Kutatók éjszakája 2017 2017. szeptember 29. Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar Budapest Az előadás az Emberi Erőforrások Minisztériuma ÚNKP-17-3-I-OE-779/45 kódszámú Új Nemzeti Kiválósági Programjának támogatásával készült.

1. KUTATÓK ÉJSZAKÁJA 2017
2017. szeptember 29.
Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar
Budapest
DR. KOLLÁR CSABA
Hackerpszichológia
Az információbiztonság
humán aspektusa

2. Kevin Mitnick:
„A vállalatok
dollármilliókat költenek
tűzfalakra és biztonságos
távoli elérést nyújtó
eszközökre, de ez mind
kidobott pénz, mert ezek
egyike se veszi figyelembe
a leggyengébb szemet a
biztonsági láncban: az
embert, aki használja,
igazgatja és működteti a
számítógép rendszereket.”

3. Miről is lesz szó?
• Mi volt a hackerek és a social engineerek előtt?
• Fogalmak tisztázása
• A social engineering általános felépítése
• Esettanulmány – a téma gyakorlati oldala
• Javaslatok

4. Mi volt a hackerek és a social engineerek
megjelenése előtt?

5. Szinon: elszöktem a görögöktől, Priamosz király vontassátok be a
falovat a városba, mert megvédi városotokat

6. Manolescu emlékiratai
alapján Felix Krull élete és
munkássága
• Iskolai és bolti lopások
• Betegséget szimulál a
háziorvosnak
• Katonai sorozás szimulált
epilepsziás roham
• Szerepcsere
• Vámvizsgálaton ellopja egy
nő ékszerdobozát
• Cirkuszi élmény: „az
emberekre való hatásnak,
az emberek boldogításának
és elbűvölésének” szakmája

7. • A magyar olajsejk
• Ha enyém leszel, elveszlek
• Lakástágítási eljárások
• Jóllakni egy lyukas garasért
• Gépesített harangozó
• Vattacukorkombinát
• Kis szotyola sokra megy
• Olcsó kútnak
• Papírsúly
• Háziszámlák
• Órabér, napibér
• Csak reklamáljunk nyugodtan!
• Az átvevő is a piacról él
• Az építőmester tizenhét nője
• Kalkuláció
• A keretre van keret
• A pénztárkönyv: szentírás!
• Tiki-taki-taktika

8. Fogalmak tisztázása

9. • Hacker vs. cracker
• White-hat hacker ≈ etikus hacker
• Black-hat hacker ≈ etikátlan hacker
• Grey-hat hacker
• Script kiddie ≈ vandálka
• Elite Hacker (l33t)
• Neophyte (n00b, newbie) ≈ zöldfülű
• Blue hat ≈ rendszertesztelő
• Hacktivista ≈ propagandista
•Social engineer ≈ pszichológiai manipulátor

10. SOCIAL ENGINEERING
Műszaki alapon Humán alapon
• Farmolás (pharming)
• Adathalászat (phishing)
• Szigonyozás (spear phishing)
• Bálnavadászat (whaling)
• Telefonos adathalászat
(vishing, smishing)
• Hamis bannerek, reklámok
• Trójai programok
• Billentyűzet naplózó
(keylogger)
• Informatikai eszköz elhagyása
(csalizás – baiting)
• Információ ellesése (shoulder
surfing)
• Kukatúrás (dumpster diving)
• Más jogosultságának a
felhasználása (piggybacking)
• Szoros követés (tailgating)
• Kitalált szituáció (pretexting)
• Manipulációs technikák

11. Néhány példa

12. Tárgy alkalmazni a kölcsön
Feladó GhoddusiJ@mums.ac.ir
Címzett Undisclosed recipients:
Válaszcím stevenmartinsfundings@gmail.com
Dátum Szer 22:22
Van szüksége bármilyen személyes/üzleti hitel? Ha igen,
forduljon hozzánk ezen információk 1. Név: 2. szükséges
összeg: 3. időtartama: 4. cím: 5. telefon: 6. ország: 7. Sex:.
Kérjük, vegye figyelembe, hogy minden a válaszokat kell
küldeni privát e-mail címünkre, további információ:
stevenmartinsfundings@gmail.com
Ki dől be egy ilyen e-mail-nek?

13. A program nem indult el, mert d3dx9_43. dll hiányzik a
számítógépről. A probléma megoldásához próbálja meg
újratelepíteni a programot. Link:
És ha egy ilyen üzenetet kapnánk?

14. Fizetnénk ezen keresztül?

15. *Oroszi Eszter (2017) alapján
1. Személyes 2. Munkahelyi 3. Pillanatnyi 4. Stresszhelyzet
Segítőkész Új munkatárs Fáradtság Konfliktuskerülés
Naiv Napi rutin Sietség, kapkodás Meggondolatlanság
Nyitott, barátságos Problémamegoldás Figyelmetlenség Reflex
Kíváncsi, érdeklődő Ismeretlenekkel való
együttműködés Túlterheltség Leblokkolás
Befolyásolható Elégedetlenség Szabadság Hárítás
Lusta Lefizethetőség Betegség Kompromisszum
Hanyag,
nemtörődöm Megzsarolhatóság Ünnepek Együttműködés
Rajongó Bosszú Düh Irányíthatóság
Mennyire igaz Rád/Önre?

16. 373. § (1) Aki jogtalan haszonszerzés végett
mást tévedésbe ejt, vagy tévedésben tart, és
ezzel kárt okoz, csalást követ el.
Ami nem social engineering, pedig…

17. • Használati tárgy eladásának ígérete
• Webáruházas, apróhirdetési oldalon történő vásárlás
• Csereajánlat
• Munkalehetőség ígérete
• Emelt díjas telefonszám használata
• Javításra adott megbízás
• Sértett hirdet eladásra műszaki cikket
• Jegyduplikáció
• Hamis arculati eszközök használata
• Hamis bankszámlaszám használata
• Hamis márkajelzésű termék kereskedelme
• Kedvezőbb hitelkonstrukció ígérete
• Bizalomra épülő csalás
• Házasságszédelgés, párkapcsolati csalás
• Hamis magánokirat felhasználása
• Hamis személyi adatokkal, vagy személyes adatok klónozással
elkövetett csalás
• Bankkártyával elkövetett csalás

18. A social engineering általános felépítése

19. 1. A terv alapozása (találkozás a megbízóval, „szerződés” előkészítése)
2. Felderítés, információszerzés (OSINT)
3. Megfelelő célszemély(ek) kiválasztása
4. A támadás előkészítése (információk kiértékelése, helyszín, módszer,
szereplők, történet, időtáv, stb. kiválasztása, a megszerzendő adatok és
információk meghatározása, „szerződés” elfogadása)
5. Megtévesztés – a bizalom megszerzése (a social attack indítása – az első
4 másodperc, valamint az első néhány mondat)
6. A megszerzett bizalom kihasználása (pl.: beszélgetés folytatása, bejutás
elzárt részekbe)
7. A támadás előkészítése során meghatározott adatok és információk
megszerzése
8. A beszélgetés zárása és/vagy a nyomok eltüntetése
9. A helyszín elhagyása
10. A megszerzett adatok és információk feldolgozása és/vagy átadása a
megbízónak feldolgozásra
11. A támadás kiértékelése, tapasztalatok megfogalmazása

20. Felderítés, információszerzés

21. • a szervezet munkatársainak digitális lábnyomai
• a szervezet munkatársaival folytatott beszélgetések
• a szervezet beszállítóival, vásárlóival, versenytársaival folytatott
beszélgetések
• a szervezet publikus sajtóanyagai (pl.: sajtóközlemények)
• a szervezet weboldalai és egyéb webes platformjai (pl.: Linkedin,
Facebook)
• a szervezetről a nyomtatott és elektronikus médiában megjelenő
hírek, információk
• az internetes keresőkkel megtalálható tartalmak
• az internet sötét tartalmai (dark web)
• kereskedelmi (fizetős) on-line szolgáltatók tanulmányai, adattárai
• kereskedelmi műholdak felvételei
OSINT 1.

22. • nem kormányzati szervek (NGO) (pl.: Amnesty International,
Nemzetközi Vöröskereszt, Orvosok Határok Nélkül,) hivatalos
anyagai és az alkalmazottaival, szakembereivel folytatott
beszélgetések
• szakmai szövetségek, kamarák, érdekképviseleti szervezetek adott
szervezetről is szóló beszámolói, elemzései
• személyes tapasztalatok
• szürke irodalom: nem publikált és nem is minősített
dokumentumok, tanulmányok, jelentések, melyek „okos
böngészéssel” megtalálhatóak
• tudományos előadások, konferenciák, ahol a szervezetről
elhangoznak információk
• tudományos-kutató szervezetek, egyetemek: pl.: az adott
szervezettel közösen végzett kutatások, fejlesztések
OSINT 2.

23. Megfelelő célszemély(ek) kiválasztása

24. Támadó Áldozat
Feltűnően csinos és kívánatos nő
saját magát túlértékelő, szexuális vágytól
fűtött férfi
beszállító cég intelligens, sármos
középvezetője
a harmincas éveiben járó, a férfiak
megbecsülését és igaz szerelmét kereső
nő
az esőben elázott, vékony testalkatú,
szemüveges pizzafutár, kerékpáros
futár
hasonló életkorú gyermeket nevelő
nő, ügyintéző
a vállalat székhelyén dolgozó, legfrissebb
híreket ismerő kolléga
a telephelyen dolgozó, az
információhiány miatt sorsukat
bizonytalannak ítélő kollégák
a dohányzó külsős kolléga, beszállító,
vásárló
a kijelölt helyen (vagy éppen a tilosban)
dohányzók
az új kolléga, aki segítséget kér a vállalat
informatikai rendszereinek a
használatához
a kollégák, akik segítenek neki
Gyakori szereprelációk

25. Támadó Áldozat
a vállalat tevékenységét ellenőrző
külsős személy
a vállalat alkalmazottai (főleg azok,
akik tudják, hogy valamilyen munkát
nem, vagy nem megfelelő
minőségben, vagy csak a megadott
határidőn túl végeztek el)
az informatikus/rendszergazda
a számítógéphez és/vagy az
informatikai rendszerhez nem értő
kolléga
Takarítók
Karbantartók
kerékpáros futárok, postások,
csomagszállítók
pénz-és értékszállítók
A vállalat dolgozói
Szakszerűség és megbízhatóság szereprelációi
Egyéb szereprelációk

26. Megtévesztés, a bizalom megszerzése

27. *Hogan, Kevin (2008) alapján
Az első 4
másodperc
(nonverbális)
Hozzáértés Megbízhatóság
Szakszerűség
Szerethetőség,
szimpátia
Önuralom
Társas
hajlam
Megtévesztés – a támadó hitelességének meghatározói*

28. A megszerzett bizalom kihasználása
A beszélgetés zárása

29. Esettanulmány

30. Setting/scene:
beszédhelyzet • Teljes időkeret: 13 perc
• belső időhatár (vagyis, amit elemzünk): 4 perc
• Másik térben adatgyűjtés (nem része az elemzésnek): 7 perc
• Elköszönés, távozás: 2 perc
• Külső térbeli határ: a bankfiók ügyfélpultja, s annak környéke
• időjárás (borongós, esős idő, az emberek hangulata nyomott)
• Belső térbeli határon a támadó nem változtatott
• Támadás délelőtt történt, a hónap elején
Participants:résztvevők
• közvetett résztvevők: ügyfelek, banki alkalmazottak (a banki
alkalmazottak kizárása fontos volt a támadás eredményessége
szempontjából)
• közvetlen résztvevők: támadó, banki alkalmazott (ügyfélpultos)
Szerepek:
• támadó: kinézetre pizzafutár, aki elázott, s szeretne elmenni a
mosdóba. 20 év körüli, vékony testalkatú, szimpatikus fiatal.
• áldozat: negyvenes évei közepén járó nő

31. Ends:lezárások
• elérni az áldozatnál, hogy engedje be a támadót az
ügyfelektől elzárt részbe, ahol a mosdó található 
• amint a támadót bejutott, szerezzen meg valamelyik
munkatárstól bizalmas adatokat, információkat úgy, hogy
az irodájából elhoz valamilyen „adathordozót” 

32. Actsequences:cselekménysorozatok
(1) az esőben elázott pizzafutár belép a bankfiókba
(2) sorszámot kér az automatából
(3) az automata egy másik ügyintézőhöz irányítja, de ezt nem veszi
figyelembe
(4) amikor a kijelzőn a kiszemelt ügyintéző pultszáma megjelenik, a
kezében hangsúlyosan mutatva a számát tartalmazó lapot, odalép az
ügyintézőhöz, a pizzafutár hordtáskát a széken hagyja
(5) a támadó illedelmesen köszön az ügyintézőnek, beszélgetnek néhány
mondatban az időjárásról, majd megemlíti, hogy még „pisilni sincs
időm, annyi megrendelést kell ma kivinnem”, majd szól egy mondatban
arról, hogy egyetemista, tandíjra gyűjt, ezért dolgozik
(6) a támadó elmondja a kérését, miszerint szeretne elmenni a
mosdóba, illetve megkéri az áldozatot, hogy addig vigyázzon a
pizzaszállító táskára
(7) az áldozat ugyan először a szabályokra hivatkozik, de néhány
megerősítő mondat után beengedi a támadót azzal a megjegyzéssel,
hogy siessen, s addig vigyáz a pizzaszállító táskára

33. Key: kulcs
Támadó archetípusai
• pizzafutár: létező cég emblémájával ellátott póló,
tornacipő, farmer, kezében pizzaszállító táska
(racionális)
• egyetemista: szemüveg, tandíjért gyűjt, ágrólszakadt,
elázott, illedelmes (emocionális)
Banki ügyintéző archetípusai:
• távolságtartó, az ügyre fókuszáló ügyintéző
• támadó kulcsa átírja: anyává, keresztanyává
Instrumentalities:
eszközök
• verbális
• nonverbális
• a jelentéstartalmak tekintetében épít a
metakommunikatív jegyekre is.
Norms:
normák
A támadó ráveszi áldozatát, hogy normaszegést kövessen
el, vagyis hogy beengedje az ügyfelektől elzárt területre
Genre: műfaj Segítségkérés/nyújtás, rövid beszélgetés

34. Javaslatok

35. Biztonságtudatosság fejlesztése

36. •Tantermi előadások
•E-learning kurzusok
•Gyakorlati feladatok
•Tanácsadás
•Coaching
Lehetőségek

37. •Alapkérdések: ki, mit, mikor, hol, miért, hogyan, esetleg:
•mennyiért, milyen céllal
•Esettanulmány megismertetése és közös feldolgozása
•A coach megoszthatja saját és/vagy ügyfelei körében
•tapasztalt eseteket
•A megbízó saját esetének elemzése, újbóli „eljátszása”
•Szakirodalom olvastatása
•Releváns rövidfilmek megnézettetése
•Agendázás, naptárelemzés
•Naplóírás
Coaching, tanácsadás I.

38. •Fókuszáltató, orientáló kérdések
•Coach modellek
•Csoportos módszerek
• Gamification
• Brainstorming
Coaching, tanácsadás II.

39. Dr. Kollár Csaba PhD.
Óbudai Egyetem Biztonságtudományi Doktori Iskola
kollar.csaba@phd.uni-obuda.hu
https://www.linkedin.com/in/drkollarcsaba
http://www.slideshare.net/drkollarcsaba
Köszönöm megtisztelő figyelmüket!

40. • https://cdn3.i-
scmp.com/sites/default/files/styles/980x551/public/2014/10/13/0a963be99c1bc2a3f5c671f796930218.jpg?itok=J120XMjW
• http://www.blackseanews.net/files//image/00-07-12-10/troy.jpg
• https://antikva.hu/images/item_image/644/486897.jpg
• https://moly.hu/system/covers/big/covers_77148.jpg
• http://www.quotationof.com/images/kevin-mitnicks-quotes-7.jpg
• http://www.teamjimmyjoe.com/wp-content/uploads/2013/02/Bad-Tattoos-Mugshot-Face-Tattoos.jpg
• http://media.philly.com/images/20091119_inq_o-phymes19-a.JPG
• http://1.bp.blogspot.com/-89oJeNTlCrI/VfK3hyES_7I/AAAAAAAAAT0/21k47VPHnsQ/s1600/pizza_slice.jpg
• https://qph.ec.quoracdn.net/main-qimg-2d575da5f58dfefe36bed51c64787e3a?convert_to_webp=true
A felhasznált képek forrása