A vizuális hack is hatékony fegyver

Nem csak a körmönfont kibertámadások a felelősek az adatok kiszivárgásáért, egy egyszerű irodai séta is kiváló adatbegyűjtési módszernek bizonyulhat.

A 3M cég által szponzorált kísérletet a Ponemon Intézet hajtotta végre két hónapon keresztül tavaly nyáron, és arra a következtetésre jutottak, hogy a cégek egyáltalán nincsenek felkészülve a vizuális hackelési kísérletekre.

Ez a fajta hack mindössze annyiból áll, hogy a támadó az információbegyűjtés érdekében tesz egy sétát egy irodában, belekukkant a bizalmas dokumentumokba és képeket készít a számítógépek képernyőiről. Ez a típusú tevékenység jó előkészítést nyújthat egy kiválasztott szervezet elleni kibertámadáshoz, és persze lehetővé válik a jogosulatlan hozzáférés a céges titkokhoz is.

A tanulmányhoz a Ponemon Intézet nyolc amerikai céget toborzott, melyek lehetővé tették a „vizuális hackernek”, hogy az épületben bóklásszon, továbbá meghatározták, hogy milyen típusú információt tesznek ki a veszélynek. Egy céges összekötő munkatárson kívül az alkalmazottak nem ismerték a hacker valódi küldetését.

Keresztülsétálva az irodákon a hacker simán begyűjthette a személyazonosításra alkalmas információt, ügyfél- és alkalmazotti adatokat, üzleti levelezéseket, belépőadatokat, bizalmas dokumentumokat, dizájnokat, prezentációkat és pénzügyi információkat.

A próbálkozások 88%-ában a támadó képes volt megszerezni az érzékeny adatokat. A legtöbb esetben (51%) ezek a munkatárs asztalán voltak találhatóak. A hackernek még a finom részleteket is sikerült lemásolnia a monitorokról, iratmásolat-tartókban és fénymásolókban lévő dokumentumokról.

Visual-Hacking-Is-Highly-Successful-At-Getting-Sensitive-Information-473831-2-1

A kísérlet ideje alatt összesen 168 darab információt sikerült ellopnia, ebből 34 (azaz 20%) a nagy értékű információ kategóriába esett (belépőadatok, bizalmas vagy titkosított dokumentumok). A monitorok és az otthagyott íróasztalok jelentették a nagy értékű adatok legtermékenyebb lelőhelyeit.

Az eltulajdonítani való adatok kifigyelése 15 perctől (45%-a az eseteknek) a 2 órás (2%) időtartamig terjedt. Még ha a hackert rajta is kapták, hogy éppen az adatok begyűjtésével foglalkozik, legtöbbször a munkatársak inkább csendben maradtak és nem avatkoztak közbe. 43 esetből csak 13-szor vonták kérdőre a gyanús tevékenysége miatt.

Bár a kísérletnek nyilván voltak korlátai, mivel a cégek önkéntesen vettek részt a kutatásban és az adatgyűjtés a hacker képességeitől is függött, a veszély ettől függetlenül valósnak bizonyult, és az mindenképpen levonható tanulságként, hogy a szervezeteknek szigorúbb szabályokat kellene bevezetniük az irodaszerte hagyott informácók védelme érdekében.

Forrás: Softpedia

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.