Η Κοινωνική Μηχανική (στην κυβερνοασφάλεια)

Ο όρος κοινωνική μηχανική αναφέρεται σε μια σειρά μη τεχνολογικών μεθόδων επίθεσης που χρησιμοποιούνται από κυβερνοεγκληματίες για να χειραγωγήσουν τους χρήστες προκειμένου να παρακάμψουν τα πρωτόκολλα ασφάλειας ή άλλες επιχειρηματικές διαδικασίες, εκτελώντας επιβλαβείς ενέργειες ή να τους αναγκάσουν να παραδώσουν ευαίσθητες πληροφορίες.

5 λεπτά ανάγνωση

5 λεπτά ανάγνωση

Πώς λειτουργεί η κοινωνική μηχανική;

Οι περισσότερες τεχνικές κοινωνικής μηχανικής δεν απαιτούν ειδικές τεχνικές δεξιότητες εκ μέρους του εισβολέα, πράγμα που σημαίνει ότι οποιοσδήποτε, από ένα μικροαπατεώνα μέχρι ένα έμπειρο κυβερνοεγκληματία, μπορεί να δράσει σε αυτόν τον χώρο.

Υπάρχουν πολλές τεχνικές που εμπίπτουν στον όρο της κοινωνικής μηχανικής στο χώρο της κυβερνοασφάλειας. Μεταξύ των πιο γνωστών είναι το spam και το ηλεκτρονικό ψάρεμα (phishing):

Το Spam αποτελεί οποιαδήποτε μορφή ανεπιθύμητης επικοινωνίας που αποστέλλεται μαζικά. Τις περισσότερες φορές, το spam είναι ένα email που αποστέλλεται σε όσο το δυνατόν περισσότερους παραλήπτες, αλλά μπορεί επίσης να παραδοθεί μέσω άμεσων μηνυμάτων, SMS και κοινωνικών μέσων. Το Spam δεν είναι το ίδιο ένα εργαλείο κοινωνικής μηχανικής, αλλά ορισμένες από τις καμπάνιες χρησιμοποιούν τεχνικές κοινωνικής μηχανικής όπως phishing, spearphishing, vishing, smishing ή διάδοση κακόβουλων επισυναπτόμενων αρχείων ή συνδέσμων.

Το ηλεκτρονικό ψάρεμα (phishing) είναι μια μορφή διαδικτυακής επίθεσης στην οποία ο εγκληματίας πλαστοπροσωπεί μια αξιόπιστη οντότητα για να αποσπάσει ευαίσθητες πληροφορίες από το θύμα. Αυτά τα είδη απάτης συνήθως προσπαθούν να δημιουργήσουν μια αίσθηση επείγοντος ή να χρησιμοποιήσουν τακτικές τρόμου για να εξαναγκάσουν το θύμα να συμμορφωθεί με τα αιτήματα του επιτιθέμενου. Οι καμπάνιες ηλεκτρονικού ψαρέματος μπορούν να στοχεύουν μεγάλο αριθμό ανώνυμων χρηστών ή συγκεκριμένου θύματος/θυμάτων.

Δεν είναι όμως αυτές οι μοναδικές τεχνικές. Έχετε υπόψη σας και τα παρακάτω:

Το Spearphishing είναι μια στοχευμένη μορφή ηλεκτρονικού ψαρέματος στο οποίο ο εισβολέας στέλνει  προσαρμοσμένα μηνύματα σε μια περιορισμένη ομάδα ανθρώπων, ή ακόμη και σε ένα άτομο, με σκοπό την υποκλοπή των δεδομένων τους ή τη χειραγώγησή τους με σκοπό την εκτέλεση επιβλαβών ενεργειών.

Το Vishing και το Smishing είναι τεχνικές κοινωνικής μηχανικής που μοιάζουν με το ηλεκτρονικό ψάρεμα (phishing), αλλά πραγματοποιούνται με άλλα μέσα. Το Vishing (φωνητικό ηλεκτρονικό ψάρεμα - voice phishing) χρησιμοποιεί ψευδείς τηλεφωνικές κλήσεις, ενώ το Smishing (SMS phishing) χρησιμοποιεί μηνύματα κειμένου SMS που περιέχουν κακόβουλους συνδέσμους ή περιεχόμενο.

Η πλαστοπροσωπία στην κυβερνοασφάλεια έχει παρόμοιο νόημα με την αντίστοιχη στον φυσικό κόσμο. Οι κυβερνοεγκληματίες ενεργούν στο όνομα ενός αξιόπιστου προσώπου και εξαπατούν τα θύματα για να προβούν σε ενέργειες που βλάπτουν τον εαυτό τους ή τον οργανισμό τους. Ένα τυπικό παράδειγμα είναι ένας εισβολέας που πλαστοπροσωπεί τον Διευθύνοντα Σύμβουλο μιας εταιρείας - όταν ο ίδιος βρίσκεται εκτός γραφείου - παραγγέλλει και εγκρίνει δόλιες συναλλαγές.

Οι απάτες τεχνικής υποστήριξης (Technical Support Scams) είναι συνήθως ψευδείς τηλεφωνικές κλήσεις ή web διαφημίσεις στις οποίες οι επιτιθέμενοι προσφέρουν στα θύματα υποτιθέμενες υπηρεσίες τεχνικής υποστήριξης. Στην πραγματικότητα, οι κυβερνοεγκληματίες προσπαθούν να αποκομίσουν οικονομικά οφέλη από την πώληση ψεύτικων υπηρεσιών και την άρση ανύπαρκτων προβλημάτων.

Το Scareware είναι λογισμικό που χρησιμοποιεί διάφορες τεχνικές με σκοπό να προκαλέσει άγχος στα θύματα προκειμένου να τα χειραγωγήσει ώστε να εγκαταστήσουν περαιτέρω κακόβουλο κώδικα στις συσκευές τους, ενώ συνήθως αποσπά πληρωμές για μη λειτουργικό ή κακόβουλο λογισμικό. Ένα τυπικό παράδειγμα είναι ένα ψεύτικο προϊόν προστασίας από ιούς που έχει σχεδιαστεί για να εξαπατήσει τους χρήστες ώστε να πιστεύουν ότι οι συσκευές τους έχουν παραβιαστεί και ότι πρέπει να εγκαταστήσουν ειδικό (συνήθως επιβλαβές) λογισμικό για την εξάλειψη του προβλήματος.

Οι κυβερνοαπάτες (cyberscams) είναι δόλιες διαδικασίες που χρησιμοποιούν συχνά μία ή ακόμα και πολλές από τις τεχνικές κοινωνικής μηχανικής που περιγράφονται εδώ

Γιατί η κοινωνική μηχανή πρέπει να απασχολεί τις SMBs;

Σύμφωνα με έρευνα του 2019 που διεξήγαγε η Zogby Analytics για λογαριασμό της Εθνικής Συμμαχίας Κυβερνοασφάλειας (US National Cyber Security Alliance) οι μικρομεσαίες επιχειρήσεις γίνονται όλο και περισσότερο στόχοι των κυβερνοεγκληματιών. Σχεδόν οι μισές (44%) εταιρείες με 251-500 υπαλλήλους δήλωσαν ότι είχαν υποστεί παραβίαση δεδομένων τους τελευταίους 12 μήνες. Η έρευνα διαπίστωσε ότι το 88% των μικρών επιχειρήσεων πιστεύουν ότι είναι τουλάχιστον «κάπως πιθανό» να αποτελέσουν στόχο κυβερνοεγκληματιών, ενώ σχεδόν οι μισές (46%) θεωρούν ότι είναι «πολύ πιθανοί» στόχοι.

Η ζημιά είναι πραγματική και εκτεταμένη, όπως τονίζεται με σαφήνεια στην ετήσια έκθεση του Κέντρου Εγκλήματος στο Διαδίκτυο (IC3) του FBI. Το FBI εκτιμά ότι, μόνο το 2018, οι αμερικανικές εταιρείες έχασαν περισσότερα από 2,7 δισεκατομμύρια δολάρια λόγων κυβερνοεπιθέσεων, συμπεριλαμβανομένων 1,2 δισεκατομμυρίων δολαρίων που οφείλονται σε υποκλοπές εταιρικών emails (BEC) και υποκλοπές λογαριασμών email (EAC) που επέτρεψαν μη εξουσιοδοτημένες μεταφορές χρημάτων.

Πώς να αναγνωρίσετε μια επίθεση κοινωνικής μηχανικής;

Υπάρχουν πολλά σημάδια τα οποία μπορεί να υπονοούν μια επίθεση κοινωνικής μηχανικής. Η άθλια γραμματική και η ορθογραφία είναι το πιο συνηθισμένο. Το ίδιο και η αίσθηση ότι πρέπει να απαντήσετε αμέσως που προκύπτει από τα γραφόμενα. Οποιοδήποτε αίτημα για αποκάλυψη ευαίσθητων δεδομένων πρέπει αμέσως να κινήσει υποψίες: οι αξιόπιστες εταιρείες συνήθως δεν ζητούν κωδικούς πρόσβασης ή προσωπικά δεδομένα μέσω email ή μηνυμάτων κειμένου.

Μερικά από τα χαρακτηριστικά σημάδια που υποδηλώνουν κοινωνική μηχανική είναι τα εξής:

1. Φτωχό και γενικόλογο λεξιλόγιο

Συνήθως, οι εισβολείς δεν δίνουν μεγάλη προσοχή στη λεπτομέρεια, στέλνοντας μηνύματα γεμάτα τυπογραφικά λάθη, με λέξεις να λείπουν και άθλια γραμματική. Ένα άλλο γλωσσικό στοιχείο που μπορεί να σηματοδοτήσει μια απόπειρα επίθεσης είναι γενικοί χαιρετισμοί και διατυπώσεις. Αν λάβετε ένα email που ξεκινά "Αγαπητέ παραλήπτη" ή "Αγαπητέ χρήστη", προσέξτε.

2. Παράξενη διεύθυνση αποστολέα

Οι περισσότεροι spammers δεν αφιερώνουν χρόνο για να πλαστογραφήσουν το όνομα ή το domain του αποστολέα προκειμένου να φανούν αξιόπιστοι. Επομένως, εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από μια διεύθυνση που είναι συνδυασμός τυχαίων αριθμών και χαρακτήρων ή είναι άγνωστη στον παραλήπτη, θα πρέπει να τοποθετηθεί απευθείας στον φάκελο spam και να αναφερθεί στο τμήμα IT.

3. Αίσθηση επείγοντος

Οι εγκληματίες πίσω από τις εκστρατείες κοινωνικής μηχανικής συχνά προσπαθούν να τρομάξουν τα θύματα με φράσεις που προκαλούν άγχος όπως "στείλτε μας τα στοιχεία σας αμέσως, ή το δέμα σας θα απορριφθεί" ή "εάν δεν ενημερώσετε το προφίλ σας τώρα, θα κλείσουμε τον λογαριασμό σας". Οι τράπεζες, οι εταιρείες αποστολής δεμάτων, τα δημόσια ιδρύματα, αλλά και τα εσωτερικά τμήματα των επιχειρήσεων επικοινωνούν συνήθως με ουδέτερο και πραγματικό τρόπο. Επομένως, εάν το μήνυμα προσπαθεί να ωθήσει τον παραλήπτη να ενεργήσει γρήγορα, είναι πιθανώς κακόβουλο και πιθανώς κρύβει μια επικίνδυνη απάτη.

4. Αιτήματα για ευαίσθητες πληροφορίες

Οι οργανισμοί, αλλά ακόμη και τα υπόλοιπα τμήματα της εταιρείας σας συνήθως δεν θα σας ζητήσουν ευαίσθητες πληροφορίες μέσω email ή τηλεφώνου - εκτός εάν η επαφή ξεκίνησε από τον ίδιο τον υπάλληλο.

5. Αν κάτι ακούγεται πολύ καλό για να είναι αληθινό, μάλλον δεν είναι

Αυτό ισχύει τόσο για τα ανεπιθύμητα δώρα που "αποστέλλονται" στα κοινωνικά μέσα όσο και για την "εξαιρετική αλλά περιορισμένη χρονικά επαγγελματική ευκαιρία" που μόλις προσγειώθηκε στα εισερχόμενά σας.

5 τρόποι για να προστατέψετε την επιχείρησή σας από επιθέσεις κοινωνικής μηχανικής

1. Τακτική εκπαίδευση γύρω από την κυβερνοασφάλεια ΟΛΩΝ των υπαλλήλων, συμπεριλαμβανομένων των ανώτατων στελεχών και του προσωπικού του τμήματος ΙΤ. Να θυμάστε ότι μια τέτοια εκπαίδευση πρέπει να δείχνει ή να προσομοιώνει πραγματικά σενάρια. Η μάθηση πρέπει να περιλαμβάνει δράση εκ μέρους των υπαλλήλων, οι οποίοι θα πρέπει να δοκιμάζονται ενεργά έξω από την αίθουσα εκπαίδευσης: οι τεχνικές κοινωνικής μηχανικής βασίζονται στη χαμηλή επίγνωση της κυβερνοασφάλειας των στόχων τους.

2. Σάρωση για αδύναμους κωδικούς πρόσβασης που θα μπορούσαν ενδεχομένως να αποτελέσουν μια "κερκόπορτα" στο δίκτυο της επιχείρησής σας. Επιπλέον, θα πρέπει να προστατέψετε τους κωδικούς πρόσβασης με άλλο ένα επίπεδο ασφάλειας εφαρμόζοντας έλεγχο ταυτότητας πολλών παραγόντων.

3. Εφαρμόστε τεχνικές λύσεις για την αντιμετώπιση της απάτης στις επικοινωνίες, έτσι ώστε τα μηνύματα spam και phishing να εντοπίζονται, να τοποθετούνται σε καραντίνα, να εξουδετερώνονται και να διαγράφονται. Οι λύσεις ασφαλείας, όπως αυτές που παρέχει η ESET, προσφέρουν κάποιες ή όλες αυτές τις δυνατότητες.

4. Δημιουργήστε κατανοητές πολιτικές ασφάλειας που μπορούν να χρησιμοποιούν οι εργαζόμενοι και που να τους βοηθούν να εντοπίσουν τι ακριβώς πρέπει να κάνουν όταν συναντήσουν κάποια επίθεση κοινωνικής μηχανικής.

5. Χρησιμοποιήστε μια λύση ασφαλείας και εργαλεία διαχείρισης, όπως το ESET Cloud Administrator, για την προστασία των endpoints και των δικτύων της επιχείρησής που προσφέρει στους διαχειριστές πλήρεις δυνατότητες επισκόπησης, εντοπισμού και μετριασμού πιθανών κυβερνοαπειλών.

Καταπολεμήστε την κοινωνική μηχανική τώρα

ESET PROTECT
Advanced

Προστατέψτε τον οργανισμό σας από την τεχνική κοινωνικής μηχανικής χρησιμοποιώντας τις πολυεπίπεδες λύσεις ασφαλείας για endpoints της ESET, συμπεριλαμβανομένου του LiveGrid® που βασίζεται στο cloud, την προστασία από δικτυακές επιθέσεις και την cloud κονσόλα ESET PROTECT, προκειμένου να δώσετε στους διαχειριστές σας ολοκληρωμένη επισκόπηση του δικτύου 24/7.