Αρχική σελίδα » πως να » Τι είναι η κοινωνική μηχανική και πώς μπορείτε να την αποφύγετε;

    Τι είναι η κοινωνική μηχανική και πώς μπορείτε να την αποφύγετε;

    Το κακόβουλο λογισμικό δεν είναι η μοναδική σε απευθείας σύνδεση απειλή για την ανησυχία. Η κοινωνική μηχανική είναι μια τεράστια απειλή και μπορεί να σας χτυπήσει σε οποιοδήποτε λειτουργικό σύστημα. Στην πραγματικότητα, η κοινωνική μηχανική μπορεί επίσης να συμβεί μέσω τηλεφώνου και σε καταστάσεις πρόσωπο με πρόσωπο.

    Είναι σημαντικό να γνωρίζετε την κοινωνική μηχανική και να είστε επιφυλακτικοί. Τα προγράμματα ασφαλείας δεν θα σας προστατεύσουν από τις περισσότερες απειλές κοινωνικής μηχανικής, οπότε θα πρέπει να προστατεύσετε τον εαυτό σας.

    Κοινωνική Μηχανική Επεξήγηση

    Οι παραδοσιακές επιθέσεις που βασίζονται στον υπολογιστή συχνά εξαρτώνται από την εύρεση ευπάθειας στον κώδικα ενός υπολογιστή. Για παράδειγμα, εάν χρησιμοποιείτε μια παλιά έκδοση του Adobe Flash - ή, θεέ μου, απαγορεύεται η Java, η οποία ήταν η αιτία για το 91% των επιθέσεων το 2013 σύμφωνα με τη Cisco - θα μπορούσατε να επισκεφτείτε έναν κακόβουλο ιστότοπο και αυτόν τον ιστότοπο θα εκμεταλλευόταν την ευπάθεια του λογισμικού σας για να αποκτήσετε πρόσβαση στον υπολογιστή σας. Ο επιτιθέμενος χειρίζεται σφάλματα στο λογισμικό για να αποκτήσει πρόσβαση και να συγκεντρώσει προσωπικές πληροφορίες, ίσως με ένα keylogger που εγκαθιστούν.

    Τα τεχνάσματα κοινωνικής μηχανικής είναι διαφορετικά, διότι περιλαμβάνουν ψυχολογική χειραγώγηση. Με άλλα λόγια, εκμεταλλεύονται τους ανθρώπους, όχι το λογισμικό τους.

    Ίσως έχετε ήδη ακούσει για το phishing, το οποίο είναι μια μορφή κοινωνικής μηχανικής. Μπορεί να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι προέρχεται από την τράπεζά σας, την εταιρεία πιστωτικών καρτών ή άλλη αξιόπιστη επιχείρηση. Μπορούν να σας κατευθύνουν σε μια ψεύτικη ιστοσελίδα μεταμφιεσμένη για να μοιάζει με μια πραγματική ή να σας ζητήσει να κατεβάσετε και να εγκαταστήσετε ένα κακόβουλο πρόγραμμα. Αλλά τέτοια κόλπα κοινωνικής μηχανικής δεν χρειάζεται να περιλαμβάνουν ψεύτικες ιστοσελίδες ή κακόβουλα προγράμματα. Το μήνυμα ηλεκτρονικού "ψαρέματος" μπορεί απλώς να σας ζητήσει να στείλετε μια απάντηση μέσω ηλεκτρονικού ταχυδρομείου με ιδιωτικές πληροφορίες. Αντί να προσπαθήσουν να εκμεταλλευτούν ένα σφάλμα σε ένα λογισμικό, προσπαθούν να εκμεταλλευτούν τις κανονικές ανθρώπινες αλληλεπιδράσεις. Το phishing των Spear μπορεί να είναι ακόμα πιο επικίνδυνο, καθώς είναι μια μορφή phishing σχεδιασμένη να στοχεύει συγκεκριμένα άτομα.

    Παραδείγματα κοινωνικής μηχανικής

    Ένα δημοφιλές τέχνασμα στις υπηρεσίες συνομιλίας και στα online παιχνίδια είναι να καταχωρήσετε ένα λογαριασμό με όνομα όπως το "Administrator" και να στείλετε στους ανθρώπους τρομακτικά μηνύματα όπως "ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Εντοπίσαμε ότι κάποιος μπορεί να παραβιάζει το λογαριασμό σας, να απαντήσει με τον κωδικό σας για να σας πιστοποιήσει τον εαυτό σας". Εάν ένας στόχος αποκρίνεται με τον κωδικό πρόσβασής του, έχει πέσει για το τέχνασμα και ο εισβολέας έχει τώρα τον κωδικό του λογαριασμού του.

    Εάν κάποιος έχει προσωπικές πληροφορίες σχετικά με εσάς, θα μπορούσε να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στους λογαριασμούς σας. Για παράδειγμα, πληροφορίες όπως η ημερομηνία γέννησής σας, ο αριθμός κοινωνικής ασφάλισης και ο αριθμός της πιστωτικής σας κάρτας χρησιμοποιούνται συχνά για την αναγνώρισή σας. Αν κάποιος έχει αυτές τις πληροφορίες, μπορεί να επικοινωνήσει με μια επιχείρηση και να προσποιηθεί ότι είναι εσύ. Αυτό το τέχνασμα ήταν γνωστό που χρησιμοποιήθηκε από έναν εισβολέα για να αποκτήσει πρόσβαση στο Yahoo! της Sarah Palin. Λογαριασμός αλληλογραφίας το 2008, υποβάλλοντας αρκετά προσωπικά στοιχεία για να αποκτήσετε πρόσβαση στο λογαριασμό μέσω της φόρμας ανάκτησης κωδικού πρόσβασης του Yahoo!. Η ίδια μέθοδος θα μπορούσε να χρησιμοποιηθεί για το τηλέφωνο εάν έχετε τις προσωπικές πληροφορίες που χρειάζεται η επιχείρηση για να σας πιστοποιήσει. Ένας επιτιθέμενος με κάποιες πληροφορίες σχετικά με έναν στόχο μπορεί να προσποιείται ότι είναι αυτοί και να αποκτήσει πρόσβαση σε περισσότερα πράγματα.

    Η κοινωνική μηχανική θα μπορούσε επίσης να χρησιμοποιηθεί αυτοπροσώπως. Ένας επιτιθέμενος θα μπορούσε να περπατήσει σε μια επιχείρηση, να ενημερώσει τον γραμματέα ότι είναι επισκευαστής, νέος υπάλληλος ή επιθεωρητής πυρκαγιάς με αυθεντικό και πειστικό τόνο και στη συνέχεια να περιπλανηθεί στις αίθουσες και ενδεχομένως να κλέψει εμπιστευτικά δεδομένα ή φυτικά σφάλματα για να εκτελέσει εταιρική κατασκοπεία. Αυτό το τέχνασμα εξαρτάται από τον εισβολέα που παρουσιάζεται ως κάποιος που δεν είναι. Εάν ένας γραμματέας, ο θυρωρός ή οποιοσδήποτε άλλος είναι υπεύθυνος δεν θέτει πάρα πολλές ερωτήσεις ή κοιτάζει πολύ στενά, το τέχνασμα θα είναι επιτυχές.

    Οι επιθέσεις κοινωνικής μηχανικής καλύπτουν το φάσμα των ψεύτικων ιστότοπων, τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου και τα κακά μηνύματα συνομιλίας σε όλη τη διαδρομή μέχρι να μιμηθούν κάποιον στο τηλέφωνο ή στο πρόσωπο. Αυτές οι επιθέσεις έρχονται σε μια ευρεία ποικιλία μορφών, αλλά όλοι έχουν ένα κοινό πράγμα - εξαρτώνται από την ψυχολογική περιπλοκή. Η κοινωνική μηχανική έχει ονομαστεί η τέχνη της ψυχολογικής χειραγώγησης. Είναι ένας από τους κύριους τρόπους που οι "χάκερ" στην πραγματικότητα "hack" λογαριασμών σε απευθείας σύνδεση.

    Πώς να αποφύγετε την κοινωνική μηχανική

    Η γνώση της κοινωνικής μηχανικής μπορεί να σας βοηθήσει να το μάθετε. Να είστε ύποπτοι για ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα συνομιλίας και τηλεφωνικές κλήσεις που ζητούν ιδιωτικές πληροφορίες. Ποτέ μην αποκαλύπτετε οικονομικά στοιχεία ή σημαντικές προσωπικές πληροφορίες μέσω ηλεκτρονικού ταχυδρομείου. Μην μεταφορτώνετε δυνητικά επικίνδυνα συνημμένα μηνύματα ηλεκτρονικού ταχυδρομείου και τα εκτελείτε, ακόμα και αν ένα μήνυμα ηλεκτρονικού ταχυδρομείου ισχυρίζεται ότι είναι σημαντικά.

    Επίσης, δεν πρέπει να ακολουθείτε συνδέσμους σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε ευαίσθητους ιστότοπους. Για παράδειγμα, μην κάνετε κλικ σε ένα σύνδεσμο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να είναι από την τράπεζά σας και να συνδεθείτε. Μπορεί να σας οδηγήσει σε μια ψεύτικη διεύθυνση ηλεκτρονικού "ψαρέματος" που μεταμφιέζεται να εμφανίζεται ως ιστότοπος της τράπεζάς σας, αλλά με μια διακριτικά διαφορετική διεύθυνση URL. Επισκεφθείτε την ιστοσελίδα απευθείας.

    Αν λάβετε ένα ύποπτο αίτημα - για παράδειγμα, μια τηλεφωνική κλήση από την τράπεζά σας ζητά προσωπικά στοιχεία - επικοινωνήστε απευθείας με την πηγή της αίτησης και ζητήστε επιβεβαίωση. Σε αυτό το παράδειγμα, καλείτε την τράπεζά σας και ρωτήστε τι θέλουν αντί να αποκαλύψετε τις πληροφορίες σε κάποιον που ισχυρίζεται ότι είναι η τράπεζά σας.

    Τα προγράμματα ηλεκτρονικού ταχυδρομείου, τα προγράμματα περιήγησης ιστού και οι σουίτες ασφαλείας έχουν συνήθως φίλτρα ηλεκτρονικού "ψαρέματος" (phishing) που θα σας προειδοποιήσουν όταν επισκέπτεστε έναν γνωστό ιστότοπο ηλεκτρονικού "ψαρέματος" Το μόνο που μπορούν να κάνουν είναι να σας προειδοποιούν όταν επισκέπτεστε έναν γνωστό ιστότοπο ηλεκτρονικού "ψαρέματος" (phishing) ή να λάβετε ένα γνωστό ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" (phishing) και δεν γνωρίζουν σχετικά με όλους τους ιστότοπους ηλεκτρονικού "ψαρέματος" Ως επί το πλείστον, εξαρτάται από εσάς να προστατεύσετε τον εαυτό σας - τα προγράμματα ασφαλείας μπορούν να βοηθήσουν μόνο λίγο.


    Είναι καλή ιδέα να ασκείτε υγιή καχυποψία όταν αντιμετωπίζετε αιτήματα για ιδιωτικά δεδομένα και οτιδήποτε άλλο μπορεί να είναι μια επίθεση κοινωνικής μηχανικής. Η υπόνοια και η προσοχή θα σας βοηθήσουν να προστατεύσετε, τόσο σε απευθείας σύνδεση όσο και εκτός σύνδεσης.

    Image Credit: Jeff Turnet στο Flickr