Segítség, meghackeltek! – Mit tehetünk a virtuális támadások ellen?
Segítség, meghackeltek! – Mit tehetünk a virtuális támadások ellen?
A 2000-es évek elejéig a számítógépes vírusok komoly és látványos károkat tudtak okozni. Néhány agresszívabb típus hetekre megbénította a rendszereket esetleg fizikai károkat is okozott a gép túlterhelésével. Mára a védekezések fejlettebbek, a vírusok pedig alattomosabban támadnak. A hatalmas károk maradtak, de elsőre nehezebb észrevenni a problémát. Kell védekeznünk a hackertámadások és virtuális veszélyek ellen? Igen, még akkor is, ha elsőre nem tűnik egyértelműnek az óvintézkedések haszna.
“Túl kicsi vagyok ahhoz, hogy megtámadjanak”
Amikor valakinek kiberbiztonsági szolgáltatást kínálnak, akkor gyakran azzal utasítja el a szolgáltatást: a cége egyszerűen túl kicsi ahhoz, hogy a hackerek látókörébe kerüljön. Sajnos ez egyáltalán nem igaz. Sokszor éppen a legkisebb szolgáltatók válnak áldozattá, pont azért, mert ők kevésbé őrzik szigorúan a rendszereiket.
A hackereket nem csak óriási célok vezérelhetik
Az internetes csalók ma már csak ritka és speciális esetekben törekszenek a közvetlen károkozásra. A látványos támadások valóban inkább a nagyobb gazdasági szereplőket érik, de sajnos a sok kicsi sokra megy. Az egyszerűbb internetes lopások is komoly bajt okoznak, legfeljebb nem közvetlenül az elszenvedőnek.
Az egyik leggyakoribb támadási motiváció például az adatlopás. A hackerek sokszor nem személyes- vagy bankkártyaadatokra hajtanak. Nem ritkán csak a felhasználónév-jelszó párosokat lopják el az adott oldalról. Egy ilyen lista még egy viszonylag kisebb webáruház esetében is tartalmazhat legalább párszáz tételt, például e-mail cím és jelszó kombinációkat.
Az ilyen listáknak értéke van a feketepiacon. Egy egyszerű program képes lehet például arra, hogy a felhasználó-jelszó párosokat sorra kipróbálja más oldalakon is, mondjuk az adott kombinációval megpróbáljon bejelentkezni a Netflix vagy más szolgáltatást oldalán. Mivel a felhasználók egy része sok helyen használja ugyanazt a jelszót, jó esély van rá, hogy listán található valamelyik páros működik az adott oldalon – így a csalók legalább addig ingyen nézhetik a filmeket, amíg valakinek fel nem tűnik a turpisság.
A feltört fiókok adatait adják-veszik. Bár ez elsőre nem a megtámadott oldal problémájának látszik, ha kiderül, honnan származnak ezek a listák, az komoly erkölcsi károkat okozhat. Valójában tehát senki nincsen biztonságban: minden egyes rendszer a csalók célpontjává válhat.
Ki kerülhet komolyabban célkeresztbe?
A weboldalak, adattárolók, levelező rendszerek feltörése mögött többféle motiváció állhat. Ezek közül talán a legártatlanabb az úgynevezett “coder kid” (kódoló gyerek) jelenség. Ilyenkor a hacker igazából csak kalandvágyból lép be a védett területre, “körülnéz”, esetleg rögzít néhány adatot, de alapvetően csak annyi a célja, hogy levadászhassa a trófeát, elmondhassa, hogy betört egy újabb helyre.
Az ilyen támadások mögött gyakran kamasz gyerekek állnak – innen a coder kid kifejezés. Ezek az esetek sokszor észrevétlenek maradnak, ritkábban a hacker valamilyen üzenetet hagy, például elküld néhány olyan adatot a céges e-mail címre, amelyekből következtetni lehet arra, hogy valaki járt “odabent”. Egy-egy ilyen támadás csak annyit jelent: lépni kell, hogy a nagyobb gikszereket elkerüljük.
A nagyobb látogatottságú oldalak, blogok sokszor politikai aktivisták áldozataivá válnak. Korábban viszonylag gyakori jelenség volt, hogy szélsőséges csoportok “elfoglaltak” egy-egy komolyabb weblapot és a saját tartalmukat, mondjuk valamilyen politikai üzenetet tettek közé az adott felületen.
Mára gyakoribb lett a gazdasági célú eltérítés. Előfordul az is, hogy hackerek eltérítenek bizonyos (általában ritkán ellenőrzött) weblapokat és a saját oldalukra irányítják annak forgalmát. A felhasználó ilyenkor például azt tapasztalhatja, hogy a megszokott honlap helyett hirtelen egy erotikus hirdetéseket tartalmazó site-on vagy valamilyen reklámfelületen találja magát. Ez a felület sokszor eltűnik, ha a felhasználó újra beírja az oldal címét vagy frissíti a weblapot. Sokan ilyenkor nyugtázzák, hogy talán elírták a webcímet, ezért történhetett a “baleset”.
A kiberbűnözők gyakran szó szerint aprópénzből gazdagondnak meg
Az ilyen támadások célja sokszor a reklámbevételek növelése – így sok látogatót vonzhatnak valamilyen weblapra így drágábban adhatják el az ott található reklámhelyeket.
A fentiekhez hasonló csalások szinte a “csínytevés” kategóriájába tartoznak, inkább bosszantóak, mint károsak – de ha ilyesmit tapasztalunk, nem árt felkészülni. Az apróbb próbálkozások komolyabb biztonsági rést jelentenek, ebből pedig nagyobb baj lehet.
Fizetős támadások, social engineering
Az említett “nagyobb baj” kisebbik változatát talán a számítógépes “túszejtések” jelentik. Ilyenkor a hacker megakadályozza, hogy valaki hozzáférjen a saját rendszerében tárolt adatokhoz. Az illető általában egy zsaroló levelet kap, amelyben pénzt követelnek tőle, hogy feloldják, az adatait érintő korlátozást vagy ne hozzák nyilvánosságra az információit.
Sokan ilyenkor ijedtükben vagy a gyors menekülés érdekében fizetnek – a támadók pedig vagy betartják az ígéretüket, vagy nem.
Az ilyen támadások elszenvedői általában nagyvállalatok dolgozói és középvezetői. Nekik sokszor nincs elég számítástechnikai tudásuk ahhoz, hogy visszafejtsék, pontosan mi történt. Viszont nagy rajtuk a nyomás, tartanak a feletteseik haragjától vagy attól, hogy a személyes titkaik (például egy, a céges eszközökről indított intim levelezés) nyilvánosságra kerül. Ezek az emberek rémületükben sokszor fizetnek, a támadás pedig észrevétlen marad, hiszen nem merik bevallani, mi történt.
A “nagy baj” súlyosabb formája már jóval gátlástalanabb támadás. Ez sokszor már az ipari kémkedés vagy nagy értékű csalás eszköze is. A módszer lényege, hogy a hackerek nem csak a rendszert, hanem a felhasználót is befolyásolják. Ha szoftveres úton nem tudják kinyitni a rendszerbe vezető kiskaput, a felhasználót veszik rá arra, hogy hagyja nyitva a bejáratot.
Az úgynevezett “social engineering” a userek befolyásolására épül. Olyan eset is előfordul, hogy a fentebb már említett módszerrel zsarolnak meg egy-egy felhasználót, hogy adj ki a belépéshez szükséges jelszavát vagy másoljon ki valamilyen adatot, így a “botlása” következmények nélkül marad. Máskor egyszerűen keresnek egy gyengébb láncszemet a vállalati hierarchiában és kémkedésre bírják.
Ez kinézhet például úgy, hogy adatokat gyűjtenek a vállalat valamelyik, megfelelő beosztásban dolgozó tagjáról, majd – általában egy hamis profilon keresztül – felveszik vele a kapcsolatot. Megtörténhet, hogy a kiválasztott kolléga hirtelen megtalálja a szerelmet egy társkereső oldalon. Végre olyan beszélgetőpartnert talál, aki megérti őt és szinte kitalálja a gondolatait (hiszen már ismeri legalább a céges levelezését). A flörtölős beszélgetések aztán hirtelen céges titkokra terelődnek esetleg a jóképű idegen apróbb segítséget kér – hivatalos dokumentumok másolatát, képernyőfotót vagy más érzékeny adatokat.
Az ilyen beszélgetés eredménye aztán lehet egy hangos adatszivárgási botrány – ez akár teljesen romba is döntheti a cég megítélését a piacon. De megtörténhet az is, hogy a vállalat alulmarad egy pályázaton, hiszen a konkurencia már ismeri a terveit.
Ezért fontos a biztonság és az adatvédelem
A fentiekből látszik, hogy az adatvédelmet és kiberbiztonságot minden cégnél érdemes komolyan venni. Ez természetesen nem olyan nehéz és súlyos probléma, mint amilyennek elsőre hangzik. Néhány egyszerű trükkel sokat lehet javítani a helyzeten.
1. Erősítsük meg a védvonalakat!
Állítsuk be úgy a rendszert, hogy a felhasználóknak bonyolult jelszót kelljen megadniuk! Szólítsuk fel őket arra, hogy bizonyos időközönként változtassanak jelszót! Ha tehetjük, szánjunk extra összeget a nem valódi felhasználók (botok) kiszűrésére (például valamilyen captcha alkalmazásával) illetve a kétfaktoros bejelentkezés alkalmazására. Ezzel nem oldódik meg minden probléma, de a legkellemetlenebb apróságokat elkerüljük.
2. Alakítsunk ki adatkezelési stratégiát!
Az adatok és információk védelméhez nem csak számítástechnikai ismeretekre van szükség. Sokszor egy kis józan ész is segíthet, hogy ne történjen nagyobb baj. Íme néhány egyszerű elv, amivel óvhatjuk az információkat:
- A felesleges adatokat mindig töröljük! Időnként távolítsuk el az inaktív felhasználókat a rendszerből és archiváljunk, vagy ha tudunk, semmisítsünk meg minden olyan dokumentumot, adattáblát, mappát (fizikai és digitális értelemben is), amelyre többé már nem lesz szükségünk. A napi munkát valószínűleg nem akadályozza majd, ha nem lehet azonnal, egy mozdulattal hozzájutni például a sokéves, kimenő számlák másodpéldányaihoz.
- Mindenkivel csak azt az adatot osszuk meg és addig, amit feltétlenül szükséges! Egy könyvelőnek például egyáltalán nem fontos hozzáférnie a kreatív anyagokhoz, ha mégis, akkor elég csak az adott feladat idejére. Egy-egy értékes design így sokkal, kisebb eséllyel szivárog ki. Ugyanez igaz egy pályázat dokumentumaira is. Elég, ha csak az azon közvetlenül dolgozók ismernek minden részletet.
3. Ne csak a rendszert, a felhasználót is fejlesszük!
Ahogy látszik, a szoftveres támadás csak a probléma egy részét jelenti. Nem csak magát a rendszert, a felhasználókat is fejleszteni, tanítani kell. Ismertessük velük például a jelszómegosztás kockázatát és beszéljünk a zsarolásos támadásokról, a céges adatok védelmének fontosságáról.
Ne hagyjuk magára a felhasználót!
Hívjuk fel a figyelmet akár az apróságokra is. Ne szégyelljünk kitérni arra, miért ne készítsenek intim képeket a céges mobiltelefonnal vagy miért ne használjanak bizonyos programokat, weboldalakat a vállalati eszközökön. Segítsünk nekik, hogy a professzionális és magán digitális lábnyomukat el tudják különíteni – így kisebb eséllyel lesznek zsarolhatók és befolyásolhatók.
Az IT-biztonság többről szól, mint a számítógépek védelméről. Ez valójában egy izgalmas és bonyolult csapatmunka, ami mindenki számára a fejlődés lehetőségét rejti magában. A rendszerek megfelelő működése nem csak a cég adatainak biztonságát jelenti, de a mentális egészség záloga is – hiszen a zsarolás és kémkedés folyamatos feszültséget szül. A kiberbiztonság és a munkavédelem ma már nem elválasztható területek egymástól.
Az adataink védelme az egészségünk védelme is.