Ezüsttálcán kínáljuk az adatainkat a hekkereknek, egy Google-értékeléssel is indíthatnak támadást

Ha azt hiszi, hogy ügyesen rejti el a privát információit az interneten, nincs igaza – nagyjából ez volt a tanulsága Danni Brooke előadásának a berlini GITEX techexpón, ahol azt bizonyította be, hogy még az egyik legnagyobb londoni pénzügyi intézet adminisztratív igazgatóját is át lehet verni minimális online nyomozással. Az eszközök és rendszerek, amiket használt, mindenki számára elérhetők, és többnyire ingyenesek, ez pedig csak még ijesztőbbé teszi azt, hogy mennyi minden kiderülhet valakiről online, és arról is, hogy mindezt milyen egyszerű kihasználni adathalászatra vagy egyszerű lopásra.

Danni Brooke az Egyesült Királyság egyik legtapasztaltabb beépített rendőrnője volt, tíz éven át dolgozott titkos nyomozóként a New Scotland Yard kötelékében. Jelenleg a Fortalice Solutions LLC társigazgatója, ahol kiberbiztonsági tanácsadással és oktatással foglalkozik.

Ő és kollégái az úgynevezett OSINT-ot, vagyis a nyílt forráskódú hírszerzést használják fel arra, hogy megmutassák: mennyire sérülékenyek vagyunk az online megosztott információink alapján, és hogy mennyire egyszerű ezt a hekkereknek kihasználniuk. „Persze, látunk olyat is, hogy rosszakarók több millió fontos technológiai infrastruktúrát támadnak, de ez már nem olyan gyakori, mint régen” – mondta az előadásában. „A fizikai behatolás kockázat-nyereség faktora most már túlságosan a kockázat irányába tolódik el. A kockázat túl magas, a nyereség túl kevés. Most azt látjuk, hogy a rosszakarók az embereket veszik célba, mert itt van a legkevesebb ellenállás.”

„Miért hekkelnél meg egy rendszert, amikor egyszerűen csak be is tudsz jelentkezni?”

Ezek a hekkerek a Brooke által csak BET mozaikszóval takart faktorokat veszik figyelembe: hihetőség (believability), érzelem (emotion) és időzítés (timing). Vagyis azon dolgoznak, hogy a támadásaik minél hihetőbbek legyenek, minél inkább az érzelmeinkre hassanak, és jókor időzítsék őket. „Fel akarják használni az érzelmeinket, azt akarják elérni, hogy úgy érezzük, semmi rossz nem történik. Akkor kell lecsapniuk, amikor nem vagyunk túl nyugodtak, valamiféle szórakoztató dolgot csinálunk, fel vagyunk pörögve, száguldoznak az endorfinjaink” – mondta Brooke.

És itt érkezünk el az egyik legnagyobb londoni pénzintézet egyik igazgatójához. A cég felbérelte Brooke-t és kollégáit, hogy vizsgálják meg, mennyire sérülékenyek a humán erőforrásaik, vagyis hogy mennyire könnyű átverni az alkalmazottaikat, mivel a közelmúltban feltörték az adatbázisukat. 31 dolgozót kellett átvizsgálniuk. „Azt kérték, hogy menjünk fel a netre, és tudjunk meg abszolút mindent, amit róluk ki lehet deríteni” – mondta Brooke. Az adminisztratív igazgató biztos volt benne, hogy ő nagyon ügyel arra, mit oszt meg online, így nehéz lesz behúzni a csőbe. Hamar kiderült, hogy ez nem igaz.

Az igazgató LinkedIn-profilja alapján egy online bárki számára elérhető eszközzel kiderítettek róla egy rakás személyes információt, többek között a személyes email-címét, a korábbi és jelenlegi telefonszámait, a közösségimédia-felületeit. Rábukkantak, hogy van egy név, amit előszeretettel használ az email-címeiben, így feltételezték, hogy ezt máshol is alkalmazhatja.

Sikerült kideríteni, melyik telefonszámával használja a WhatsAppot, bejutottak a kontaktjai közé, sőt, még felnőttfilmes felhasználói profilt is találtak. Összesen 39 fiókra bukkantak 2 országból.

Egy másik online eszközzel aztán megnézték, hogy milyen értékeléseket írt különböző szolgáltatásokról az elmúlt években, és ezeket térképre is helyezték, így megtudták, merre járt. Feltűnt nekik, hogy a közelmúltban járt egy étteremben, amiről nagyon jó értékelést adott. Eldöntötték, hogy ezt fogják adathalász támadásra felhasználni. Itt jön a képbe a BET mozaikszó első betűje: a hihetőség.

„Azt is tudtuk, hogy mivel a közösségi médiát előszeretettel használta, hogy minden szerdán paddle-t játszott az egyik barátjával ugyanott. Tudtuk, hogy most is játszani fog, ezért úgy gondoltuk, hogy miért ne rakjuk össze a kettőt?” Edzés után az ember fel van pörögve, kevésbé figyel oda, így az érzelmi faktor és az időzítés is megfelelő volt.

Két, nem különösebben profi adathalász emailt is küldtek az igazgatónak arról, hogy az az étterem, amire olyan jó értékelést adott, szeretne ezért kedveskedni egy 50 százalékos kuponnal. Mindkettőre rákattintott.

A pénzügyi igazgatót egy másik trükkel próbálták tőrbe csalni: egy ismerősének a hangjáról készült felvételből hamis üzenetet gyártottak, és elküldték neki, őt viszont nem sikerült átverni, mert rögtön felhívta az ismerősét, hogy valóban küldött-e neki ilyen üzenetet.

Brooke szerint nagy előrelépés, hogy mind a cégek, mind a magánszemélyek elismerik, ha ilyen átverés áldozatává váltak, korábban ez nem volt jellemző, most viszont sokat segít a felismerésben és a megelőzésben is. Azt tanácsolta, hogy telefonszámot ne adjon meg senki ott, ahol nem muszáj, és ahol muszáj is, utólag törölje, ha lehet, a családtagokkal kapcsolatos átveréseket pedig úgy lehet a leginkább kivédeni, ha mindenkivel megbeszélünk egy kulcsszót, amit valós esetekben be lehet mondani. Ahol csak lehetséges, használjunk ideiglenes email címet, vagy legalább ne azt, amit a közösségi médiában használunk.

„Tartsunk taktikai szünetet minden alkalommal, ha gyanús adatokat kérnek tőlünk” – mondta. „A hekkereknek nincsenek elveik, és minél inkább megnehezítjük számukra, hogy információt nyerjenek tőlünk, annál előbb megunják a próbálkozást, és keresnek más áldozatot maguknak.”