2016. nov 19.

Két titkos adat ami nyilvános, és négy tanács

írta: szaGértő
Két titkos adat ami nyilvános, és négy tanács

Jelszót akartam módosítani a céges internet előfizetésemhez tartozó, a szolgáltató által adott email fiókhoz.

Nosza rajta, felhívtam a szolgáltatót, ahol az ügyfélszámmal azonosítottam magam. Na ez az adat az, amire baromira kell vigyázni, mert ehhez a legnehezebb hozzájutni, bár egy kis social engineering útján - kevésbé finoman fogalmazva mondjuk kukában túrással - megszerezhető.

social-engineering-security.png

Az ügyfélszolgálatos ember mondta, hogy azért ellenőrzésképpen diktáljak be még két adatot, hogy biztos legyen benne, jogosult vagyok jelszót módosítani.

Ki találja ki, mi az a két adat, amit kért?

Hát a cég adószáma és a cégjegyzékszáma.

Ami kurvára nem titkos, de legalább nyilvános. Az http://www.e-cegjegyzek.hu oldalon a cég neve ismeretében másfél perc alatt megtudható. Annyira, hogy - mivel én sem tudtam fejből a sajátomat, de kérték - megnyitottam ezt az oldalt, és gyorsan megkerestem.

Hogy mi ezzel a bajom?

Az, hogy - legalábbis ezzel a szolgáltatóval szerződésben levő - céges ügyfelek email fiókja felett egyetlen elhagyott számlamásolat megtalálása, vagy a nyílt módon, emailben elküldött számla elfogása (ami nagyon nem lehetetlen) után be lehet lépni a cég emailjébe. Igaz, hogy az eredeti tulajdonos elég hamar észleli, mondjuk hétfő reggel, amikor nem kap emaileket (vagy délben, mire feléled a hétvégi elfoglaltságai okozta kómából), és esetleg lecseréli, de az átlagos informatikai tudásszinttel rendelkező embereket - akik nem informatikusok - figyelmbevéve, akár pár napig is elmolyolhat a nem működik az email - hol az informatikus - felhívom a szolgáltatót Bermuda-háromszögben.

Konkrét tudomásom van olyan esetről, amikor egy cégtől úgy szereztek meg pár száz millió forintot, hogy tudták azt az infót, hogy ki mikor mennyit számlázott nekik, és emailben értesítették, hogy megváltozott a bankszámlaszám, kérjük az összeget az új bankszámlára utalni. És még nem is a cég emailjéről, hanem egy arra nagyon hasonlító emailről ment. És elhitték. És utaltak. És az "új" bankszámlára.

Erre egy céges email feletti hozzáférés péntektől hétfőig bőven elég. Ha még át is állítja a mailboxot, mondjuk beállít egy továbbküldést (mail forward), úgy kapja meg a cég összes emailjét, hogy a gazdi észtre sem veszi, attól eltekintve, hogy egyszer  el lett baltázva a jelszó, és újat kellett kérni. De ettől az emailek másolata még folyamatosan megy a támadóhoz.

Nyilván egy céges emailen napi szinten egynél több fontos információ közlekedik, akár árajánlat, szerződés, egyéb belső infók. Képzeljük el, ha egy konkurrens cég megcsinálja ezt a trükköt, és hónapokig alá tud menni árban az ő ajánlatuknak.

De nem akarok további tippeket adni.

Az ügynek több tanulsága is van:

Először is, nem árt felülvizsgálni a szolgáltatók ellenőrzési gyakorlatát a telefonos ügyfélszolgálatokon.

Másodszor, nagyon kell figyelni arra, hogy semmilyen céges (vagy magán) dokumentum ne kerüljön a szemétbe. Aki fával tüzel, gyújtson be azzal, a többieknek nem árt egy kis iratmegsemmisítő, amit tízezer forint környékén lehet kapni. Többet lehet bukni egy infó kikerülésén, mint 10 ropi.

Harmadszor, ha valami rendellenesség van az informatikai rendszerben, arra nem szabad legyinteni. Miért nem jó a jelszó, ami egy évig jó volt? Mitől "romlott el"? Miért lassult be a gépem? Vírus? Egyéb kártékony program?

Negyedszer, aki nem ért az informatikához, alkalmazzon valaki olyat, aki ért hozzá. Még mindig kevesebbe kerül, mint bukni pár száz milliót. CASCO-ja, lakásbiztosítása van? Az is havi fix összeg, és lehet, hogy nem történik olyan esemény, amikor szükség lesz rá, mégis megkötjük. Akkor az informatikai rendszerünket miért nem "biztosítjuk"?

Attól, hogy valaki nem ért a dologhoz, más igen. És azok között, akik értenek hozzá, van olyan s, aki betörő lenne, ha nem értene hozzá, így most dróton tör be, amit sokkal nehezebb észlelni, mint egy szétvert bejárati ajtót.

És többet is jövedelmez.

Szólj hozzá