Ilyen esetekre milliónyi példa van – a görögök által Trója kapui előtt hagyott híres falótól a modern időkben a Kevin Mitnick által elkövetett visszaélésekig vagy a Fehér Ház kabinetfőnöke, John Podesta emailjeinek 2016-os meghekkeléséig. Ezen példák közös pontja a digitális világban végrehajtott pszichológiai manipuláció. A Kaspersky Lab a pszichológiai manipulációt “olyan manipulációs technika”-ként írja le, amely „az emberi hibát kihasználva jut magánjellegű információkhoz, hozzáféréshez vagy értékekhez”. E meghatározás elsőre talán kissé homályosnak tűnik, mégis jól összefoglalja a pszichológiai manipulációs támadások célját.
A hekkerek dolga még sosem volt ilyen könnyű – csak nyilvánosan elérhető információkra van szükségük, melyekhez általában a közösségi médiában vagy egy pár száz forintos pólóval, néhány pendrive-val és elbűvölő modorral jutnak hozzá. Sok szervezet és cég készségesen tesz eleget a kérésnek és nyitja meg szerverszobáit az „internetes szolgáltatójától érkezett IT-s srácnak”. A pszichológiai manipuláció hatásossága valójában egyszerűségében rejlik, és abban, hogy mennyire könnyű használni: egy ügyes hekker az adott hálózat, szervezet, cég leggyengébb pontját fogja megtámadni – ami pedig nem maga a rendszer, hanem az ott dolgozó emberek. Sokkal nehezebb egy védett PC-t vagy laptopot feltörni (de legalábbis időigényesebb), mint egy kis merészséggel és szerencsével néhány percre hozzáférést nyerni a recepciós PC-jéhez.
Mit tehetünk hát annak érdekében, hogy jobban védjük magunkat az ilyesféle támadások ellen? Három szabályt mutatunk be, amelyek a legtöbb olyan helyzetre érvényesek, amikor pszichológiai manipulációs támadás zajlik. Kövesd ezeket a tanácsokat, hogy jobban megvédhesd nemcsak saját személyes, de céged vagy szervezeted adatait is.
Ne siess, szánd rá az időt!
Ha egy emailben sürgősen arra kérnek, hogy változtasd meg az adataidat, mivel lehetséges, hogy feltörték a fiókodat, vagy esetleg egy gyanúsan karizmatikus látogató érkezik az irodába – ne feledd, hogy ne siess, és ragaszkodj az álláspontodhoz. A legtöbb sikeres hekkelés valamiféle manipulációval él, legyen az a célszemély érzelmeinek manipulációja, vagy az átgondolás nélküli gyors cselekvésre való kényszerítés, nyomásgyakorlás.
Van, hogy az adathalászó emailek olyan körmönfontak, hogy nagyon nehéz megállapítani hamisságukat. Mindenesetre vannak olyan lépések, amelyekkel ellenőrizheted az üzenet tartalmának bizonyos részleteit. A kritikus hozzáállás, különösen, amikor időkorlátos kérés érkezik, segít „nyomás alatt” is tiszta fejjel gondolkodni, és valóban megvédhet attól, hogy a számítógéped veszélyes rosszindulatú programokkal fertőződjön meg.
Amikor pedig egy túlságosan magabiztos látogató érkezik az irodába, akinek „villámgyorsan csak egy nyomtatásra van szüksége”, sose engedd meg, hogy a pendrive-ját bármely irodai gépbe csatlakoztassa, és sose téveszd szem elől. Egy vírusos pendrive-ról indított sikeres zsarolóprogramos támadás után a cégednek egy kisebb vagyonba kerülhet az adatok visszanyerése.
Ellenőrzés, ellenőrzés, ellenőrzés
Bármilyen egyszerűen is hangzik, az információ ellenőrzése gyakran megmentőd lehet, és sikeresen mérsékelhet egy pszichológiai manipulációs kibertámadást. Ez még nem jelenti azt, hogy az ellenőrzés önmagában bombabiztos módszere a védekezésnek, hiszen láttunk már olyat is, hogy maga az ellenőrzési folyamat is lehet a támadás célpontja, hiábavalóvá téve azt! Ugyanakkor az ellenőrzési folyamat az eszköztárad egyik legfontosabb, és talán leghatásosabb eleme: türelmed és higgadtságod, hogy a szükséges és gyakran jogilag is előírt ellenőrzéseket végrehajtsd, végül rendkívül értékesnek bizonyulhat adataid védelmében.
A magukat hivatalos személynek, az internetszolgáltatód munkatársának vagy az irodai hűtés-fűtésrendszer „ügyeletes technikusának” kiadó hekkereknek nehéz dolguk lesz, ha bizonyítaniuk kell állítólagos személyazonosságukat. Gyakran már a hivatalos irodai telefonszám felhívása is elhárítja a veszélyt, és az illető kiviharzik az irodádból, „szakmaiatlan viselkedésedet” vagy akár még rosszabbakat is hangoztatva.
Légy azonban óvatos: nem ritka, hogy a hekkerek párban vagy csoportosan dolgoznak. Így amikor felajánlják, hogy a vezetőjük vagy főnökük révén ellenőrizd személyazonosságukat, akiknek ŐK adják meg a számát, mindig légy éber és szkeptikus, mert lehet, hogy a társukkal beszélsz, aki pontosan azt a szerepet játssza, amit el akarnak hitetni veled.
A kiberhigiénia a hagyományos személyes higiéniához hasonlóan egyszerű napi rutinokból áll, melyek helyes használata minimalizálja a kibertérből érkező „fertőzések” veszélyét. Ugyanakkor a szigorú kiberhigiénia elősegítheti bizonyos kiberveszélyek elleni immunitás kialakulását is.
Nem tévedés a személyes higiénével való párhuzam – a kettő alapjai szinte megegyeznek. Az egyik ilyen alapvetés, hogy mindenki maga felel a saját személyes higiénájáért, és amikor szigorú (kiber)higiéniát gyakorol, akkor a cégét, szervezetét, vagy akár nemzetét is sokkal biztonságosabbá és ellenállóbbá teszi a különböző veszélyekkel szemben.
Mi tehát a kiberhigiéniában a „kézmosás” megfelelője, vagyis mi az a kisléptékű művelet, amit időnk és erőforrásaink használatával mindannyian elvégezhetünk, hogy ellenállóbbakká váljunk az (online) vírusokkal szemben?
Míg vannak általános technikák, amelyeket mindenki alkalmazhat, meg kell jegyeznünk, hogy minden cég, intézmény, szervezet más és más: az adatkezelésük és adatátvitelük, az általuk használt hardverek, a humán jellemzőik, mint például a rendszergazda jogai, a hozzáférés szintjei, csak hogy néhányat említsünk, mind egyediek, és együtt határozzák meg egy erős kiberhigiéniai megközelítés elemeit.
Általánosságban a „kézmosásnak” megfelelő hétköznapi eszköz lehet egy ajánlott, megfelelően konfigurált, a szükséges kiterjesztésekkel ellátott és az adatvédelmet szem előtt tartó böngésző (mint például a Mozilla Firefox). Ezen túlmenően mindenki megteheti, hogy minden eszközén frissítve legyen a szoftver, és az eszköz ki legyen kapcsolva, ha hosszabb ideig nincs használatban.
Kerüld el a gyanús weboldalakat, (amelyekre gyakran a böngésző is felhívja a figyelmet), használj VPN-t, és ne hagyd őrizetlenül a laptopodat nyilvános helyen (mint például egy kávézóban) – ez csak néhány jótanács a sok közül, amelyeket megfogadva azonnal lépéseket tehetsz biztonságod érdekében. Érdemes azonban megjegyezni, hogy míg az erős kiberhigiénia elháríthat néhány fenyegetést, már korántsem elegendő, ha összetett, célzott kibertámadás éri a cégedet vagy szervezetedet. Ilyen esetekben a megfelelő biztonságpolitika, biztonsági házirend és egy vészhelyzeti terv megléte, kiberbiztonsági szakemberek jelenléte döntő fontosságú lehet.
Bónusz tipp: mindig kövesd a céged (vagy szervezeted) biztonsági házirendjét – és győződj meg róla, hogy mindenki így tesz!
Ahogyan korábban már említettük, belső szabályzatok és gyakorlatok megléte hatalmas különbséget jelenthet aközött, hogy egy kiberesemény teljesen megbénítja a céget, vagy a munkafolyamat minimális megzavarása mellett el lehet azt hárítani. Egy erős kiberbiztonsági szabályzatnak tartalmaznia kell a fizikai biztonságot, mint például az USB/pendrive-szabályt, az úgynevezett „tiszta-íróasztal” szabályt, az eseményjelentési űrlapokat és sok más egyebet is.
Az igazi probléma azonban az, hogy bár derék dolog a szabályzatok és eljárások megléte, a tényleges alkalmazásuk tízszer olyan nehéznek bizonyulhat. Munkatársaid, sőt néha a vezetőség meggyőzése is alapvető előfeltétele annak, hogy ezeket a szabályzatokat a gyakorlatba át lehessen ültetni, ami bizony sokszor kemény küzdelmet jelent. Lesznek olyanok, akiknek nehezére esik meglátni az „incidens elleni” megelőző eljárás értékét, és sokan fognak arra hivatkozni, hogy „sosem történt még ilyesmi velünk” vagy hogy „nem vagyunk annyira fontosak, hogy célponttá váljunk és meghekkeljenek bennünket”.
Ha a környezeted nem (vagy nem igazán) értékeli az adatokat, neked kell meggyőznöd a társaidat, hogy mindenki adata értékes. A kiberbűnözők ritkán céloznak meg jól védett hozzáférési pontokat: tudd, hogy egy egyszerű pendrive-os nyomtatás elegendő, és máris ezüsttálcán kínálod a hozzáférést, az adataid pedig veszélyben vannak.