Κοινωνική Μηχανική - Η Τέχνη του Hacking Human

Η κοινωνική μηχανική είναι η πράξη χειραγώγησης κάποιου στην αποκάλυψη πληροφοριών ή κάνοντας κάτι που συνήθως δεν είναι προς το συμφέρον του. Σε αυτό το άρθρο, θα εξετάσουμε μερικούς κοινούς τρόπους με τους οποίους οι Κοινωνικοί Μηχανικοί προσπαθούν να σας χειραγωγήσουν.

Αποποίηση ευθυνών: Τα άρθρα μου είναι καθαρά εκπαιδευτικά. Εάν τα διαβάσετε και προκαλέσετε ζημιά σε κάποιον, αυτό είναι δικό σας. Δεν ενθαρρύνω καμία κακόβουλη δραστηριότητα ή πρακτικές μαύρου καπέλου. Διαβάστε τον κώδικα δεοντολογίας εδώ.

Ένας κοινός τύπος απάτης είναι ο Ισπανός Αιχμάλωτος, ο οποίος χρονολογείται από τον 18ο αιώνα και έχει πολλές σύγχρονες ενσαρκώσεις.

Συνήθως περιλαμβάνει κάποιον που έχει πρόβλημα και χρειάζεται τη βοήθειά σας για να αποκτήσει πρόσβαση στην περιουσία του. Απλά πρέπει να πληρώσετε μερικές χιλιάδες δολάρια, τότε θα σας επιστρέψουν δέκα φορές. Αλλά μπορείτε να μαντέψετε πώς τελειώνει.

Υπάρχουν παρόμοιες απάτες που έχουν κυκλοφορήσει στο Διαδίκτυο: Η απάτη IRS, οι απάτες λοταρίας και ούτω καθεξής. Αυτά ταξινομούνται γενικά ως απάτες προσφορών. Σας περιμένει κάτι αλλά πρέπει να πληρώσετε μια προκαταβολή για να το λάβετε.

Για τον μέσο άνθρωπο, αυτά θα φαίνονται σαν κακές εκτελέσεις απάτης. Αλλά αυτές οι απάτες έχουν προκαλέσει χιλιάδες ανθρώπους να χάσουν τα σκληρά κερδισμένα χρήματά τους. Σε ορισμένες περιπτώσεις, η εξοικονόμηση ζωής τους.

Αυτά είναι όλα τα παραδείγματα της κοινωνικής μηχανικής σε δράση.

Η ιδέα πίσω από την κοινωνική μηχανική είναι να εκμεταλλευτούμε τις φυσικές τάσεις και τις συναισθηματικές αντιδράσεις ενός πιθανού θύματος. Ο φόβος και η απληστία είναι τα πιο ευάλωτα συναισθήματα που συνήθως εκμεταλλεύονται οι κοινωνικοί μηχανικοί.

Παρακάτω είναι ένα εξαιρετικό παράδειγμα μιας επίθεσης κοινωνικής μηχανικής πραγματικού κόσμου.

Τύποι επιθέσεων κοινωνικής μηχανικής

Η κοινωνική μηχανική μπορεί γενικά να ταξινομηθεί σε πέντε τύπους επιθέσεων με βάση τον τύπο προσέγγισης που χρησιμοποιείται για τον χειρισμό ενός στόχου. Ας δούμε κάθε ένα από αυτά.

Spamming (Email, Κείμενο, Whatsapp)

Το ανεπιθύμητο περιεχόμενο περιλαμβάνει την αποστολή μηνυμάτων σε μεγάλες ομάδες ατόμων των οποίων τα στοιχεία επικοινωνίας λαμβάνονται συνήθως με κακόβουλες μεθόδους. Το Spamming είναι ένας γενικός όρος που χρησιμοποιείται για τον καθορισμό τόσο κακόβουλης όσο και μη κακόβουλης μετάδοσης μηνυμάτων.

Η μη κακόβουλη ανεπιθύμητη αλληλογραφία χρησιμοποιείται από διαφημιζόμενους που προσπαθούν να προωθήσουν τα προϊόντα τους σε τυχαίους αγνώστους στέλνοντάς τους μαζικά μηνύματα ηλεκτρονικού ταχυδρομείου. Το κίνητρο τους δεν είναι να προκαλέσουν ζημιά, αλλά να προσπαθήσουν να κάνουν τους ανθρώπους να αγοράσουν τα προϊόντα τους ή να προωθήσουν τις υπηρεσίες τους.

Το κακόβουλο ανεπιθύμητο περιεχόμενο περιλαμβάνει μηνύματα που προσπαθούν να παρασύρουν τους χρήστες στον ιστότοπο του εισβολέα για να αποκαλύψουν προσωπικά στοιχεία. Αυτές οι πληροφορίες στη συνέχεια χρησιμοποιούνται για τη δημιουργία στοχευμένων επιθέσεων ηλεκτρονικού ψαρέματος / ψαρέματος στο πιθανό θύμα.

Ηλεκτρονικό ψάρεμα (και ψαρέματα)

Όταν ο εισβολέας χρησιμοποιεί μηνύματα κειμένου, ηλεκτρονικό ταχυδρομείο ή φωνητική κλήση (φωνητικό ηλεκτρονικό ψάρεμα = ψαρέμα), ονομάζεται ηλεκτρονικό ψάρεμα.

Το ηλεκτρονικό ψάρεμα χρησιμοποιείται για να κάνει τον στόχο να πιστέψει ότι καλείται από νόμιμο ίδρυμα ή οντότητα για να εξαγάγει πολύτιμες πληροφορίες από τον στόχο.

Εάν κάποιος καλέσει την εταιρεία σας να προσποιείται ότι είναι ο προμηθευτής του εκτυπωτή σας, ενδέχεται να είναι σε θέση να αποκτήσει συγκεκριμένες πληροφορίες σχετικά με τον εκτυπωτή - το μοντέλο, τη διεύθυνση IP (εάν είναι συνδεδεμένη στο Διαδίκτυο) και ούτω καθεξής.

Και μόλις δοθούν αυτές οι πληροφορίες, ο εκτυπωτής ενδέχεται να δεχτεί επίθεση για να αποκτήσει πρόσβαση στο εσωτερικό σας δίκτυο.

Οι επιθέσεις ηλεκτρονικού ψαρέματος μέσω ηλεκτρονικού ταχυδρομείου είναι επίσης συχνές. Ένας εισβολέας μπορεί να στείλει email σε κάποιον στην εταιρεία σας που προσποιείται ότι είναι Facebook. Μόλις ένα μέλος της ομάδας κάνει κλικ σε έναν σύνδεσμο, θα καταλήξει σε μια σελίδα που μοιάζει με το Facebook, ζητώντας τους τα στοιχεία σύνδεσης. Αυτές οι πληροφορίες σύνδεσης θα σταλούν στον διακομιστή του εισβολέα και μετά θα έχουν πλήρη πρόσβαση στον λογαριασμό Facebook του θύματος.

Η κύρια διαφορά μεταξύ του ηλεκτρονικού ψαρέματος και του ψαρέματος είναι ότι οι επιθέσεις ηλεκτρονικού ψαρέματος είναι ιδιαίτερα στοχευμένες. Ο εισβολέας ξέρει σε ποιον θέλει να επιτεθεί και τι είδους πληροφορίες αναζητούν.

Δόλωμα

Το δόλωμα περιλαμβάνει το σχεδιασμό παγίδας και την αναμονή για το πιθανό θύμα να περπατήσει στην παγίδα. Ως απλό παράδειγμα, εάν ένας εισβολέας ρίξει μερικές μονάδες USB στο χώρο στάθμευσης της εταιρείας σας, είναι πιθανό, ένας από τους υπαλλήλους σας θα προσπαθήσει να το συνδέσει στον υπολογιστή του για να ελέγξει το περιεχόμενο της μονάδας USB.

Αυτό μπορεί να ακούγεται ανόητο, αλλά υπήρξαν πολλές περιπτώσεις όπου απλά κόλπα από τους κοινωνικούς μηχανικούς είχαν ως αποτέλεσμα μαζικές παραβιάσεις εταιρικών δεδομένων. Συνήθως είναι εύκολο να δολώσουμε άτομα με απάτες, όπως οι απάτες που προσφέρουν το Advance που κυκλοφορούν ακόμη στο Διαδίκτυο, τρέφοντας με εύθραυστα άτομα.

Ένας άλλος κοινός τύπος δολώματος βρίσκεται στο πειρατικό λογισμικό. Ο εισβολέας θα ενσωματώσει κακόβουλο λογισμικό σε ένα δημοφιλές λειτουργικό σύστημα ή μια ταινία για τη λήψη του θύματος. Μόλις το θύμα κατεβάσει και εκτελέσει το λογισμικό, ο κακόβουλος κώδικας εκτελείται στο σύστημα του θύματος και ο εισβολέας αποκτά πλήρη πρόσβαση στο μηχάνημα του θύματος.

Γουρουνάκι

Το PiggyBacking σημαίνει τη χρήση κάποιου άλλου για επίθεση σε ένα πιθανό θύμα. Ο εισβολέας θα χρησιμοποιήσει ένα τρίτο μέρος (συνήθως αθώο) που έχει πρόσβαση στο θύμα για να πραγματοποιήσει μια επίθεση piggybacking.

Υπάρχουν πολλές παραλλαγές του Piggybacking. Εάν ένας εισβολέας ακολουθήσει τον υπάλληλό σας στο γραφείο σας χρησιμοποιώντας την κάρτα πρόσβασης, αυτή είναι μια μορφή piggybacking που ονομάζεται tailgating.

Υπήρξαν πολλές περιπτώσεις επιθέσεων piggybacking, ειδικά για διαβαθμισμένες πληροφορίες. Οι εταιρείες προμηθευτών που προμηθεύουν υλικό / λογισμικό σε κυβερνητικούς οργανισμούς είναι συνήθως ο στόχος των επιθέσεων piggybacking.

Μόλις αυτοί οι πωλητές παραβιαστούν, είναι εύκολο να επιτεθείτε στο ίδρυμα προορισμού, καθώς ο προμηθευτής έχει ήδη επίπεδο πρόσβασης στον στόχο.

Το Piggybacking σχετίζεται επίσης με κάποιες μορφές ενεργού Wiretapping. Ο εισβολέας θα χρησιμοποιήσει μια νόμιμη σύνδεση του θύματος για να παρακολουθήσει το δίκτυο.

Πρόσφατα έγραψα ένα άρθρο για το Wireshark που μπορεί να σας ενδιαφέρει.

Τρύπες νερού

Το Water Holing λαμβάνει υπόψη τις συνήθεις ενέργειες του στόχου και χρησιμοποιεί μία από αυτές τις ενέργειες για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση. Για παράδειγμα, ένας εισβολέας θα βρει τους ιστότοπους που χρησιμοποιεί ο στόχος σε καθημερινή βάση και προσπαθεί να εγκαταστήσει κακόβουλο λογισμικό σε έναν από αυτούς τους ιστότοπους.

Το όνομα "Water Holing" προέρχεται από το γεγονός ότι οι αρπακτικοί στη φύση περιμένουν συχνά το θήραμά τους κοντά στις κοινές τρύπες ποτίσματος.

Ένα παράδειγμα είναι η Εκστρατεία Αγίου Νερού του 2019, η οποία στοχεύει σε ασιατικές θρησκευτικές και φιλανθρωπικές ομάδες. Ο ιστότοπος διακυβεύτηκε μετά από τον οποίο οι επισκέπτες κλήθηκαν να εγκαταστήσουν το Adobe Flash στα προγράμματα περιήγησής τους.

Επειδή το Adobe Flash έχει πολλές ευπάθειες, ήταν εύκολο για τους εισβολείς να εκτελέσουν τότε κακόβουλο κώδικα στα μηχανήματα του θύματος. Οι επιθέσεις με τρύπες ποτίσματος είναι ασυνήθιστες, αλλά αποτελούν σημαντική απειλή, καθώς είναι πολύ δύσκολο να εντοπιστούν.

Προστατεύστε τον εαυτό σας από την Κοινωνική Μηχανική

Τώρα που έχουμε δει τους διαφορετικούς τύπους προσεγγίσεων που χρησιμοποιούν οι κοινωνικοί μηχανικοί, ας δούμε πώς μπορούμε να προστατεύσουμε τον εαυτό μας και τον οργανισμό μας από επιθέσεις κοινωνικής μηχανικής.

Εγκαταστήστε φίλτρα email και spam

Αν και τα φίλτρα ανεπιθύμητων μηνυμάτων δεν μπορούν να εντοπίσουν επιθέσεις υψηλής στόχευσης, θα αποτρέψουν την πρόσβαση του λογαριασμού σας στα περισσότερα ανεπιθύμητα και κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου.

Διατηρήστε ενημερωμένο το Antivirus και το τείχος προστασίας

Παρόμοια με τα φίλτρα ανεπιθύμητης αλληλογραφίας, ένα ενημερωμένο λογισμικό προστασίας από ιούς θα προστατεύει από τους περισσότερους από τους κοινούς ιούς, trojan και κακόβουλο λογισμικό.

Ζητήστε επαλήθευση

Να ζητάτε πάντα επαλήθευση όταν κάποιος σας καλεί που ισχυρίζεστε ότι εκπροσωπείτε έναν οργανισμό, για παράδειγμα την τράπεζά σας. Ποτέ μην κοινοποιείτε εμπιστευτικές λεπτομέρειες, όπως αριθμούς πιστωτικών καρτών ή κωδικούς πρόσβασης μέσω τηλεφώνου ή email.

Δημιουργήστε ευαισθητοποίηση

Ο καλύτερος τρόπος για να αποτρέψετε την εκμετάλλευση του οργανισμού σας είναι να δημιουργήσετε προγράμματα ευαισθητοποίησης για την ασφάλεια. Η εκπαίδευση των υπαλλήλων σας είναι μια μεγάλη μακροπρόθεσμη επένδυση για να διατηρήσετε την εταιρεία σας ασφαλή.

Εάν φαίνεται πολύ καλό για να είναι αληθινό, είναι

Τέλος, αν κάτι ακούγεται πολύ καλό για να είναι αληθινό, συνήθως είναι. Ποτέ μην εμπιστεύεστε ξένους που υπόσχονται να σας κάνουν πλούσιους γρήγορα. Όπως είπε κάποτε κάποιος, «η προσπάθεια να γίνεις πλούσιος γρήγορα είναι ο πιο γρήγορος τρόπος να χάσεις όλα τα χρήματά σου»

συμπέρασμα

Οι Κοινωνικοί Μηχανικοί είναι πλοίαρχοι χειραγώγησης. Εάν οι υπάλληλοι μιας εταιρείας δεν έχουν εκπαιδευτεί στην ευαισθητοποίηση στον τομέα της κοινωνικής μηχανικής, είναι πολύ δύσκολο για αυτούς να αποφύγουν την παγίδα ενός κοινωνικού μηχανικού.

Οι κοινωνικοί μηχανικοί δουλεύουν με τα συναισθήματα των ανθρώπων, συνήθως με φόβο και απληστία. Έτσι, όποτε εκτελείτε μια ενέργεια που βασίζεται σε αυτά τα δύο συναισθήματα, ίσως θελήσετε να κάνετε ένα βήμα πίσω και να δείτε εάν χειραγωγείτε.

Υπάρχει μια διάσημη ομιλία TED όπου κάποιος ξεκίνησε μια συνομιλία με έναν spammer. Δείτε το πλήρες βίντεο εδώ.

Μπορείτε να λάβετε μια περίληψη των άρθρων και των βίντεό μου που αποστέλλονται στο email σας κάθε Δευτέρα πρωί. Μπορείτε επίσης να μάθετε περισσότερα για εμένα εδώ.