Social Engineering / Social Hacking / Pszichológiai manipuláció

A social engineering alatt olyan rosszindulatú támadásokat értünk, melyekben az emberi interakciók manipulálása révén férnek hozzá bűnözők rendszerekhez. Pszichológiai trükköket bevetve a felhasználó bizalmával visszaélve nyernek hozzáférést illetéktelenül adatokhoz, anélkül hogy a rendszer biztonsági elemeit valóban feltörnék.

A social engineering vagy más néven social hacking egy olyan módszer digitális rendszerekbe való illetéktelen behatolásra, ahol nem technológiai sérülékenységet használnak ki, hanem a felhasználó manipulálásával szereznek hozzáférést a támadók. Nem véletlenül hangoztatják kiberbiztonsági szakértők, hogy bármilyen biztonságos is lehet a rendszer, a leggyengébb láncszem mindig az ember marad.

A bűnözők nem véletlenül használják előszeretettel ezt a megoldást, hiszen többnyire a naiv felhasználó becsapása egy hoaxszerű, átverős történettel gyorsabb, egyszerűbb és kevesebb kockázattal jár, mint egy szoftver vagy bármilyen környezet hibáinak feltérképezése. Sokkal egyszerűbb megszerezni valakitől a jelszavát vagy kulcsát és azzal belépni, mint elkezdeni feltörni az IT-biztonsági rendszereket.

A manipuláció nem feltétlenül digitális rendszerekre korlátozódik, az is ilyen támadásnak számít, ha valaki egy cég egyenruháját felöltve jut be egy irodaházba, de manapság a leggyakoribb cél a jelszavak vagy bankkártyaadatok megszerzése. A megoldás gyengéje, hogy nehezen skálázódik, inkább precíziós támadásokra használják fontos célpontok ellen, bár a mesterséges intelligenciával megerősített chatbotok bevetésével jelentősen növelhető az áldozatok száma.

A social engineering támadások többnyire úgy néznek ki, mintha a felhasználót egy hivatalos személy figyelmeztetné egy lehetséges kockázatra (pl. az adott rendszer üzemeltetőjének, rendszergazdájának, más kollégának, magasabb beosztású munkatársnak adják ki magukat), esetleg valamilyen csábító előnyért cserébe kérnek információt jogosulatlanul. 

A támadás igazán hatékony, ha valódi vagy annak tűnő információkkal tud bizalmat építeni a hacker, de közben valamilyen sürgető tényezőt is beépít, így a megtévesztett felhasználó nyomás alatt könnyedén adja ki hozzáférését.

A támadás érkezhet e-mail, sms, telefonos, de akár személyes formában is, gyakorta egy sürgős vészhelyzetet szimulálva, melyben a felhasználó aktív segítsége nélkül óriási károk keletkezhetnek. Ezeket gyűjtőnévvel adathalász, vagyis phising (egyéb típusai a vishing, smishing) támadásoknak nevezzük.

A célpont lehet a felhasználó munkahelyének rendszere, mely lehet akár egy állami hivatal, közműszolgáltató vagy bármilyen vállalat, ahonnan személyes adatokat lehet kinyerni. Előfordulhat az is, hogy a célpont maga a felhasználó, az ő személyes adatai vagy esetleg a bankkártyaadatain keresztül a pénze.