kötelező Önvédelmi gyakorlatok nem csak „feketeöves adatvédőknek”

Kötelező Önvédelmi Gyakorlatok Nem Csak „Feketeöves Adatvédőknek”

Kun Árpád vezető rendszermérnök, CEH

Budapest, 2009. Január 28.

Tartalomjegyzék

Kötelező Önvédelmi Gyakorlatok...

1. Mi a támadó célja?

2. Mire van szüksége a támadónak?

3. Social Engineering

4. Technikák és példák

5. Összefoglalás

Mi a támadó célja ?


INFORMÁCIÓ INFORMÁCIÓ INFORMÁCIÓ

Mire van szüksége támadónak?


Kik dolgoznak a cégben, mióta

Elérhetőségek, telefonszámok, e-mail címek

Mikor vannak szabadságon egyes személyek

Kiknek dolgozik a cég

Milyen alvállalkozókkal dolgozik

Stb…

Technikák és példák – Social Engineering


Szabályzat által nem kezelt peremvidék

Ellentmondásos helyzetbe hozni

Az emberek többsége kis nyomásra is

enged

A Social Engineering alapja – Elhitetni a célponttal, insiderek

vagyunk, bízhat bennünk.

Elbizonytalanítás

Technikák és példák – Social Engineering


Felderítés, Információgyűjtés

Internetről minden adatot összeszedni a célpontról:

– Személyek,

– E-mail címek,

– Telefonszámok,

– Ügyfelek nevei,

– Partnerek nevei,

– Állásajánlatok

Technikák és példák


Néhány további technika:

Dumpster Diving



Néhány további technika: Tailgating



Néhány további technika: Lunching sniff



Néhány további technika: Shoulder surfing



Teljes ügyféllista megszerzése

Ügyféllistával való további információszerzés



Teljes ügyféladatbázis

www.carnation.hu honlap, Tóth Krisztián, Seres

Adrienn

http://www.carnation.hu/




www.carnation.hu honlap, Tóth Krisztián, Seres

Adrienn

Hamisított levél küldése

Cégen belül az emberek sokkal kevésbé

gyanakodnak


Példák a nagyvilágból és tőlünk





www.carnation.hu honlap, Tóth Krisztián, Seres Adrienn

Hamisított levél küldése

Cégen belül az emberek sokkal kevésbé gyanakodnak

Várakozás…





Megvan a teljes ügyfélcontactlista. Tudom a személyek nevekeit,

– Hozzájuk tartozo cégnevet,

– Beosztást,

– Telefonszámot, mobilszámot,

– Postacímeket,

– E-mail címeket, egyes esetekben privát e-mail címeket,

és mobilszámokat,

– Az adott személy által ismert idegen nyelveket

Bárki nevében vagy bárkire hivatkozva el lehet kezdeni próbálkozni



Személyes adatok megszerzése

A celpont.org üzemeltetőjétől sikerült megszerezni a contact

listát

Szeretnénk megtudni a teljes felhasználói listát a

http://www.celpont.org/ -ról

A korábban megszerzett listában szereplő nevekkel már

könnyebb dolgunk van



Személyes adatok megszerzése

Hamar kiderül http://www.celpont.org/intranet/ cím

Telefon a szolgáltatónak, belépésre van szükség

Ismert emberekre hivatkozni, hihető esettel

FAX üzenettel megtámogatva




Összefoglalás

Nincs egyszerű, könnyen telepíthető mindenre kiterjedő adatvédelmi

megoldás

Az alkalmazottak megfelelő információ birtokában könnyedén

megtéveszthetők

Az e-maileket –digitális aláírás hiányában– nem szabad biztos

forrásnak tekinteni

Hajlamosak vagyunk a FAX üzenetet megbízható forrásnak tekinteni

Rendszeresen meg kell ismernünk saját gyenge pontjainkat, a

hibákat foltozni, az alkalmazottakat oktatni

Sebezhetőek vagyunk


Régóta rá lehet minket

venni sok mindenre…

„A leggyengébb

láncszem az ember!”

Köszönöm a figyelmet!

[email protected]

Kun Árpád vezető rendszermérnök, CEH

Budapest, 2009. Január 28.

kötelező Önvédelmi gyakorlatok nem csak „feketeöves adatvédőknek”

Documents