődtek a rólunk, családunkról, munkahelyünkről szóló adatok. Nem lehet, és nem is szabad állandó félelemben élni, mert az megmérgezi az emberi kapcsolatokat, s nem segíti saját boldog, kiegyensúlyozott életünket (vagy nehezíti ennek megteremtését és fenntartását). Ugyanakkor ha szokatlan viselkedést tapasztalatunk általunk nem, vagy csak felszínesen ismert személyektől, feltehetjük magunknak a kérdést: mi a célja vele? S ha ezen egy kicsit elgondolkozunk, máris egy komoly lépést tettünk személyes információbiztonságunk irányába.

Dr. Kollár Csaba PhD

kibernetikus

 

Share

Ez is érdekelhet

Ön gondolkodott már a szülői posztolás kockázatairól?  A gyerekekről való meggondolatlan posztolás súlyosan sértheti a magánélethez való jogukat, és sajnos gyakran alapot adhat...

Miért van ez így, milyen pszichológiai okra vezethető vissza, hogy a klímakatasztrófa miatti aggodalom nem képes megv

Milyen lehetőségeket kínál a krízis a pedagógia számára és milyen feladatokat kell megoldani a korszerűbb oktatás meg

Olyasmit is képesek vagyunk megszokni, ami józan ésszel elfogadhatatlan.

Csak a legutóbbi évtizedekben „vették észre” az etológusok, hogy talán a macska-ember kapcsolatnak is lehetnek figyelemre- (és kutatásra) méltó rejtelmei.

2020 márciusának idusán egyik reggel arra ébredtem, hogy a világ megváltozott,  a magyarországi esélyegyenlőség szűk