Kötelező Önvédelmi Gyakorlatok Nem Csak „Feketeöves Adatvédőknek” Kun Árpád vezető rendszermérnök, CEH Budapest, Január 28.
Tartalomjegyzék Kötelező Önvédelmi Gyakorlatok... 1.Mi a támadó célja? 2.Mire van szüksége a támadónak? 3.Social Engineering 4.Technikák és példák 5.Összefoglalás
Mi a támadó célja? Kötelező Önvédelmi Gyakorlatok... INFORMÁCIÓ
Mire van szüksége támadónak? Kötelező Önvédelmi Gyakorlatok... Kik dolgoznak a cégben, mióta Elérhetőségek, telefonszámok, címek Mikor vannak szabadságon egyes személyek Kiknek dolgozik a cég Milyen alvállalkozókkal dolgozik Stb…
Technikák és példák – Social Engineering Kötelező Önvédelmi Gyakorlatok... Szabályzat által nem kezelt peremvidék Ellentmondásos helyzetbe hozni Az emberek többsége kis nyomásra is enged A Social Engineering alapja – Elhitetni a célponttal, insiderek vagyunk, bízhat bennünk. Elbizonytalanítás
Technikák és példák – Social Engineering Kötelező Önvédelmi Gyakorlatok... Felderítés, Információgyűjtés Internetről minden adatot összeszedni a célpontról: –Személyek, – címek, –Telefonszámok, –Ügyfelek nevei, –Partnerek nevei, –Állásajánlatok
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Néhány további technika: Dumpster Diving
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Néhány további technika: Tailgating
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Néhány további technika: Lunching sniff
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Néhány további technika: Shoulder surfing
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Teljes ügyféllista megszerzése Ügyféllistával való további információszerzés
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Teljes ügyféladatbázis honlap, Tóth Krisztián, Seres Adrienn
Technikák és példák Kötelező Önvédelmi Gyakorlatok...
Technikák és példák Kötelező Önvédelmi Gyakorlatok...
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Teljes ügyféladatbázis honlap, Tóth Krisztián, Seres Adrienn Hamisított levél küldése Cégen belül az emberek sokkal kevésbé gyanakodnak
Példák a nagyvilágból és tőlünk Kötelező Önvédelmi Gyakorlatok...
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Teljes ügyféladatbázis honlap, Tóth Krisztián, Seres Adrienn Hamisított levél küldése Cégen belül az emberek sokkal kevésbé gyanakodnak Várakozás…
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Teljes ügyféladatbázis Megvan a teljes ügyfélcontactlista. Tudom a személyek nevekeit, –Hozzájuk tartozo cégnevet, –Beosztást, –Telefonszámot, mobilszámot, –Postacímeket, – címeket, egyes esetekben privát címeket, és mobilszámokat, –Az adott személy által ismert idegen nyelveket Bárki nevében vagy bárkire hivatkozva el lehet kezdeni próbálkozni
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Személyes adatok megszerzése A celpont.org üzemeltetőjétől sikerült megszerezni a contact listát Szeretnénk megtudni a teljes felhasználói listát a -ról A korábban megszerzett listában szereplő nevekkel már könnyebb dolgunk van
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Személyes adatok megszerzése Hamar kiderül címhttp:// Telefon a szolgáltatónak, belépésre van szükség Ismert emberekre hivatkozni, hihető esettel FAX üzenettel megtámogatva
Technikák és példák Kötelező Önvédelmi Gyakorlatok...
Technikák és példák Kötelező Önvédelmi Gyakorlatok... Összefoglalás Nincs egyszerű, könnyen telepíthető mindenre kiterjedő adatvédelmi megoldás Az alkalmazottak megfelelő információ birtokában könnyedén megtéveszthetők Az eket –digitális aláírás hiányában– nem szabad biztos forrásnak tekinteni Hajlamosak vagyunk a FAX üzenetet megbízható forrásnak tekinteni Rendszeresen meg kell ismernünk saját gyenge pontjainkat, a hibákat foltozni, az alkalmazottakat oktatni
Sebezhetőek vagyunk Kötelező Önvédelmi Gyakorlatok... Régóta rá lehet minket venni sok mindenre… „A leggyengébb láncszem az ember!”
Köszönöm a figyelmet! Kun Árpád vezető rendszermérnök, CEH Budapest, Január 28.