Social Engineering είναι ο όρος που χρησιμοποιείται για ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων που ολοκληρώνονται μέσω ανθρώπινων αλληλεπιδράσεων. Χρησιμοποιεί την ψυχολογική χειραγώγηση για να εξαπατήσει τους χρήστες να κάνουν λάθη ασφαλείας ή να αποκαλύψουν ευαίσθητες πληροφορίες.
Επιθέσεις social engineering συμβαίνουν με έναν ή περισσότερους τρόπους. Ένας δράστης διερευνά πρώτα το θύμα που σκοπεύει να συγκεντρώσει τις απαραίτητες πληροφορίες, όπως πιθανά σημεία εισόδου και αδύναμα πρωτόκολλα ασφαλείας, που απαιτούνται για να προχωρήσει η επίθεση. Στη συνέχεια, ο hacker προσπαθεί να κερδίσει την εμπιστοσύνη του θύματος και να τον οδηγήσει σε ενέργειες που θα το καταστήσουν ευάλωτο, όπως η αποκάλυψη ευαίσθητων πληροφοριών ή η παροχή πρόσβασης σε κρίσιμους πόρους.
Αυτό που καθιστά το social engineering ιδιαίτερα επικίνδυνο είναι ότι βασίζεται στο ανθρώπινο λάθος και όχι σε τρωτά σημεία του λογισμικού και των λειτουργικών συστημάτων. Τα λάθη που γίνονται από τους νόμιμους χρήστες είναι πολύ λιγότερο προβλέψιμα, καθιστώντας τα πιο δύσκολο να εντοπιστούν και να αποτραπούν παρά μια εισβολή με βάση το κακόβουλο λογισμικό.
Τεχνικές επίθεσης social engineering
Οι επιθέσεις social engineering έρχονται σε πολλές διαφορετικές μορφές και μπορούν να εκτελεσθούν οπουδήποτε εμπλέκεται η ανθρώπινη αλληλεπίδραση. Οι ακόλουθες είναι οι πέντε πιο κοινές μορφές ψηφιακών επιθέσεων social engineering.
Baiting
Όπως υποδηλώνει και το όνομά του, οι επιθέσεις Baiting χρησιμοποιούν μια ψευδή υπόσχεση για να κινήσουν την περιέργεια του θύματος. Προσελκύουν τους χρήστες σε μια παγίδα που κλέβει τις προσωπικές τους πληροφορίες ή μολύνει τα συστήματά τους με κακόβουλο λογισμικό.
Η πιο επικίνδυνη μορφή Baiting χρησιμοποιεί φυσικά μέσα για την διανομή κακόβουλου λογισμικού. Για παράδειγμα, οι επιτιθέμενοι στέλνουν το δόλωμα (flash drivers με μολυσμένο λογισμικό) σε εμφανείς περιοχές, όπου τα πιθανά θύματα είναι βέβαιο ότι θα το δουν (π.χ. μπάνια, ανελκυστήρες, χώρος στάθμευσης μιας εταιρείας στόχευσης). Το δόλωμα θα έχει κάτι που συνήθως τραβάει την προσοχή των θυμάτων, όπως μια ετικέτα που αναγράφει “λίστα μισθοδοσίας της εταιρείας”.
Τα θύματα παίρνουν το δόλωμα από περιέργεια και το εισάγουν σε έναν υπολογιστή εργασίας ή στο σπίτι, με αποτέλεσμα την αυτόματη εγκατάσταση κακόβουλου λογισμικού στο σύστημα.
Βέβαια, τα baiting scams δεν είναι απαραίτητο να πραγματοποιηθούν μόνο σε φυσικό χώρο. Υπάρχουν και τα Online baiting forms που αποτελούνται από δελεαστικές διαφημίσεις που οδηγούν σε κακόβουλους ιστότοπους ή που ενθαρρύνουν τους χρήστες να κατεβάσουν μια εφαρμογή που έχει μολυνθεί από κακόβουλο λογισμικό.
Scareware
Το Scareware είναι ο βομβαρδισμός των θυμάτων με ψευδείς συναγερμούς και πλασματικές απειλές. Οι χρήστες παραπλανούνται για να σκεφτούν ότι το σύστημά τους είναι μολυσμένο από κακόβουλο λογισμικό, προτρέποντάς τους να εγκαταστήσουν λογισμικό που δεν έχει κανένα πραγματικό όφελος. Το Scareware αναφέρεται επίσης ως λογισμικό εξαπάτησης, rogue scanner software ή fraudware.
Ένα κοινό παράδειγμα scareware είναι τα νόμιμα εμφανιζόμενα αναδυόμενα banners που εμφανίζονται στο πρόγραμμα περιήγησής σας κατά το σερφάρισμα, παρουσιάζοντας ένα τέτοιο κείμενο “Ο υπολογιστής σας μπορεί να μολυνθεί από επιβλαβή προγράμματα spyware.” Προσφέρεται είτε να εγκαταστήσει για εσάς το απαραίτητο εργαλείο (συχνά μολυσμένο με κακόβουλο λογισμικό) είτε θα σας κατευθύνει σε μια κακόβουλη τοποθεσία όπου ο υπολογιστής σας θα μολυνθεί.
Το Scareware διανέμεται επίσης μέσω spam email.
Pretexting
Εδώ ένας εισβολέας αποκτά πληροφορίες μέσω μιας σειράς έξυπνα δημιουργημένων ψεμάτων. Η απάτη προκαλείται συχνά από έναν δράστη που προσποιείται ότι χρειάζεται ευαίσθητες πληροφορίες από ένα θύμα για να εκτελέσει μια κρίσιμη εργασία.
Ο επιτιθέμενος αρχίζει συνήθως με την εδραίωση εμπιστοσύνης με το θύμα του παριστάνοντας τους συναδέλφους, τους αστυνομικούς, τους τραπεζικούς και φορολογικούς υπαλλήλους ή άλλα πρόσωπα που έχουν δικαιολογημένη εξουσία. Ο pretexter θέτει ερωτήσεις που φαινομενικά απαιτούνται για να επιβεβαιώσουν την ταυτότητα του θύματος, μέσω του οποίου συλλέγουν σημαντικά προσωπικά δεδομένα.
Όλα τα απαραίτητα στοιχεία και τα αρχεία συλλέγονται χρησιμοποιώντας αυτήν την απάτη, όπως αριθμούς κοινωνικής ασφάλισης, προσωπικές διευθύνσεις και αριθμούς τηλεφώνου, τηλεφωνικά αρχεία, ημερομηνίες διακοπών προσωπικού, τραπεζικά αρχεία και άλλα πολλά.
Phishing
Ένας από τους πιο δημοφιλείς τύπους social engineering επίθεσης, τα phishing scams είναι emails που αποσκοπούν στο να τραβήξουν την προσοχή των θυμάτων. Στη συνέχεια, οδηγούν στην αποκάλυψη ευαίσθητων πληροφοριών, κάνοντας κλικ σε συνδέσμους σε κακόβουλους ιστότοπους ή ανοίγοντας συνημμένα που περιέχουν κακόβουλα προγράμματα.
Ένα χαρακτηριστικό παράδειγμα αποτελεί το email που αποστέλλεται στους χρήστες μιας ηλεκτρονικής υπηρεσίας που τους ειδοποιεί για μια παραβίαση πολιτικής που απαιτεί άμεση ενέργεια εκ μέρους τους, όπως για παράδειγμα μια αλλαγή κωδικού πρόσβασης. Περιλαμβάνει έναν σύνδεσμο προς έναν παράνομο ιστότοπο – σχεδόν πανομοιότυπη με τη νόμιμη έκδοση του – προτρέποντας τον ανυποψίαστο χρήστη να εισάγει τα τρέχοντα διαπιστευτήρια και τον νέο κωδικό πρόσβασής του. Με την υποβολή της φόρμας, οι πληροφορίες αποστέλλονται στον εισβολέα.
Δεδομένου ότι τα ίδια ή σχεδόν πανομοιότυπα μηνύματα αποστέλλονται σε όλους τους χρήστες σε phishing campaigns, η ανίχνευση και το μπλοκάρισμα τους είναι πολύ πιο εύκολο για τους διακομιστές αλληλογραφίας που έχουν πρόσβαση σε threat sharing platforms.
Spear phishing
Πρόκειται για μια πιο στοχευμένη έκδοση της απάτης phishing με την οποία ένας εισβολέας επιλέγει συγκεκριμένα άτομα ή επιχειρήσεις. Στη συνέχεια προσαρμόζουν τα μηνύματά τους με βάση τα χαρακτηριστικά, τις θέσεις εργασίας και τις επαφές που ανήκουν στα θύματά τους για να κάνουν την επίθεσή τους λιγότερο εμφανή. Το phishing των Spear απαιτεί πολύ περισσότερη προσπάθεια εκ μέρους του δράστη και μπορεί να χρειαστούν εβδομάδες και μήνες για να αποσυρθούν. Είναι πολύ πιο δύσκολο να εντοπιστούν και έχουν καλύτερα ποσοστά επιτυχίας αν γίνουν με επιδεξιότητα.
Ένα spear phishing scenario μπορεί να περιλαμβάνει έναν εισβολέα ο οποίος, με τον ίδιο τρόπο που μιμείται έναν σύμβουλο πληροφορικής ενός οργανισμού, στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε έναν ή περισσότερους υπαλλήλους. Είναι διατυπωμένο και υπογεγραμμένο ακριβώς όπως θα έκανε ένας σύμβουλος, εξαπατώντας έτσι τους παραλήπτες να πιστεύουν ότι είναι ένα αυθεντικό μήνυμα. Το μήνυμα ζητά από τους παραλήπτες να αλλάξουν τον κωδικό πρόσβασής τους και τους παρέχει έναν σύνδεσμο που τους ανακατευθύνει σε μια κακόβουλη σελίδα όπου ο εισβολέας συλλαμβάνει τώρα τα διαπιστευτήριά τους.
Πρόληψη του Social engineering
Οι Social engineers χειραγωγούν τα ανθρώπινα συναισθήματα, όπως την περιέργεια ή τον φόβος, για να επιτύχουν τον σκοπό τους. Επομένως, να είστε επιφυλακτικοί κάθε φορά που λαμβάνετε κάποιο email, μήνυμα η ειδοποίηση η οποία μας φαίνεται λίγο περίεργη.
Επιπλέον, οι παρακάτω συμβουλές μπορούν να σας βοηθήσουν να βελτιώσετε την επαγρύπνησή σας σε σχέση με τα social engineering hacks.
- Μην ανοίγετε emails και συνημμένα από ύποπτες πηγές
Εάν δεν γνωρίζετε τον εν λόγω αποστολέα, δεν χρειάζεται να απαντάτε σε ένα email. Ακόμη και αν τα γνωρίζετε και είστε καχύποπτοι για το μήνυμά τους, ελέγξτε και επιβεβαιώστε τα νέα από άλλες πηγές, όπως μέσω τηλεφώνου ή απευθείας από τον ιστότοπο ενός παρόχου υπηρεσιών. Θυμηθείτε ότι όλες οι διευθύνσεις ηλεκτρονικού ταχυδρομείου παραβιάζονται συνεχώς. Ακόμη και ένα email που φέρεται να προέρχεται από μια αξιόπιστη πηγή μπορεί να προέρχεται από έναν hacker.
- Χρησιμοποιήστε τον έλεγχο ταυτότητας πολλών παραγόντων
Η χρήση του ελέγχου ταυτότητας πολλών παραγόντων συμβάλλει στην προστασία του λογαριασμού σας σε περίπτωση παραβιασμένου συστήματος.
- Να είστε προσεκτικοί με τις δελεαστικές προσφορές
Αν μια προσφορά ακούγεται πολύ δελεαστική, σκεφτείτε δύο φορές πριν πατήσετε το κλικ.
- Διατηρήστε ενημερωμένο το λογισμικό προστασίας από ιούς / anti-malware
Βεβαιωθείτε ότι έχετε ενεργοποιήσει τις αυτόματες ενημερώσεις. Ελέγχετε περιοδικά για να βεβαιωθείτε ότι έχουν εφαρμοστεί οι ενημερώσεις και να σαρώσετε το σύστημά σας για πιθανές μολύνσεις.
