Οι 7 ευπάθειες του ανθρώπου που εκμεταλλεύεται η Κοινωνική Μηχανική

koinoniki-mixaniki-social-engineering

Πολλές από τις επιτυχημένες επιθέσεις σε υπολογιστικά συστήματα, περιλαμβάνουν σε μικρό η μεγάλο βαθμό και επιθέσεις με Social Engineering (Κοινωνική Μηχανική). Σήμερα θα δούμε τα 7 «τρωτά» σημεία της ανθρώπινης προσωπικότητας που μας κάνουν λίγο έως πολύ ευάλωτους σε τέτοιες επιθέσεις.

Τι είναι η Κοινωνική Μηχανική – Social Engineering

Κοινωνική μηχανική (Social engineering) είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών. Αν και είναι παρόμοια με το τέχνασμα ή την απλή απάτη, ο όρος είναι κυρίως συνδεδεμένος με την εξαπάτηση ατόμων με σκοπό την απόσπαση εμπιστευτικών πληροφοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπολογιστικό σύστημα. Συνήθως αυτός που την εφαρμόζει δεν έρχεται ποτέ πρόσωπο με πρόσωπο με το άτομο που εξαπατά ή παραπλανά. Παρόλο που ο όρος ίσως να μην είναι ακριβής ή επιτυχημένος έχει πλέον καθιερωθεί.1

Όπως το περιγράφει ο «πατέρας» του όρου Social Engineering και πρώην hacker,  Κέβιν Μίτνικ

Είναι πολύ ευκολότερο να ξεγελάσεις κάποιον στο να σου δώσει έναν κωδικό πρόσβασης για ένα σύστημα παρά να προσπαθήσεις να σπάσεις τον κωδικό

Με λίγα λόγια, η κοινωνική μηχανική είναι να κάνεις κάποιον να κάνει κάτι που δεν θα έπρεπε να κάνει.

koinoniki-mixaniki-social-engineering

Ποιες είναι οι βασικές ευπάθειες που εκμεταλλεύεται η Κοινωνική Μηχανική

Υπάρχουν αδυναμίες σε κάθε πληροφοριακό σύστημα και οι άνθρωποι δεν αποτελούν εξαίρεση. Ας ρίξουμε μια ματιά σε μερικές από τις συμπεριφορές και συνήθειές μας που μας αφήνουν ανοιχτούς σε επιθέσεις Κοινωνικής Μηχανικής .

Απληστία

Μια από τις συχνότερες εκμεταλλευόμενες ανθρώπινες αδυναμίες στην κοινωνική μηχανική είναι η απληστία:

  • υπόσχεσαι στους ανθρώπους κάτι που θέλουν.

Έχετε πιθανώς συναντήσει ηλεκτρονικά μηνύματα στο φάκελο ανεπιθύμητης αλληλογραφίας σας στο οποίο υποτίθεται ότι υπάρχει ένα μεγάλο χρηματικό ποσό που έχει μείνει στα αζήτητα. Αυτός είναι ένας από τους πιο συνηθισμένους τύπους επιθέσεων phishing στο οποίο ο επιτιθέμενος προσπαθεί να εκμεταλλευτεί την απληστία του θύματος.

Υπάρχουν εκατοντάδες παραλλαγές αυτών των επιθέσεων αλλά όλα έχουν ένα κοινό χαρακτηριστικό στο οποίο ο επιτιθέμενος υπόσχεται στο θύμα ένα μεγάλο χρηματικό ποσό με αντάλλαγμα κάποιες βασικές λεπτομέρειες όπως το όνομα, την ηλικία και τον αριθμό τηλεφώνου. Μόλις ο επιτιθέμενος τα αποκτήσει, τότε προχωράει την επίθεση ζητώντας κάποιες πιο ευαίσθητες πληροφορίες.

Πολύ πιθανών να σκέφτεστε ότι αυτού του είδους οι επιθέσεις δεν συμβαίνουν πια. Κάθε χρόνο, αποστέλλονται εκατοντάδες εκατομμύρια ηλεκτρονικών μηνυμάτων ηλεκτρονικού «ψαρέματος». Μόνο ένας στα εκατοντάδες ή χιλιάδες από αυτά τα υποψήφια θύματα χρειάζεται να «τσιμπήσει» ώστε η προσπάθεια του επιτιθέμενου να καταλήξει κερδοφόρα.

Φόβος

Μια άλλη αδυναμία είναι ο φόβος. Ο φόβος μπορεί να πάρει πολλές μορφές …

Σε αυτόν τον τύπο επίθεσης που γίνεται ολοένα και πιο συχνός, ο επιτιθέμενος ισχυρίζεται ότι έχει κάποιες πολύ προσωπικές πληροφορίες, τις οποίες απειλεί να διαρρεύσει, εκτός αν το θύμα πληρώσει κάποια λύτρα. Μετά το χάος του Ashley Madison του 20152, χιλιάδες θύματα έλαβαν μηνύματα ηλεκτρονικού ταχυδρομείου με την απειλή να πληρώσουν κάποια bitcoins αλλιώς τα πιο βαθιά και σκοτεινά μυστικά τους θα επρόκειτο να δημοσιευτούν. Ο φόβος της αμηχανίας οδηγεί δεκάδες θύματα του να συμμορφωθούν και να πληρώσουν ένα διόλου ευκαταφρόνητο ποσό.

Ο φόβος μπορεί πράγματι να είναι ένα ισχυρό εργαλείο και να επιφέρει όλεθρο στα χέρια ενός κακόβουλου επιτιθέμενου.

Επείγον

Ο καθορισμός ενός χρονικού ορίου σε μια επίθεση κοινωνικής μηχανικής θέτει σε περιορισμό τις αντιδράσεις του θύματος. Εάν πιστεύουν αληθινά ότι πρέπει να υπακούσουν τώρα, μπορεί να μην ενεργούν ορθολογικά και να δεχτούν τις απαιτήσεις που διαφορετικά δεν θα είχαν δεχτεί.

Φυσικά αυτό το τέχνασμα δεν το χρησιμοποιούν μόνο οι hacker αλλά και οι εταιρείες για να σας κάνουν να αγοράσετε κάτι άμεσα. Έχετε δει πιθανώς διαφημίσεις που προσπαθούν να εκμεταλλευτούν αυτό το τέχνασμα:

  • Η προσφορά ισχύει μόνο για τις επόμενες 24 ώρες!
  • Καλέστε τώρα για να πάρετε μια έκπτωση 20%!
  • Προλάβετε διότι έχουν μείνει μόνο 5 !

Η αξιοποίηση του επείγοντος μπορεί συχνά να πολλαπλασιάσει τις πιθανότητες να κάνει το θύμα να κάνει κάτι που δεν θα είχε κάνει διαφορετικά.

Περιέργεια

Το πιο εμφανές παράδειγμα εκμετάλλευσης της περιέργειας μας είναι το clickbait. Σίγουρα έχετε δει τίτλους όπως αυτοί:

  • Δεν θα πιστέψετε τι συνέβη στη συνέχεια !!
  • Απίστευτο δείτε στο βίντεο τι μας κρύβουν !

Κλασσικό παράδειγμα, διαφημίσεων και άρθρων που σχετίζονται με την θαυματουργική αισθητική και τα προϊόντα ομορφιάς ! Οι περισσότεροι άνθρωποι φυσικά θα γνωρίζουν ότι μια γυναίκα 61 ετών δεν μπορεί απλά να αλείψει το πρόσωπό της με μια κρέμα και να γίνει το δέρμα της όπως ήταν στα 25 της

Φυσικά οι διαφημιστές, έχουν ένα στόχο, κάνουν ό,τι χρειάζεται για να σας κάνουν να κάνετε κλικ. Και αυτό κάνει την περιέργειά μας ένα από τα πιο εκμεταλλευόμενα ανθρώπινα χαρακτηριστικά όλων.

Συμπόνια

Μπορεί να μην θεωρούμε τη συμπόνια ως αδυναμία, αλλά σίγουρα υπάρχουν εκείνοι που θα προσπαθήσουν να την εκμεταλλευτούν.

Αυτός ο τύπος επίθεσης συνήθως έρχεται ως μήνυμα στον τοίχο μας στα κοινωνικά δίκτυα και θα μπορούσε να είναι ιδιαίτερα επικίνδυνος εάν βλέπετε κάτι τέτοιο που προέρχεται από κάποιον που γνωρίζετε και εμπιστεύεστε. Συνήθως σας ζητάει να βοηθήσετε είτε με διαμοιρασμό μιας ψευδής είδησης ή να καταθέσετε κάποιο χρηματικό πόσο για να βοηθήσετε.

Όταν βλέπουμε ένα μήνυμα από ένα γνωστό μας πρόσωπο, ρίχνουμε αμέσως τις άμυνες μας. Δεν περιμένουμε από τους φίλους ή τους συναδέλφους μας να προσπαθήσουν να μας εξαπατήσουν και να μας απατούν. Και αυτό παρέχει ακόμα μια τεχνική για έναν εισβολέα να μας εκμεταλλευτεί ιδιαίτερα αν έχει καταφέρει να κλέψει κάποιον λογαριασμό φίλου μας στα κοινωνικά δίκτυα.

Σεβασμός σε αξίωμα

Έστω ότι χτυπάει το κουδούνι και βλέπετε κάποιον με στολή ηλεκτρολόγου και σας λέει ότι είναι από την υπηρεσία ηλεκτροδότησης. Πόσο συχνά νομίζετε ότι ελέγχουν οι ένοικοι την ταυτότητά τους;

Όταν ένα άτομο φέρεται να φοράει μια στολή και ενεργεί με συγκεκριμένο τρόπο, αρχίζουμε αυτόματα να διαμορφώνουμε προσδοκίες, μια εικόνα στο μυαλό μας με βάση τις προηγούμενες εμπειρίες μας. Και αυτό δημιουργεί μια ακόμα μορφή phishing

Το ίδιο μπορεί να γίνει αν λάβετε ένα email που προσποιείται κάποια δημόσια υπηρεσία (πχ αστυνομία). Θα παρατηρήσετε ότι το email περιέχει τα σωστά λογότυπα, λεκτικό, με αποτέλεσμα να φαίνεται γνήσιο για το μη εκπαιδευμένο μάτι. Σε συνδυασμό με το γεγονός ότι οι περισσότεροι άνθρωποι πιθανότατα δεν γνωρίζουν τι είναι η διεύθυνση ισότοπο της τοπικής αστυνομικής υπηρεσίας, η επίθεση αυτή μπορεί να αποδειχθεί αρκετά επικίνδυνη.

Απροσεξία

Σχεδόν όλες οι επιθέσεις κοινωνικής μηχανικής μπορούν να αποφευχθούν, αν είμαστε συνεχώς σε επαγρύπνηση. Κάθε επίθεση κοινωνική μηχανικής στοχεύει εσάς που δεν ψάχνετε πολύ κάτι που διαβάζετε, που είστε λάθος ενημερωμένοι, απρόσεκτοι και αφελείς.

Ο browser σας ενδέχεται να σας προειδοποιήσει εάν ο ιστότοπος φαίνεται κακόβουλος, η υπηρεσία ηλεκτρονικού ταχυδρομείου σας μπορεί να χρησιμοποιεί φίλτρο για τις πιο προφανείς επιθέσεις και να τις μεταφέρει στον φάκελο ανεπιθύμητης αλληλογραφίας σας, αλλά εν τέλει ο τελικός αποδέκτης και κριτής είστε εσείς.

Επίλογος

Γνωρίζοντας τις αδυναμίες μας, θα είμαστε σε καλύτερη θέση να υπερασπιστούμε τον εαυτό μας από κάθε είδους επιθέσεις κοινωνικής μηχανικής. Αν κάτι δεν σας «κάθεται» καλά μην αντιδράσετε εκείνη την στιγμή, αλλά ρωτήστε κάποιον που μπορεί να να ξέρει και δεν είναι επηρεασμένος από αυτό που βλέπει.


Παραπομπές:

Advertisements

Σου άρεσε το άρθρο; Πες την άποψή σου... έστω και Ανώνυμα:

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.