Κατανοήστε την Κοινωνική Μηχανική - Προστασία από το Human Hacking
Μια πρόσφατη είδηση με έκανε να συνειδητοποιήσω πώς τα ανθρώπινα συναισθήματα και οι σκέψεις μπορούν να χρησιμοποιηθούν (ή, να χρησιμοποιούνται) προς όφελος των άλλων. Σχεδόν όλοι γνωρίζετε τον Έντουαρντ Σνόουντεν(Edward Snowden) , τον πληροφοριοδότη της NSA που κατασκοπεύει σε όλο τον κόσμο. Το Reuters ανέφερε ότι ζήτησε περίπου 20-25 άτομα της NSA να του παραδώσουν τους κωδικούς πρόσβασής τους για την ανάκτηση ορισμένων δεδομένων που διέρρευσε αργότερα [1]. Φανταστείτε(Imagine) πόσο εύθραυστο μπορεί να είναι το εταιρικό σας δίκτυο, ακόμη και με το ισχυρότερο και καλύτερο λογισμικό ασφαλείας!
Τι είναι η Κοινωνική Μηχανική
Η ανθρώπινη(Human) αδυναμία, η περιέργεια, τα συναισθήματα και άλλα χαρακτηριστικά έχουν χρησιμοποιηθεί συχνά για την παράνομη εξαγωγή δεδομένων – είτε πρόκειται για οποιονδήποτε κλάδο. Ωστόσο , η βιομηχανία πληροφορικής της(IT Industry) έχει δώσει το όνομα της κοινωνικής μηχανικής. Ορίζω την κοινωνική μηχανική ως:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Ακολουθεί μια άλλη γραμμή από την ίδια είδηση [1] που θέλω να παραθέσω – « Οι υπηρεσίες ασφαλείας δυσκολεύονται πολύ με την ιδέα ότι ο τύπος στην επόμενη καμπίνα μπορεί να μην είναι αξιόπιστος(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ». Τροποποίησα λίγο τη δήλωση για να την ταιριάξω στο πλαίσιο εδώ. Μπορείτε να διαβάσετε ολόκληρη την είδηση χρησιμοποιώντας τον σύνδεσμο στην ενότητα Αναφορές(References) .
Με άλλα λόγια, δεν έχετε τον πλήρη έλεγχο της ασφάλειας των οργανισμών σας με την κοινωνική μηχανική να εξελίσσεται πολύ πιο γρήγορα από τις τεχνικές για να την αντιμετωπίσετε. Η κοινωνική(Social) μηχανική μπορεί να είναι κάτι σαν να καλέσετε κάποιον λέγοντας ότι είστε τεχνική υποστήριξη και να του ζητήσετε τα διαπιστευτήρια σύνδεσής του. Πρέπει να λαμβάνατε μηνύματα ηλεκτρονικού "ψαρέματος" σχετικά με λοταρίες, πλούσιους στη Μέση Ανατολή(Mid East) και την Αφρική(Africa) που θέλουν επιχειρηματικούς συνεργάτες και προσφορές εργασίας για να σας ζητήσουν τα στοιχεία σας.
Σε αντίθεση με τις επιθέσεις phishing, η κοινωνική μηχανική είναι σε μεγάλο βαθμό άμεση αλληλεπίδραση από άτομο σε άτομο. Ο πρώτος (ψάρεμα) χρησιμοποιεί ένα δόλωμα – δηλαδή, ο κόσμος που «ψαρεύει» σου προσφέρει κάτι ελπίζοντας ότι θα το πάθεις. Η κοινωνική(Social) μηχανική έχει να κάνει περισσότερο με την απόκτηση της εμπιστοσύνης των εσωτερικών υπαλλήλων, ώστε να αποκαλύπτουν τα στοιχεία της εταιρείας που χρειάζεστε.
Διαβάστε: (Read:) Δημοφιλείς μέθοδοι Κοινωνικής Μηχανικής .
Γνωστές Τεχνικές Κοινωνικής Μηχανικής
Υπάρχουν πολλά, και όλα χρησιμοποιούν βασικές ανθρώπινες τάσεις για να μπουν στη βάση δεδομένων οποιουδήποτε οργανισμού. Η πιο χρησιμοποιούμενη (πιθανώς απαρχαιωμένη) τεχνική κοινωνικής μηχανικής είναι να καλέσετε και να συναντήσετε άτομα και να τους κάνετε να πιστέψουν ότι προέρχονται από τεχνική υποστήριξη που πρέπει να ελέγξουν τον υπολογιστή σας. Μπορούν επίσης να δημιουργήσουν πλαστά δελτία ταυτότητας για να δημιουργήσουν εμπιστοσύνη. Σε ορισμένες περιπτώσεις, οι ένοχοι παρουσιάζονται ως κρατικοί αξιωματούχοι.
Μια άλλη διάσημη τεχνική είναι να απασχολήσετε το άτομό σας ως υπάλληλο στον οργανισμό-στόχο. Τώρα, επειδή αυτός ο απατεώνας είναι ο συνάδελφός σας, μπορείτε να του εμπιστευτείτε τα στοιχεία της εταιρείας. Ο εξωτερικός υπάλληλος μπορεί να σας βοηθήσει σε κάτι, έτσι νιώθετε υποχρεωμένοι και τότε είναι που μπορούν να βγάλουν το μέγιστο.
Διάβασα επίσης κάποιες αναφορές για άτομα που χρησιμοποιούν ηλεκτρονικά δώρα. Ένα φανταχτερό USB stick που σας παραδίδεται στη διεύθυνση της εταιρείας σας ή ένα στυλό στο αυτοκίνητό σας μπορεί να αποδειχθεί καταστροφές. Σε μια περίπτωση, κάποιος άφησε σκόπιμα κάποιες μονάδες USB στο πάρκινγκ ως δολώματα [2].
Εάν το εταιρικό σας δίκτυο έχει καλά μέτρα ασφαλείας σε κάθε κόμβο, είστε ευλογημένοι. Διαφορετικά, αυτοί οι κόμβοι παρέχουν ένα εύκολο πέρασμα για κακόβουλο λογισμικό – σε αυτό το δώρο ή σε «ξεχασμένες» μονάδες στυλό – στα κεντρικά συστήματα.
Ως εκ τούτου, δεν μπορούμε να παρέχουμε μια ολοκληρωμένη λίστα μεθόδων κοινωνικής μηχανικής. Είναι μια επιστήμη στον πυρήνα, σε συνδυασμό με την τέχνη στην κορυφή. Και ξέρετε ότι κανένας από τους δύο δεν έχει όρια. Οι τύποι της κοινωνικής(Social) μηχανικής συνεχίζουν να γίνονται δημιουργικοί ενώ αναπτύσσουν λογισμικό που μπορεί επίσης να κάνει κακή χρήση ασύρματων συσκευών αποκτώντας πρόσβαση στο εταιρικό Wi-Fi .
Διαβάστε: (Read:) Τι είναι το Socially Engineered Malware .
Πρόληψη της Κοινωνικής Μηχανικής
Προσωπικά, δεν νομίζω ότι υπάρχει κάποιο θεώρημα που να μπορούν να χρησιμοποιήσουν οι διαχειριστές για να αποτρέψουν τις εισβολές κοινωνικής μηχανικής. Οι τεχνικές κοινωνικής μηχανικής συνεχίζουν να αλλάζουν και, ως εκ τούτου, γίνεται δύσκολο για τους διαχειριστές IT να παρακολουθούν τι συμβαίνει.
Φυσικά, χρειάζεται να παρακολουθείτε τις ειδήσεις κοινωνικής μηχανικής, ώστε να είναι αρκετά ενημερωμένος ώστε να λάβει τα κατάλληλα μέτρα ασφαλείας. Για παράδειγμα, στην περίπτωση συσκευών USB , οι διαχειριστές μπορούν να αποκλείσουν τις μονάδες USB σε μεμονωμένους κόμβους επιτρέποντάς τους μόνο στον διακομιστή που διαθέτει καλύτερο σύστημα ασφαλείας. Ομοίως(Likewise) , το Wi-Fi(Wi-Fi) θα χρειαζόταν καλύτερη κρυπτογράφηση από ό,τι παρέχουν οι περισσότεροι από τους τοπικούς ISP(ISPs) .
Η εκπαίδευση των εργαζομένων και η διεξαγωγή τυχαίων δοκιμών σε διαφορετικές ομάδες εργαζομένων μπορεί να βοηθήσει στον εντοπισμό αδύνατων σημείων στον οργανισμό. Θα ήταν εύκολο να εκπαιδεύσετε και να προειδοποιήσετε τα πιο αδύναμα άτομα. Η εγρήγορση(Alertness) είναι η καλύτερη άμυνα. Το άγχος πρέπει να είναι ότι οι πληροφορίες σύνδεσης δεν πρέπει να κοινοποιούνται ακόμη και με τους αρχηγούς της ομάδας – ανεξάρτητα από την πίεση. Εάν ένας αρχηγός ομάδας χρειάζεται να αποκτήσει πρόσβαση στα στοιχεία σύνδεσης ενός μέλους, μπορεί να χρησιμοποιήσει έναν κύριο κωδικό πρόσβασης. Αυτή είναι μόνο μια πρόταση για να παραμείνετε ασφαλείς και να αποφύγετε τις εισβολές κοινωνικής μηχανικής.
Η ουσία είναι ότι, εκτός από το κακόβουλο λογισμικό και τους διαδικτυακούς χάκερ, οι άνθρωποι της πληροφορικής πρέπει να φροντίσουν και την κοινωνική μηχανική. Ενώ εντοπίζουν μεθόδους παραβίασης δεδομένων (όπως καταγραφή κωδικών πρόσβασης κ.λπ.), οι διαχειριστές θα πρέπει επίσης να διασφαλίζουν ότι το προσωπικό τους είναι αρκετά έξυπνο ώστε να εντοπίσει μια τεχνική κοινωνικής μηχανικής για να την αποφύγει εντελώς. Ποιες πιστεύετε ότι είναι οι καλύτερες μέθοδοι για την πρόληψη της κοινωνικής μηχανικής; Αν έχετε συναντήσει κάποια ενδιαφέρουσα περίπτωση, μοιραστείτε μαζί μας.
Κατεβάστε αυτό το ebook σχετικά με τις επιθέσεις κοινωνικής μηχανικής που κυκλοφόρησε από τη Microsoft και μάθετε πώς μπορείτε να εντοπίσετε και να αποτρέψετε τέτοιες επιθέσεις στον οργανισμό σας.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
βιβλιογραφικές αναφορές(References)
[1] Reuters , Snowden έπεισε τους υπαλλήλους της NSA να λάβουν τα (NSA Employees Into)στοιχεία σύνδεσής(Info) τους
[2] Boing Net , μονάδες στυλό που χρησιμοποιούνται για τη (Pen)διάδοση κακόβουλου λογισμικού(Spread Malware) .
Related posts
Εθισμός στο Διαδίκτυο και στους ιστότοπους κοινωνικής δικτύωσης
Ιστότοποι Fake News: Ένα αυξανόμενο πρόβλημα και τι σημαίνει στον σημερινό κόσμο
Πώς να ρυθμίσετε, να ηχογραφήσετε, να επεξεργαστείτε, να δημοσιεύσετε το Instagram Reels
Πώς να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων για λογαριασμό Reddit
Συνδεθείτε με το The Windows Club
Βρείτε τις καλύτερες αναρτήσεις και προτάσεις στο Reddit χρησιμοποιώντας αυτά τα εργαλεία
Τι είναι το Phubbing και τι σημαίνει για τις προσωπικές σχέσεις
Πώς να δημιουργήσετε μια ομάδα στο Telegram και να χρησιμοποιήσετε τη δυνατότητα Voice Chat
Οι καλύτερες συμβουλές και κόλπα Yammer για τον ισχυρό χρήστη
Τι συμβαίνει στους διαδικτυακούς σας λογαριασμούς όταν πεθάνετε: Διαχείριση ψηφιακών περιουσιακών στοιχείων
Πώς να απενεργοποιήσετε μόνιμα τον λογαριασμό Reddit στον υπολογιστή
Πώς να προσθέσετε μουσική, εφέ, βελτιώσεις στους κυλίνδρους του Instagram
Πώς να διαγράψετε οριστικά ή να απενεργοποιήσετε προσωρινά τον λογαριασμό Instagram
Πώς αναζητάτε μηνύματα στο Instagram;
Κίνδυνοι και συνέπειες της υπερβολικής κοινής χρήσης στα μέσα κοινωνικής δικτύωσης
Πώς να κατεβάσετε δεδομένα Instagram χρησιμοποιώντας το Εργαλείο εξαγωγής δεδομένων Instagram
Τι να κάνετε όταν παραβιαστεί ο λογαριασμός Facebook;
Το StalkFace και το StalkScan σάς βοηθούν να κατανοήσετε καλύτερα τους φίλους του Facebook
Λίστα με πράγματα που δεν πρέπει να μοιράζεστε ή να δημοσιεύετε στο Facebook ή στα Social Media
Πώς να κατεβάσετε τις ιστορίες Instagram σε υπολογιστή ή κινητό