Amikor kiürül a hacker informatikai eszköztára, ha nincs mód behatolni egy vállalat számítógépes rendszerébe; ha nem a szoftveren, a hardveren vagy a hálózaton múlik az adatok biztonsága, akkor kezdhetünk igazán aggódni: a cégnél ugyanis alkalmazottak dolgoznak, az emberi faktor pedig megkerülhetetlenül fontos tényező. A social engineeringről, vagyis az emberek természetes, bizalomra való hajlamának kihasználásáról alaposan bebizonyosodott, hogy kíméletlen hatékonysággal képes működni.

Colin Greenless, a Siemens Enterprise Communications biztonsági szakértője egy héten keresztül bármiféle speciális felszerelés nélkül, pusztán az alkalmazottak bizalmába férkőzve fért hozzá egy pénzügyi szolgáltatásokat nyújtó vállalat belsős cégadataihoz. A kísérlet során a szakember önkényesen felvette saját magát a cég dolgozóinak soraiba, vagyis úgy tett, mintha ő maga is a vállalat alkalmazottja lenne. Nem volt nehéz dolga: szó szerint tárt kapukkal várták.

A leleményes férfi besétált a cég irodaépületébe anélkül, hogy a biztonsági személyzet egyáltalán megkérdezte volna tőle, mégis kihez tart éppen, majd nemes egyszerűséggel felballagott a harmadik emeletre és „munkához látott” az egyik tárgyalóban. IT-dolgozónak kiadva magát a cég belső telefonhálózatán keresztül felhívott több alkalmazottat, és mindenféle információkat kért tőlük, köztük felhasználóneveket és jelszavakat is. Húszból 17 esetben minden probléma nélkül megkapta a rendkívül bizalmas adatokat, így Greenless szabadon bóklászhatott a vállalat elektronikus adatbázisaiban.

Egy hétig tartó „munkája” során a szakember bebarangolta az épület emeleteit, így nehézségek nélkül jutott be többek között olyan irodai helyiségekbe, ahol kényelmesen hozzáfért íróasztalokon hagyott bizalmas feljegyzésekhez vagy éppen céges dokumentumokat tartalmazó szekrényekhez. „A félelmetes az, hogy egyszerű dolgom volt. Elég annyit tenned, hogy a kártyaleolvasó ajtókhoz két csésze kávéval a kezedben közelítesz, és máris megnyitják előtted a kapukat” – ismertette ravasz trükkjeinek részleteit.

A kísérlet azonban nem állt meg ezen a ponton: Greenless gondolt egy merészet, és meghívta siemenses kollégáját a vállalathoz, így rövid úton már ketten garázdálkodtak az egyébként londoni tőzsdén jegyzett cég informatikai rendszerében. A szakember annak rendje s módja szerint össze is barátkozott több alkalmazottal, a biztonsági őrrel pedig a hét végére már keresztnevükön szólították egymást.

„A hi-tech biztonsági berendezések teljességgel védtelenek az effajta támadásokkal szemben, a legtöbb alkalmazottnak pedig fogalma sincs arról, mikor próbálják őket manipulálni” – kongatta meg a vészharagot Greenless.