Η Κοινωνική Μηχανική (στην κυβερνοασφάλεια)

Ο όρος κοινωνική μηχανική αναφέρεται σε μια σειρά μη τεχνολογικών μεθόδων επίθεσης που χρησιμοποιούνται από κυβερνοεγκληματίες για να χειραγωγήσουν τους χρήστες προκειμένου να παρακάμψουν τα πρωτόκολλα ασφάλειας ή άλλες επιχειρηματικές διαδικασίες, εκτελώντας επιβλαβείς ενέργειες ή να τους αναγκάσουν να παραδώσουν ευαίσθητες πληροφορίες.

5 λεπτά ανάγνωση

Πώς λειτουργεί η κοινωνική μηχανική;

Οι περισσότερες τεχνικές κοινωνικής μηχανικής δεν απαιτούν ειδικές τεχνικές δεξιότητες εκ μέρους του εισβολέα, πράγμα που σημαίνει ότι οποιοσδήποτε, από ένα μικροαπατεώνα μέχρι ένα έμπειρο κυβερνοεγκληματία, μπορεί να δράσει σε αυτόν τον χώρο.

Υπάρχουν πολλές τεχνικές που εμπίπτουν στον όρο της κοινωνικής μηχανικής στο χώρο της κυβερνοασφάλειας. Μεταξύ των πιο γνωστών είναι το spam και το ηλεκτρονικό ψάρεμα (phishing):

Το Spam αποτελεί οποιαδήποτε μορφή ανεπιθύμητης επικοινωνίας που αποστέλλεται μαζικά. Τις περισσότερες φορές, το spam είναι ένα email που αποστέλλεται σε όσο το δυνατόν περισσότερους παραλήπτες, αλλά μπορεί επίσης να παραδοθεί μέσω άμεσων μηνυμάτων, SMS και κοινωνικών μέσων. Το Spam δεν είναι το ίδιο ένα εργαλείο κοινωνικής μηχανικής, αλλά ορισμένες από τις καμπάνιες χρησιμοποιούν τεχνικές κοινωνικής μηχανικής όπως phishing, spearphishing, vishing, smishing ή διάδοση κακόβουλων επισυναπτόμενων αρχείων ή συνδέσμων.

Το ηλεκτρονικό ψάρεμα (phishing) είναι μια μορφή διαδικτυακής επίθεσης στην οποία ο εγκληματίας πλαστοπροσωπεί μια αξιόπιστη οντότητα για να αποσπάσει ευαίσθητες πληροφορίες από το θύμα. Αυτά τα είδη απάτης συνήθως προσπαθούν να δημιουργήσουν μια αίσθηση επείγοντος ή να χρησιμοποιήσουν τακτικές τρόμου για να εξαναγκάσουν το θύμα να συμμορφωθεί με τα αιτήματα του επιτιθέμενου. Οι καμπάνιες ηλεκτρονικού ψαρέματος μπορούν να στοχεύουν μεγάλο αριθμό ανώνυμων χρηστών ή συγκεκριμένου θύματος/θυμάτων.

Το Spearphishing είναι μια στοχευμένη μορφή ηλεκτρονικού ψαρέματος στο οποίο ο εισβολέας στέλνει προσαρμοσμένα μηνύματα σε μια περιορισμένη ομάδα ανθρώπων, ή ακόμη και σε ένα άτομο, με σκοπό την υποκλοπή των δεδομένων τους ή τη χειραγώγησή τους με σκοπό την εκτέλεση επιβλαβών ενεργειών.

Το Vishing και το Smishing είναι τεχνικές κοινωνικής μηχανικής που μοιάζουν με το ηλεκτρονικό ψάρεμα (phishing), αλλά πραγματοποιούνται με άλλα μέσα. Το Vishing (φωνητικό ηλεκτρονικό ψάρεμα - voice phishing) χρησιμοποιεί ψευδείς τηλεφωνικές κλήσεις, ενώ το Smishing (SMS phishing) χρησιμοποιεί μηνύματα κειμένου SMS που περιέχουν κακόβουλους συνδέσμους ή περιεχόμενο.

Η πλαστοπροσωπία στην κυβερνοασφάλεια έχει παρόμοιο νόημα με την αντίστοιχη στον φυσικό κόσμο. Οι κυβερνοεγκληματίες ενεργούν στο όνομα ενός αξιόπιστου προσώπου και εξαπατούν τα θύματα για να προβούν σε ενέργειες που βλάπτουν τον εαυτό τους ή τον οργανισμό τους. Ένα τυπικό παράδειγμα είναι ένας εισβολέας που πλαστοπροσωπεί τον Διευθύνοντα Σύμβουλο μιας εταιρείας - όταν ο ίδιος βρίσκεται εκτός γραφείου - παραγγέλλει και εγκρίνει δόλιες συναλλαγές.

Οι απάτες τεχνικής υποστήριξης (Technical Support Scams) είναι συνήθως ψευδείς τηλεφωνικές κλήσεις ή web διαφημίσεις στις οποίες οι επιτιθέμενοι προσφέρουν στα θύματα υποτιθέμενες υπηρεσίες τεχνικής υποστήριξης. Στην πραγματικότητα, οι κυβερνοεγκληματίες προσπαθούν να αποκομίσουν οικονομικά οφέλη από την πώληση ψεύτικων υπηρεσιών και την άρση ανύπαρκτων προβλημάτων.

Το Scareware είναι λογισμικό που χρησιμοποιεί διάφορες τεχνικές με σκοπό να προκαλέσει άγχος στα θύματα προκειμένου να τα χειραγωγήσει ώστε να εγκαταστήσουν περαιτέρω κακόβουλο κώδικα στις συσκευές τους, ενώ συνήθως αποσπά πληρωμές για μη λειτουργικό ή κακόβουλο λογισμικό. Ένα τυπικό παράδειγμα είναι ένα ψεύτικο προϊόν προστασίας από ιούς που έχει σχεδιαστεί για να εξαπατήσει τους χρήστες ώστε να πιστεύουν ότι οι συσκευές τους έχουν παραβιαστεί και ότι πρέπει να εγκαταστήσουν ειδικό (συνήθως επιβλαβές) λογισμικό για την εξάλειψη του προβλήματος.

Οι κυβερνοαπάτες (cyberscams) είναι δόλιες διαδικασίες που χρησιμοποιούν συχνά μία ή ακόμα και πολλές από τις τεχνικές κοινωνικής μηχανικής που περιγράφονται εδώ

Γιατί η κοινωνική μηχανή πρέπει να απασχολεί τις SMBs;

Σύμφωνα με έρευνα του 2019 που διεξήγαγε η Zogby Analytics για λογαριασμό της Εθνικής Συμμαχίας Κυβερνοασφάλειας (US National Cyber Security Alliance) οι μικρομεσαίες επιχειρήσεις γίνονται όλο και περισσότερο στόχοι των κυβερνοεγκληματιών. Σχεδόν οι μισές (44%) εταιρείες με 251-500 υπαλλήλους δήλωσαν ότι είχαν υποστεί παραβίαση δεδομένων τους τελευταίους 12 μήνες. Η έρευνα διαπίστωσε ότι το 88% των μικρών επιχειρήσεων πιστεύουν ότι είναι τουλάχιστον «κάπως πιθανό» να αποτελέσουν στόχο κυβερνοεγκληματιών, ενώ σχεδόν οι μισές (46%) θεωρούν ότι είναι «πολύ πιθανοί» στόχοι.

Η ζημιά είναι πραγματική και εκτεταμένη, όπως τονίζεται με σαφήνεια στην ετήσια έκθεση του Κέντρου Εγκλήματος στο Διαδίκτυο (IC3) του FBI. Το FBI εκτιμά ότι, μόνο το 2018, οι αμερικανικές εταιρείες έχασαν περισσότερα από 2,7 δισεκατομμύρια δολάρια λόγων κυβερνοεπιθέσεων, συμπεριλαμβανομένων 1,2 δισεκατομμυρίων δολαρίων που οφείλονται σε υποκλοπές εταιρικών emails (BEC) και υποκλοπές λογαριασμών email (EAC) που επέτρεψαν μη εξουσιοδοτημένες μεταφορές χρημάτων.

Πώς να αναγνωρίσετε μια επίθεση κοινωνικής μηχανικής;

Υπάρχουν πολλά σημάδια τα οποία μπορεί να υπονοούν μια επίθεση κοινωνικής μηχανικής. Η άθλια γραμματική και η ορθογραφία είναι το πιο συνηθισμένο. Το ίδιο και η αίσθηση ότι πρέπει να απαντήσετε αμέσως που προκύπτει από τα γραφόμενα. Οποιοδήποτε αίτημα για αποκάλυψη ευαίσθητων δεδομένων πρέπει αμέσως να κινήσει υποψίες: οι αξιόπιστες εταιρείες συνήθως δεν ζητούν κωδικούς πρόσβασης ή προσωπικά δεδομένα μέσω email ή μηνυμάτων κειμένου.

Μερικά από τα χαρακτηριστικά σημάδια που υποδηλώνουν κοινωνική μηχανική είναι τα εξής:

5 τρόποι για να προστατέψετε την επιχείρησή σας από επιθέσεις κοινωνικής μηχανικής

1. Τακτική εκπαίδευση γύρω από την κυβερνοασφάλεια ΟΛΩΝ των υπαλλήλων, συμπεριλαμβανομένων των ανώτατων στελεχών και του προσωπικού του τμήματος ΙΤ. Να θυμάστε ότι μια τέτοια εκπαίδευση πρέπει να δείχνει ή να προσομοιώνει πραγματικά σενάρια. Η μάθηση πρέπει να περιλαμβάνει δράση εκ μέρους των υπαλλήλων, οι οποίοι θα πρέπει να δοκιμάζονται ενεργά έξω από την αίθουσα εκπαίδευσης: οι τεχνικές κοινωνικής μηχανικής βασίζονται στη χαμηλή επίγνωση της κυβερνοασφάλειας των στόχων τους.

2. Σάρωση για αδύναμους κωδικούς πρόσβασης που θα μπορούσαν ενδεχομένως να αποτελέσουν μια "κερκόπορτα" στο δίκτυο της επιχείρησής σας. Επιπλέον, θα πρέπει να προστατέψετε τους κωδικούς πρόσβασης με άλλο ένα επίπεδο ασφάλειας εφαρμόζοντας έλεγχο ταυτότητας πολλών παραγόντων.

3. Εφαρμόστε τεχνικές λύσεις για την αντιμετώπιση της απάτης στις επικοινωνίες, έτσι ώστε τα μηνύματα spam και phishing να εντοπίζονται, να τοποθετούνται σε καραντίνα, να εξουδετερώνονται και να διαγράφονται. Οι λύσεις ασφαλείας, όπως αυτές που παρέχει η ESET, προσφέρουν κάποιες ή όλες αυτές τις δυνατότητες.

4. Δημιουργήστε κατανοητές πολιτικές ασφάλειας που μπορούν να χρησιμοποιούν οι εργαζόμενοι και που να τους βοηθούν να εντοπίσουν τι ακριβώς πρέπει να κάνουν όταν συναντήσουν κάποια επίθεση κοινωνικής μηχανικής.

5. Χρησιμοποιήστε μια λύση ασφαλείας και εργαλεία διαχείρισης, όπως το ESET Cloud Administrator, για την προστασία των endpoints και των δικτύων της επιχείρησής που προσφέρει στους διαχειριστές πλήρεις δυνατότητες επισκόπησης, εντοπισμού και μετριασμού πιθανών κυβερνοαπειλών.

Καταπολεμήστε την κοινωνική μηχανική τώρα

ESET PROTECT
Advanced

Προστατέψτε τον οργανισμό σας από την τεχνική κοινωνικής μηχανικής χρησιμοποιώντας τις πολυεπίπεδες λύσεις ασφαλείας για endpoints της ESET, συμπεριλαμβανομένου του LiveGrid® που βασίζεται στο cloud, την προστασία από δικτυακές επιθέσεις και την cloud κονσόλα ESET PROTECT, προκειμένου να δώσετε στους διαχειριστές σας ολοκληρωμένη επισκόπηση του δικτύου 24/7.

ΠΕΡΙΣΣΟΤΕΡΑ