Nem csak a körmönfont kibertámadások a felelősek az adatok kiszivárgásáért, egy egyszerű irodai séta is kiváló adatbegyűjtési módszernek bizonyulhat.
A 3M cég által szponzorált kísérletet a Ponemon Intézet hajtotta végre két hónapon keresztül tavaly nyáron, és arra a következtetésre jutottak, hogy a cégek egyáltalán nincsenek felkészülve a vizuális hackelési kísérletekre.
Ez a fajta hack mindössze annyiból áll, hogy a támadó az információbegyűjtés érdekében tesz egy sétát egy irodában, belekukkant a bizalmas dokumentumokba és képeket készít a számítógépek képernyőiről. Ez a típusú tevékenység jó előkészítést nyújthat egy kiválasztott szervezet elleni kibertámadáshoz, és persze lehetővé válik a jogosulatlan hozzáférés a céges titkokhoz is.
A tanulmányhoz a Ponemon Intézet nyolc amerikai céget toborzott, melyek lehetővé tették a „vizuális hackernek”, hogy az épületben bóklásszon, továbbá meghatározták, hogy milyen típusú információt tesznek ki a veszélynek. Egy céges összekötő munkatárson kívül az alkalmazottak nem ismerték a hacker valódi küldetését.
Keresztülsétálva az irodákon a hacker simán begyűjthette a személyazonosításra alkalmas információt, ügyfél- és alkalmazotti adatokat, üzleti levelezéseket, belépőadatokat, bizalmas dokumentumokat, dizájnokat, prezentációkat és pénzügyi információkat.
A próbálkozások 88%-ában a támadó képes volt megszerezni az érzékeny adatokat. A legtöbb esetben (51%) ezek a munkatárs asztalán voltak találhatóak. A hackernek még a finom részleteket is sikerült lemásolnia a monitorokról, iratmásolat-tartókban és fénymásolókban lévő dokumentumokról.
A kísérlet ideje alatt összesen 168 darab információt sikerült ellopnia, ebből 34 (azaz 20%) a nagy értékű információ kategóriába esett (belépőadatok, bizalmas vagy titkosított dokumentumok). A monitorok és az otthagyott íróasztalok jelentették a nagy értékű adatok legtermékenyebb lelőhelyeit.
Az eltulajdonítani való adatok kifigyelése 15 perctől (45%-a az eseteknek) a 2 órás (2%) időtartamig terjedt. Még ha a hackert rajta is kapták, hogy éppen az adatok begyűjtésével foglalkozik, legtöbbször a munkatársak inkább csendben maradtak és nem avatkoztak közbe. 43 esetből csak 13-szor vonták kérdőre a gyanús tevékenysége miatt.
Bár a kísérletnek nyilván voltak korlátai, mivel a cégek önkéntesen vettek részt a kutatásban és az adatgyűjtés a hacker képességeitől is függött, a veszély ettől függetlenül valósnak bizonyult, és az mindenképpen levonható tanulságként, hogy a szervezeteknek szigorúbb szabályokat kellene bevezetniük az irodaszerte hagyott informácók védelme érdekében.
Forrás: Softpedia