Sosial sjarm - hackerens farligste egenskap |
|
Ingen bokser hjelper Det finnes ingen bokser som kan løse dette problemet -det må løses med en kombinasjon av bedriftskultur og årvåkenhet hos alle medarbeidere. Mange hackere har arbeidet i bedrifter med en IT-avdeling. De kjenner den interne sjargongen, og kan uten problemer sette sammen et telefonmanus som inkluderer riktig navn og stilling på personer fra it-avdelingen og en historie det er lett å tro på. Veien er da åpen for en helt ukomplisert ringerunde for å forsøke å få intetanende brukere i en bedrift til å levere fra seg brukernavn og passord til bedriftens nettverk. Ved å presentere seg med et navn fra IT-avdelingen, og starte samtalen med "jeg har hørt at du opplevde noen uregelmessigheter med pc'en din i forrige uke, kan du fortelle meg litt mer om det?" har han senket vaktsomheten for de fleste av oss med flere hakk. Når samtalen skrider frem er det enkelt å be om brukernavn og passord for raskt å kunne rette "problemet" nå som han allikevel har tid - ellers kan det ta lang tid før neste gang du vil få hjelp...
Det er en stor sjanse for at en bruker som mottar telefonsamtalen har opplevd en hendelse. Dersom hackeren ringer mange nok personer, er det store sjanser for å treffe på en person som går på limpinnen og uten å tenke over det utleverer informasjonen. Social Engineering, eller Phishing med telefon Denne typen "social Engineering" kan være et målbevisst første skritt på veien til en vellykket inntrenging og kompromittering. Det er bare fantasien som setter begrensninger for oppfinnsomhet og de muligheter som finnes for en person med onde hensikter. Hvis han får fatt i informasjon om dine fritidsinteresser, for eksempel fra sportssidene i lokalavisen der du bor, og starter samtalen med å gratulere deg med resultatet fra siste golfturnering eller resultatene i fotball-laget du trener. For øvrig har dere møtt hverandre flere ganger....
Hvis vi tenker oss en e-post fra IT-avdelingen eller din avdelingsleder til deg og dine kolleger i kombinasjon med ovenstående teknikk, blir sjansene for å lykkes skremmende store.
Holdninger
Det finnes ett meget viktig tiltak for å verne seg mot denne typen angrep. Det er å vekke brukernes kritiske sans ved henvendelser om brukernavn og passord. Tiltak som ring tilbake, eller en annen passende "autentisering" av personen kan være en måte. En annen mulighet er å instruere om ikke å gi slik informasjon til andre under noen omstendighet.
Det er ulik sikkerhetsmessig modenhetsgrad hos norske bedrifter - og vi har erfart at den gule post-it lappen med brukernavn og passord fremdeles finnes på skjermen mange steder der ute. Men den kan tross alt "bare" leses av personer med tilgang til lokalene, som for eksempel rengjøringspersonell eller besøkere.
Sosial sjarm over telefon kan benyttes av absolutt alle - og hvem sa forresten at det nødvendigvis er en mann som ringer?
Trenger din bedrift bistand?
Secode kan foreta en Social engineering-test for din bedrift, og gjøre en ringerunde etter et avtalt mønster og manus. Oppdragsgiver får ikke informasjon om hvilke enkeltbrukere som har utlevert informasjon. Etter å ha gjennomført testen og nøytralisert alle identifikatorer, kan resultatet publiseres internt med hvor mange prosent av brukerne som lot seg lure. Denne informasjonen vil vekke betydelig oppsikt og ettertanke. Dersom dette kombineres med en holdningsdannende kampanje vil din bedrift ha kommet langt i å sikre seg mot denne typen angrep.
Revidert januar 2005 Arnt Ove Nedrebø, markedssjef Secode
Ta gjerne kontakt med kommentarer eller spørsmål. arnt.ove.nedrebo@secode.com | 
