Παρά την ευρεία διάδοσή της, η κοινωνική μηχανική είναι δύσκολο να “διαμορφωθεί” ή να συνοψιστεί. Αυτός είναι ένας από τους λόγους για τους οποίους το 82% των παραβιάσεων δεδομένων είναι ανθρωπογενείς.
Η κοινωνική μηχανική έχει καταλήξει να αποτελεί τη ραχοκοκαλιά πολλών απειλών στον κυβερνοχώρο, από τα ηλεκτρονικά μηνύματα phishing έως τις επιθέσεις smishing και vishing. Παρακάτω θα δούμε τις πιο συνηθισμένες τεχνικές κοινωνικής μηχανικής και τα συναισθήματα που χρησιμοποιούν οι χάκερ για να εξαπατήσουν τα θύματά τους.
Ακολουθούν εννέα κοινές απειλές στον κυβερνοχώρο που χρησιμοποιούν τεχνικές και τακτικές κοινωνικής μηχανικής για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες (χωρίς συγκεκριμένη σειρά). Οι περισσότερες από αυτές τις επιθέσεις λαμβάνουν χώρα στο διαδίκτυο, αλλά μπορούν επίσης να σηκώσουν κεφάλι σε φυσικούς χώρους, όπως γραφεία, διαμερίσματα και καφετέριες.
Table of Contents
1. Phishing
Αυτή είναι η πιο παρεμβατική μέθοδος εφαρμογής κοινωνικής μηχανικής. Οι χάκερ χρησιμοποιούν μηνύματα ηλεκτρονικού ταχυδρομείου, ιστοσελίδες και μηνύματα κειμένου για να κλέψουν ευαίσθητες προσωπικές ή οργανωτικές πληροφορίες από ανυποψίαστα θύματα.
Οι τεχνικές ηλεκτρονικού ταχυδρομείου phishing είναι πλέον γνωστές, ωστόσο ένας στους πέντε υπαλλήλους εξακολουθεί να κάνει κλικ σε αυτούς τους ύποπτους συνδέσμους.
2. Spear Phishing
Αυτή η απάτη phishing (ηλεκτρονικό ταχυδρομείο) χρησιμοποιείται για την εξαπόλυση στοχευμένων επιθέσεων εναντίον ιδιωτών ή επιχειρήσεων. Το spear phishing είναι πιο πολύπλοκο από το γενικό μαζικό phishing μέσω ηλεκτρονικού ταχυδρομείου και απαιτεί ενδελεχή έρευνα σχετικά με τον πιθανό στόχο και τον οργανισμό του.
3. Δόλωμα
Αυτός ο τύπος επίθεσης μπορεί να πραγματοποιηθεί διαδικτυακά ή σε φυσικό περιβάλλον. Οι εγκληματίες του κυβερνοχώρου συνήθως υπόσχονται κάποιο είδος ανταμοιβής σε αντάλλαγμα για εμπιστευτικές πληροφορίες ή γνώσεις που κατέχει το θύμα.
4. Κακόβουλο λογισμικό
Κατηγορία επιθέσεων που περιλαμβάνουν ransomware. Στα θύματα αποστέλλεται μήνυμα με υποσημείωση που υποδεικνύει την επείγουσα ανάγκη εγκατάστασης κακόβουλου λογισμικού στη συσκευή τους.
Κατά ειρωνεία της τύχης, ένας συνηθισμένος τρόπος λειτουργίας είναι να τους ειδοποιούν ότι το κακόβουλο λογισμικό έχει ήδη εγκατασταθεί στον υπολογιστή του θύματος και ότι ο αποστολέας θα αφαιρέσει το λογισμικό αν πληρώσουν κάποια χρήματα.
5. Πρόφαση (pretexting)
Σε αυτόν τον τύπο επίθεσης, οι δράστες χρησιμοποιούν ψεύτικες ταυτότητες για να εξαπατήσουν τα θύματα και να αποσπάσουν πληροφορίες. Αυτή η επίθεση χρησιμοποιείται συχνά από οργανισμούς με πλούσια δεδομένα πελατών, όπως τράπεζες, χρηματοπιστωτικά ιδρύματα και επιχειρήσεις κοινής ωφέλειας.
6. Δούναι και λαβείν (Quid Pro Quo)
Αυτή η επίθεση επικεντρώνεται στην ανταλλαγή πληροφοριών ή υπηρεσιών προκειμένου να παρακινήσει το θύμα να αναλάβει δράση. Συνήθως, οι εγκληματίες του κυβερνοχώρου που εκτελούν αυτό το σενάριο δεν διεξάγουν πιο προηγμένη και λεπτομερή έρευνα σχετικά με τον στόχο, αλλά προσφέρονται να παράσχουν “βοήθεια” παριστάνοντας κάποιον άλλον, όπως έναν εμπειρογνώμονα τεχνικής υποστήριξης.
7. Tailgating
Αυτή η επίθεση στοχεύει οποιονδήποτε επιτρέπει στον δράστη φυσική πρόσβαση σε ένα προστατευόμενο ή ελεγχόμενο κτίριο ή χώρο. Πολύ συχνά, αυτές οι απάτες επιτυγχάνονται με την εύνοια του θύματος, όπως το να αφήνει τις πόρτες ανοιχτές για να επιτρέψει σε έναν αόρατο μεταμφιεσμένο “υπάλληλο” να περάσει.
8. Vishing
Σε αυτό το σενάριο, οι εγκληματίες του κυβερνοχώρου αφήνουν φωνητικά μηνύματα προσποιούμενοι επείγοντα περιστατικά, πείθοντας τα θύματα ότι πρέπει να δράσουν γρήγορα για να προστατευτούν από τη σύλληψη ή άλλους κινδύνους. Οι τράπεζες, οι κυβερνητικές υπηρεσίες και οι υπηρεσίες επιβολής του νόμου είναι συνήθως θύματα της μίμησης σε τέτοιες απάτες.
9. Water–Holing (Λάκκος με νερό)
Αυτή η επίθεση χρησιμοποιεί προηγμένες τεχνικές κοινωνικής μηχανικής για να μολύνει ιστότοπους και τους επισκέπτες τους με κακόβουλο λογισμικό. Η μόλυνση εξαπλώνεται συνήθως μέσω ιστότοπων που σχετίζονται με το θύμα (π.χ. σχετίζονται με την εργασία), όπως δημοφιλείς ιστότοποι που το θύμα επισκέπτεται τακτικά.
Γιατί πραγματοποιούνται επιθέσεις κοινωνικής μηχανικής;
Η κοινωνική μηχανική μπορεί να επιτύχει τους στόχους της λόγω του ανθρώπινου ενστίκτου της εμπιστοσύνης. Οι εγκληματίες του κυβερνοχώρου έχουν μάθει ότι τα προσεκτικά διατυπωμένα μηνύματα ηλεκτρονικού ταχυδρομείου, τα φωνητικά μηνύματα και τα μηνύματα κειμένου μπορούν να παρακινήσουν τους ανθρώπους να στείλουν χρήματα, να παράσχουν εμπιστευτικές πληροφορίες ή να κατεβάσουν αρχεία που εγκαθιστούν κακόβουλο λογισμικό σε ένα εταιρικό δίκτυο.
Παρακάτω παρατίθεται ένα παράδειγμα απόπειρας spear–phishing που ανάγκασε έναν υπάλληλο να μεταφέρει 500.000 δολάρια ΗΠΑ σε έναν ξένο επενδυτή:
-
Χάρη σε προσεκτικές έρευνες spear-phishing, οι κυβερνοεγκληματίες κατάφεραν να μάθουν ότι ο διευθύνων σύμβουλος της εταιρείας βρισκόταν σε επαγγελματικό ταξίδι.
-
Ένας υπάλληλος μιας εταιρείας έλαβε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαινόταν να προέρχεται από τον διευθύνοντα σύμβουλο. Υπάρχει μια μικρή διαφορά στη διεύθυνση ηλεκτρονικού ταχυδρομείου, αλλά η ορθογραφία του ονόματος του Διευθύνοντος Συμβούλου είναι σωστή.
-
Στο μήνυμα ζητείται από τους εργαζόμενους να υποστηρίξουν τον διευθύνοντα σύμβουλο μεταφέροντας 500 000 δολάρια ΗΠΑ σε έναν νέο ξένο επενδυτή. Το μήνυμα χρησιμοποιεί επείγουσα αλλά φιλική γλώσσα και διαβεβαιώνει τους εργαζόμενους ότι μπορούν να συνεισφέρουν τόσο στον CEO όσο και στην εταιρεία.
-
Στο μήνυμα τονίζεται ότι ο διευθύνων σύμβουλος θα έκανε ο ίδιος τη μεταφορά αυτή, αλλά ταξίδευε και δεν μπόρεσε να κάνει εγκαίρως τη μεταφορά κεφαλαίου για να εξασφαλίσει τη συνεργασία με την επένδυση.
-
Χωρίς να επαληθεύσει τις λεπτομέρειες, ο υπάλληλος αποφάσισε να αναλάβει δράση. Πιστεύει ειλικρινά ότι η συμμόρφωση με το αίτημα που διατυπώθηκε μέσω του μηνύματος θα βοηθήσει τόσο τον διευθύνοντα σύμβουλο, όσο και την εταιρεία και τους συναδέλφους του.
-
Λίγες ημέρες αργότερα, ο υπάλληλος, ο διευθύνων σύμβουλος και ένας συνάδελφός του στην εταιρεία πέφτουν θύματα επίθεσης κοινωνικής μηχανικής, με αποτέλεσμα την απώλεια 500.000 δολαρίων.
Παραδείγματα επιθέσεων κοινωνικής μηχανικής
Οι έμπειροι εγκληματίες στον κυβερνοχώρο γνωρίζουν ότι η κοινωνική μηχανική είναι πιο αποτελεσματική όταν επικεντρώνεται στα ανθρώπινα συναισθήματα και τους κινδύνους. Η εκμετάλλευση των ανθρώπινων συναισθημάτων είναι πολύ πιο εύκολη από την αναζήτηση παραβιάσεων δικτύου ή τρωτών σημείων ασφαλείας.
Ακολουθούν ορισμένα κυριότερα σημεία που εξηγούν γιατί οι επιθέσεις κοινωνικής μηχανικής είναι επανειλημμένα επιτυχείς.
Φόβος
Λαμβάνετε ένα φωνητικό μήνυμα που αναφέρει ότι ερευνάται η υπόθεση φορολογικής απάτης και ότι πρέπει να καλέσετε αμέσως για να αποφύγετε τη σύλληψη και την ποινική έρευνα. Αυτή η επίθεση κοινωνικής μηχανικής πραγματοποιείται κατά τη διάρκεια της φορολογικής περιόδου, όταν οι άνθρωποι είναι ήδη αγχωμένοι για τους φόρους τους.
Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται το άγχος και την αγωνία της υποβολής της φορολογικής δήλωσης και χρησιμοποιούν το συναίσθημα του φόβου για να εξαπατήσουν τα θύματα ώστε να ακολουθήσουν τις εντολές του φωνητικού μηνύματος.
Απληστία
Φανταστείτε να μπορούσατε να μεταφέρετε 10 δολάρια ηλεκτρονικά σε έναν επενδυτή και να τα παρακολουθήσετε να αυξάνονται σε 10.000 δολάρια χωρίς καμία δική σας προσπάθεια. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τα βασικά ανθρώπινα συναισθήματα της εμπιστοσύνης και της επιθυμίας για να κάνουν τα θύματά τους να πιστέψουν ότι μπορούν πραγματικά να δημιουργήσουν κάτι από το τίποτα.
Ένα προσεκτικά διατυπωμένο μήνυμα ηλεκτρονικού ταχυδρομείου που λειτουργεί ως δόλωμα λέει στο θύμα να δώσει τα στοιχεία του τραπεζικού του λογαριασμού και τα χρήματα μεταφέρονται αργότερα την ίδια ημέρα.
Περιέργεια
Οι απατεώνες και οι εγκληματίες του κυβερνοχώρου επικεντρώνονται σε γεγονότα που έχουν μεγάλη δημοσιότητα στον κόσμο των ειδήσεων και χρησιμοποιούν την ανθρώπινη περιέργεια για να εξαπατήσουν τα θύματά τους. Για παράδειγμα, μετά τη δεύτερη συντριβή ενός αεροσκάφους Boeing MAX 8, οι κυβερνοεγκληματίες άρχισαν να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα αρχεία που ισχυρίζονταν ότι περιείχαν δεδομένα που διέρρευσαν σχετικά με τη συντριβή.
Αυτό το συνημμένο εγκαθιστούσε μια έκδοση του Hworm RAT στον υπολογιστή του θύματος.
Παροχή βοήθειας
Οι άνθρωποι εμπιστεύονται και βοηθούν ο ένας τον άλλον. Κατά τη διάρκεια μιας έρευνας σε μια εταιρεία, οι κυβερνοεγκληματίες στόχευσαν δύο ή τρεις υπαλλήλους με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαινόταν να προέρχεται από τον διευθυντή τους.
Το μήνυμα ηλεκτρονικού ταχυδρομείου ζητούσε από τον υπεύθυνο πληροφορικής να στείλει τον κωδικό πρόσβασης στη λογιστική βάση δεδομένων, τονίζοντας ότι ο διευθυντής τον χρειαζόταν προκειμένου να λάβει εγκαίρως τον μισθό του.
Το μήνυμα ηλεκτρονικού ταχυδρομείου χρησιμοποιούσε τη γλώσσα του επείγοντος, η οποία έκανε το θύμα να πιστέψει ότι θα μπορούσε να βοηθήσει το αφεντικό του αν ενεργούσε γρήγορα.
Επείγουσα κατάσταση
Λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την υποστήριξη πελατών σε ένα ηλεκτρονικό κατάστημα που επισκέπτεστε συχνά, στο οποίο αναφέρεται ότι πρέπει να επαληθεύσουν τα στοιχεία της πιστωτικής σας κάρτας για να προστατεύσουν τον λογαριασμό σας.
Το email σας ζητά να απαντήσετε γρήγορα για να αποτρέψετε εγκληματίες από το να κλέψουν τα στοιχεία της πιστωτικής σας κάρτας.
Ως αποτέλεσμα, το άλλο μέρος χρησιμοποίησε τα στοιχεία σας για να πραγματοποιήσει αγορές αξίας χιλιάδων δολαρίων.