Social Media, Διαδίκτυο

Social Engineering : Μπορείς να το αποφύγεις?

Από τη Ράνια Μαγουνάκη,

Η αδυναμία των ατόμων να δίνουν πληροφορίες εν άγνοια τους μπορεί να χρησιμοποιηθεί εναντίον τους. Οι χάκερς χρησιμοποιώντας την τεχνική της κοινωνικής μηχανικής μπορούν να αποσπάσουν χρήσιμες πληροφορίες όπως την ημερομηνία γέννησης, τα ονόματα των γονέων κ.α ώστε στην συνέχεια να τις χρησιμοποιήσουν για να αποκτήσουν ακόμη περισσότερες όπως τον κωδικό πρόσβασης.

Μία από τις πιο διαδεδομένες τεχνικές κοινωνικής μηχανικής είναι το λεγόμενο phishing ή αλλιώς “ψάρεμα”, όπως αποκαλείται, κατά την οποία οι χάκερς συνήθως αποστέλλουν emails σε τυχαίες διευθύνσεις ενημερώνοντας τους παραλήπτες ότι έχουν κερδίσει κάποιο υψηλό χρηματικό ποσό και για να το αποκτήσουν πρέπει να συμπληρώσουν τα στοιχεία τους (αριθμός τραπεζικού λογαριασμού, ονοματεπώνυμο κ.α). Το πιο γνωστό παράδειγμα “ψαρέματος” μέσω email είναι με τον Νιγηριανό πρίγκιπα ο οποίος ζητάει τον τραπεζικό λογαριασμό του χρήστη ώστε να μεταφέρει τα χρήματα του εκεί για διάφορους λόγους. Ακούγεται αστείο, αλλά πολλοί άνθρωποι ανταποκρίθηκαν με αποτέλεσμα την απώλεια των δικών τους χρημάτων.

Το 2013 και 2014 πραγματοποιήθηκαν παραβιάσεις 3 δισεκατομμυρίων λογαριασμών ηλεκτρονικού ταχυδρομείου της Yahoo χάρη σ’ ένα phishing email που στάλθηκε σε έναν ημι-προνομιούχο μηχανικό. Οι χάκερς παραποίησαν τα δεδομένα με αποτέλεσμα την είσοδο τους σε οποιοδήποτε λογαριασμό χωρίς την χρήση κωδικού πρόσβασης. Επομένως, αρκεί μόνο ένα άτομο να ανταποκριθεί και οι συνέπειες να επηρεάσουν τους υπόλοιπους.

Μία άλλη επίσης γνωστή τεχνική είναι όταν ο επιτιθέμενος προσποιείται ότι είναι κάποιος λόγου χάρη αντιπρόσωπος μίας εταιρείας ο οποίος χρειάζεται επιπλέον πληροφορίες προκειμένου να επιβεβαιώσει την ταυτότητα του χρήστη ώστε να προχωρήσει μία διαδικασία.

Οι χάκερς έχουν βρει πολλούς τρόπους οι οποίοι στοχεύουν στον ανθρώπινο παράγοντα όπως την εμπιστοσύνη των ατόμων σε μία αξιόπιστη πηγή για να αποσπάσουν πληροφορίες. Συγκεκριμένα, μπορούν να στείλουν κάποιο κακόβουλο αρχείο μέσω μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου η οποία είναι γνωστή στον παραλήπτη με αποτέλεσμα την μόλυνση του με κάποιον ιό και όχι μόνο.

Επιπλέον, εκμεταλλευόμενοι τα συναισθήματα των ανθρώπων όπως τον φόβο ότι κάποιος έχει στην κατοχή του για παράδειγμα προσωπικές φωτογραφίες ή ευαίσθητα δεδομένα μπορούν να αποσπάσουν υψηλά χρηματικά ποσά προκειμένου να μην δημοσιεύσουν το συγκεκριμένο υλικό.

Η κοινωνική μηχανική μπορεί να επιτευχθεί και μέσω τηλεφώνου όπου κάποιος παριστάνει τον αστυνομικό αναφέροντας ότι έγινε κάποιο ατύχημα και χρειάζονται χρήματα για την αποφυγή φυλάκισής του.

Εν κατακλείδι η κοινωνική μηχανική θεωρείται από τις πιο ιδιαίτερες επιθέσεις καθώς στοχεύει στις αδυναμίες του ανθρώπου και όχι του υπολογιστή, με επακόλουθο να αυξάνονται ολοένα και περισσότερο τέτοιου είδους περιστατικά. Ωστόσο, προκειμένου να αποφευχθούν οι επιθέσεις αυτές πρέπει ο χρήστης να σιγουρευτεί ότι το άτομο που επικοινωνεί είναι όντως αυτός που ισχυρίζεται.

Η τυφλή εμπιστοσύνη στον κόσμο του διαδικτύου δεν υφίσταται!!!