Σε γενικές γραμμές, σαν άνθρωποι επιθυμούμε να βοηθήσουμε τους συνανθρώπους μας. Δυστυχώς, αυτό το γεγονός ακριβώς έρχονται να εκμεταλλευτούν οι επιθέσεις που είναι γνωστές σαν Social Engineering. Οι απατεώνες που χρησιμοποιούν επιθέσεις Social Engineering προσπαθούν να χειραγωγήσουν ανθρώπους για να πάρουν πράγματα που θέλουν. Τι θέλει ένας hacker στο διαδίκτυο; Τα δύο βασικά, κωδικούς πρόσβασης και γενικότερα προσωπικές πληροφορίες που θα τον βοηθήσουν να μάθει περισσότερα για το θύμα του.
Η κοινωνική μηχανική ή Social engineering δεν είναι απλό τέχνασμα, υπάρχει ένα πολύ καλά καθορισμένο πλαίσιο για αυτού του είδους τις επιθέσεις που είναι εξαιρετικά λεπτομερής και περιέχει συγκεκριμένες μεθόδους επιθέσεων. Περισσότερες λεπτομέρειες σχετικά με όλες τις πτυχές της κοινωνικής μηχανικής μπορείτε να βρείτε στο βιβλίο του Chris Hadnagy.
Φυσικά, κανείς δεν θέλει να είναι το θύμα μιας επίθεσης Social engineering, γι ‘αυτό και είναι σημαντικό να μπορείτε να αναγνωρίσετε την επίθεση όταν είναι ακόμα σε εξέλιξη, για να μπορείτε να ανταποκριθείτε κατάλληλα.
Table of Contents
1. Αν σας καλέσει κάποιος από την Τεχνική Υποστήριξη
Πόσες φορές έχετε καλέσει κάποια τεχνική υποστήριξη και ήσασταν σε αναμονή αρκετή ώρα; Πόσες φορές σας έχει τύχει να σας καλέσουν από κάποια τεχνική υποστήριξη, για να σας λύσουν ένα πρόβλημα που ίσως δεν γνωρίζατε καν; Η απάντηση είναι μάλλον: καμία.
Αν λάβετε ένα τέτοιο τηλεφώνημα από κάποιον που ισχυρίζεται ότι είναι τεχνική υποστήριξη, θα πρέπει να σκεφτείτε άμεσα μια τεράστια κόκκινη σημαία που σας προειδοποιεί για μια επίθεση Social engineering. Η τεχνική υποστήριξη μιας εταιρείας έχει αρκετές εισερχόμενες κλήσεις και είναι σχεδόν απίθανο να αρχίσει να ψάχνει μόνη της για προβλήματα. Οι hackers από την άλλη πλευρά, όταν προσπαθούν να πάρουν πληροφορίες, όπως κωδικούς πρόσβασης ή να προσπαθήσουν να κάνουν το θύμα τους να επισκεφθεί κακόβουλα links που περιέχουν malware, θα προσπαθήσουν να μεταμφιεστούν σε άτομα που εμπιστεύεστε.
Ζητήστε από την “τεχνική υποστήριξη” να σας επισκεφθεί στον χώρο σας. Ελέγξτε την ιστορία τους, καλέστε τους σε έναν αριθμό που μπορεί να ελεγχθεί. Αν είναι σε γραφείο, καλέστε τους χρησιμοποιώντας τον εσωτερικό τους αριθμό.
2. Προσοχή στις Έκτακτες Επιθεωρήσεις
Οι Social Engineers μεταμφιέζονται συχνά σαν επιθεωρητές. Μπορούν να κρατούν ένα μπλοκ, και να φοράνε κάποια φόρμα. Ο στόχος τους είναι συνήθως να αποκτήσουν πρόσβαση σε ζώνες περιορισμένης πρόσβασης, προκειμένου να αποσπάσουν πληροφορίες ή να εγκαταστήσουν λογισμικό, όπως key loggers σε υπολογιστές εντός της εταιρείας που στοχεύουν.
Ελέγξτε με τους προϊστάμενους της εταιρείας για να δείτε αν κάποιος που ισχυρίζεται ότι ήρθε να ελέγξει κάτι είναι υπαρκτό πρόσωπο. Καλέστε την ασφάλεια και μην τους αφήσετε να είναι κοντά σε κάποιο σύστημα της εταιρείας.
3. Μην πέφτετε στην παγίδα των μηνυμάτων “Δράστε Τώρα” ή “Επείγον”
Ένα πράγμα που κάνουν όλοι οι Social Engineers, προκειμένου να παρακάμψουν την ορθολογική διαδικασία σκέψης σας είναι να δημιουργήσουν μια ψευδή αίσθηση του επείγοντος.
Η πίεση του να δράσετε γρήγορα μπορεί να παρακάμψει την ικανότητά σας να σκέφτεστε για το τι πραγματικά συμβαίνει. Ποτέ μην παίρνετε βιαστικές αποφάσεις, όταν κάποιος που δεν γνωρίζετε σασ πιέζει πάρα πολύ. Πείτε τους ότι θα γυρίσετε αργότερα γιατί τώρα φεύγατε, ή ότι θα τους καλέσετε πίσω όταν έχετε επαληθεύσει την ιστορία τους με τρίτους.
4. Προσέξτε τις τακτικές εκφοβισμού όπως “Βοηθήστε με ή το αφεντικό θα με σκοτώσει”
Ο φόβος είναι άλλο ένα συναίσθημα – μέσο που χρησιμοποιούν οι Social Engineers και άλλοι απατεώνες για να επωφεληθούν από το γεγονός. Θα χρησιμοποιήσουν το φόβο, είτε είναι ο φόβος που προέρχεται από ένα πρόβλημα, ή ο φόβος μιας προθεσμίας που λήγει, κ.λπ.
Ο φόβος, σε συνδυασμό με μια ψευδή αίσθηση του επείγοντος, μπορεί να βραχυκυκλώσουν τις διαδικασίες της σκέψης σας και να σας κάνει ευάλωτους στις αιτήσεις των Social Engineers.