„Az információ, a tudás hatalom. Aki kontrollálja az információt, kontrollálhatja az embereket is.”
Tom Clancy amerikai író
Gondolta volna, hogy még egy out of office automatikus üzenet is veszélyes lehet? Kiberbűnözők egészen apró információmorzsákból is képesek muníciót kinyerni egy social engineering támadáshoz. A NetIQ szakértői három olyan területre hívják fel a figyelmet, ahol akaratlanul is árulkodó nyomokat hagyhatunk magunk után, kinyitva a kaput az adattolvajoknak.
Általánosan bevett gyakorlat, hogy amikor szabadságra megyünk, „out of office auto reply”-t állítunk be, amely a vakáció időtartama alatt automatikus válaszüzenetet küld a beérkező levelekre. Ebben általában arról informáljuk a levélírót, hogy mikor térünk vissza az irodába, mikor tudunk foglalkozni az e-maillel, és kihez fordulhat sürgős esetben a távollétünkben. Az ilyen automatikus üzenet célja a tájékoztatás és a hatékonyság növelése, ugyanakkor az így megosztott információkkal a kiberbűnözők előtt is kaput nyithatunk.
Árulkod-ooo
Az automatikus válaszüzenetből kiszűrt információk alapján ugyanis ki lehet csalni bizalmas adatokat a cégtől, illetve a munkavállalóitól. Ehhez a kiberbűnözőnek pusztán annyit kell tennie, hogy a cég egyik alkalmazottjának vagy beszállítójának adja ki magát, és megkeresi az auto reply-ban megadott kontakt személyt egy kitalált „vészhelyzettel”. A segítségét kéri, hogy sürgősen küldjön át neki bizonyos adatokat, amelyekre egy határidős jelentéshez van szüksége, és ezt a riportot mindenképpen még azelőtt le kell adnia, hogy visszatér a vakációzó kolléga. A trükk sokszor beválik, ezt bizonyítja az is, hogy penetrációs teszteket végző szakemberek, köztük az egyik legismertebb etikus hacker, Kevin Mitnick is sikerrel alkalmazott már ilyen módszert.
A biztonsági szakemberek azt javasolják, hogy úgy állítsuk be az out of office üzeneteket, hogy azokat csak a házon belüli kollégák kapják meg, a külsős partnereket és ügyfeleket pedig külön, előzetesen tájékoztassuk a távollétünkről. Egyes cégeknél az a bevett gyakorlat, hogy az érzékeny adatokkal dolgozó munkatársak címéről csak házon belül érkezik automatikus visszajelzés távollét esetén, és csak az egyéb részlegeken, elsősorban a sales és ügyfélkapcsolatokkal foglalkozó osztályokon dolgozó alkalmazottak fiókjainál állítanak be minden feladónak elküldendő, automatikus visszajelzést.
Közösségi (be)hálózás
Nem újdonság, hogy rengeteg információt osztunk meg magunkról a közösségi hálózatokon, akár egyszerűen csak azért, mert van rá rubrika az adatlapon. A munkahelyi szerepkörrel, titulussal, szaktudással és projekttel, valamint a cégtörténettel kapcsolatos információk általában publikusak az alapbeállítás szerint. Noha ezek az adatok nem számítanak bizalmasnak a vállalat szempontjából nézve, a szélhámosok számára aranybánya lehet egy ilyen adatbázis. Ugyanúgy, mint az automatikus válaszüzenetben megosztott információk, ezek is felhasználhatók olyan social engineering támadásokhoz, amelyek során a támadók a célpont bizalmi körébe tartozó személynek adják ki magukat.
A NetIQ szakértői szerint érdemes ilyen szempontból is átgondolni a biztonsági beállításokat. Nagyobb szervezeteknél social media csapatokat és szakembereket alkalmaznak, akiket érdemes bevonni a kapcsolódó biztonsági szabályzatok kialakításába is, illetve az alkalmazottak oktatásába, amikor a kockázatokra hívjuk fel a figyelmet.
Sokat mondó, elejtett szavak
Egyre több vállalatnál alkalmaznak különféle előírásokat arra vonatkozóan is, hogy a munkavállalók milyen biztonsági információkat adhatnak ki a cégről. Erre minden ok megvan, hiszen előfordul, hogy túl sokat mutatunk a kamera előtt puszta véletlenségből, vagy egyszerűen emberi természetünkből adódóan.
Jó példa erre a francia TV5Monde televíziós csatorna esete, ahol egy riport során post-it cetlikre felírt hozzáférési adatok látszottak a háttérben a megszólaló mögött. (A sors fintora, hogy a csatorna éppen arról készített összefoglalót, hogyan törték fel a rendszerüket az Iszlám Állam hackerei.) Ez természetesen kirívó eset, de arra mindenképpen rámutat, hogy célszerű biztonsági előírásokkal szabályozni, milyen információkat adhatnak ki az alkalmazottak, amikor a biztonsági előírásokról beszélnek a sajtónak vagy éppen az üzleti partnereknek.
Arra természetesen nincs mód, hogy minden információcsapot elzárjunk, hiszen akkor a számunkra fontos üzeneteket sem tudjuk eljuttatni a célcsoportunkhoz, ügyfeleinkhez és üzleti partnereinkhez. Ugyanakkor nagyobb biztonságban tudhatjuk az érzékeny adatokat, ha fejlett Identity Governance eszközzel és stratégiával felügyeljük, ki mihez férhet hozzá és mit oszthat meg.
