Αυτός ο ιστότοπος χρησιμοποιεί cookie ώστε να μπορούμε να σας παρέχουμε την καλύτερη δυνατή εμπειρία χρήστη. Οι πληροφορίες cookie αποθηκεύονται στο πρόγραμμα περιήγησης σας και εκτελούν λειτουργίες όπως η ανάγνωση σας όταν επιστρέφετε στον ιστότοπο μας και η βοήθεια της ομάδας μας να κατανοήσει ποιες ενότητες του ιστοτόπου θεωρείτε πιο ενδιαφέρουσες και χρήσιμες.
Social Engineering: Το όπλο χειραγώγησης των κυβερνοεγκληματιών για να κερδίσουν την εμπιστοσύνη των θυμάτων τους
Αρκετές είναι οι απάτες που υπάρχουν στο διαδίκτυο με αποτέλεσμα αρκετοί να πέφτουν θύματα σε αυτές. Όλες αυτές οι απάτες είναι “μεταμφιεσμένες” με κάποιες από αυτές να αποσπούν τα δεδομένα από τα θύματα ή να κερδίζουν την εμπιστοσύνη τους πρώτα και μετά να τα παίρνουν χωρίς μεγάλο κόπο. Πολλές φορές όμως φταίνε και τα ίδια τα άτομα διότι πέφτουν στην παγίδα οι ίδιοι χωρίς να ψάξουν περισσότερο αν είναι κάτι αναξιόπιστο και βλαβερές. Μία από τις τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες για να εξαπατούν τον κόσμο είναι το social engineering.
Το social engineering περιλαμβάνει πολλές και διαφορετικές τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες και σκοπός τους είναι η απόκτηση ευαίσθητων πληροφοριών. Οι επιθέσεις αυτές στοχεύουν στο ανθρώπινο λάθος και πολλές φορές δημιουργούν στο θύμα αισθήματα επιτακτικότητας και αμεσότητας. Οι κυβερνοεγκληματίες, επιδιώκουν να κερδίσουν την εμπιστοσύνη των θυμάτων, για να λάβουν στη συνέχεια τις πληροφορίες που επιθυμούν. Το social engineering περιλαμβάνει πολλούς διαφορετικούς τρόπους με τους οποίους οι κυβερνοεγκληματίες προσπαθούν να αποσπάσουν δεδομένα.
Παραδείγματα επιθέσεων και πρόληψη
Παρακάτω θα αναφερθούν μερικά παραδείγματα επιθέσεων social engineering καθώς και οι τρόποι με τους οποίους οι χρήστες μπορούν να τις εντοπίσουν και να τις αποφύγουν.
Επίθεση Whaling
Το whaling είναι ουσιαστικά ένας πιο ραφιναρισμένος και προσωποποιημένος τρόπος ψαρέματος πληροφοριών (phishing). Σε αντίθεση με το phishing που στοχεύει σε μια ευρεία κατηγορία χρηστών χαμηλότερου προφίλ, στο whaling στόχος είναι κάποιο συγκεκριμένο άτομο, συνήθως υψηλόβαθμο, σε συγκεκριμένη εταιρεία ή οργανισμό. Σε αυτού του είδους την επίθεση οι κυβερνοεγκληματίες έχουν ήδη ερευνήσει, και γνωρίζουν πως μπορούν να προσεγγίσουν το θύμα, έτσι ώστε να έχουν περισσότερες πιθανότητες να λάβουν τα στοιχεία που επιθυμούν. Όπως και όταν πρόκειται για το ηλεκτρονικό ψάρεμα, είναι σημαντικό οι χρήστες να προσέχουν και να μελετούν προσεκτικά τα μηνύματα που λαμβάνουν και να επιβεβαιώνουν την προέλευσή τους, ειδικά όταν πρόκειται για μηνύματα που ζητούν ευαίσθητες πληροφορίες, κωδικούς για εταιρικά συστήματα και τράπεζες αλλά και άλλες πληροφορίες που είναι εμπιστευτικές.
Επίθεση Quid pro quo
Σε αυτού του είδους την επίθεση, οι δράστες δρουν ώς άτομα εμπιστοσύνης. Για παράδειγμα, οι κυβερνοεγκληματίες μπορεί να τηλεφωνήσουν υποδυόμενοι τους τεχνικούς από την εταιρία τηλεπικοινωνιών που χρησιμοποιεί το θύμα. Χρησιμοποιώντας κάποια δικαιολογία, όπως η χαμηλή ταχύτητα του internet, οι δράστες προσπαθούν να αποσπάσουν κωδικούς και άλλες πληροφορίες. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν στη συνέχεια για άλλες επιθέσεις, αλλά και να πουληθούν στο σκοτεινό διαδίκτυο. Οι χρήστες, θα πρέπει πάντα να επιβεβαιώνουν την ταυτότητα αυτού που επικοινωνεί μαζί τους πριν δώσουν οποιαδήποτε πληροφορία. Αν αυτό δεν είναι εφικτό, θα πρέπει να καλούν την εταιρία ή τον οργανισμό από τον οποίο ο υποτιθέμενος εκπρόσωπος τους κάλεσε για να επιβεβαιώνουν αν πρόκειται για απάτη.
Επίθεση Tailgating/Piggybacking
Αυτή η επίθεση, αν και δεν πρόκειται για άμεση κυβερνοαπειλή, είναι αρκετά σημαντική και σχετικά άγνωστη. Σε αυτή την περίπτωση οι κυβερνοεγκληματίες επιδιώκουν να λάβουν πρόσβαση σε μια φυσική τοποθεσία από την οποία μπορούν να αποσπάσουν συσκευές, αρχεία και να έχουν πρόσβαση σε εμπιστευτικές πληροφορίες σχετικά με τον οργανισμό ή την επιχείρηση που έχουν στοχεύσει. Επίσης, τέτοιου είδους επιθέσεις μπορούν να συμβούν όταν ένα άτομο δανείζει στον εγκληματία μια συσκευή, η οποία επιστρέφεται με κακόβουλο λογισμικό, ή ενώ ο κυβερνοεγκληματίας έχει ήδη αποσπάσει το σύνολο των πληροφοριών που επιθυμούσε. Για την αποφυγή τέτοιων επιθέσεων, οι εταιρείες πρέπει να λαμβάνουν αυστηρά μέτρα προστασίας που σχετίζονται με την ασφάλεια των εγκαταστάσεων, αλλά και να εκπαιδεύουν τους εργαζομένους σχετικά με τους κινδύνους που μπορεί να συναντήσουν, καθώς και τρόπους αντιμετώπισης και πρόληψης αυτών.
Ψυχολογικές επιπτώσεις στο άτομο – θύμα
Οι κυβερνοεγκληματίες, για να αποκτήσουν πρόσβαση στις πληροφορίες των επιλεγμένων θυμάτων, χειραγωγούν και εξαπατούν τους χρήστες, πολλές φορές κερδίζοντας πρώτα την εύνοια και την εμπιστοσύνη τους. Όπως συζητήθηκε παραπάνω, οι επιθέσεις social engineering βασίζονται κυρίως σε ανθρώπινα λάθη. Γι’ αυτόν το λόγο, κατόπιν τέτοιων επιθέσεων, είναι σημαντικό, τα θύματα να λαμβάνουν ψυχολογική υποστήριξη, καθώς είναι πιθανό να βιώσουν συναισθήματα όπως απογοήτευση, λύπη και θυμός. Τέτοιες εμπειρίες, είναι πιθανό να κλονίσουν τη γενικότερη εμπιστοσύνη των ατόμων προς τους γύρω τους, παράλληλα καθιστώντας τα πιο επιφυλακτικά ακόμα και σε καταστάσεις που δεν είναι επικίνδυνες. Είναι καίριο, κατόπιν τέτοιων επιθέσεων, να βοηθάμε τα θύματα προσφέροντάς τους ένα ασφαλές περιβάλλον για να συζητήσουν αλλά και τρόπους με τους οποίους μπορούν να διαχειριστούν αυτό που συνέβη. Είναι επίσης σημαντικό να αποφεύγεται η επίρριψη ευθυνών στα θύματα (victim blaming), καθώς είναι πιθανό τα άτομα να θεωρούν πως έχουν μεγάλο μέρος της ευθύνης για την διαρροή σημαντικών πληροφοριών και δεδομένων. Έρευνες έχουν δείξει πως οι κυβερνοεπιθέσεις μπορούν να δημιουργήσουν ψυχολογικά τραύματα στα θύματα, παρόμοια με αυτά που μπορούν να προκληθούν από τρομοκρατικές επιθέσεις. Αυτά τα ευρήματα, μας επιτρέπουν να αντιληφθούμε τη σοβαρότητα τέτοιων περιστατικών, καθώς και να καταλάβουμε την ευαλωτότητα των ατόμων μετά τη θυματοποίησή τους, που πολλές φορές ίσως να υποβαθμίζεται από τους ίδιους αλλά και τον περίγυρό τους.
Συμπεράσματα
Όπως κάθε είδους κυβερνοεπίθεση, το social engineering μπορεί να έχει πολλές και διαφορετικές επιπτώσεις για τα θύματα. Οι κοινωνικές, οικονομικές αλλά και ψυχολογικές αυτές επιπτώσεις είναι σημαντικό να λαμβάνονται υπόψη και τα θύματα να λαμβάνουν υποστήριξη μετά από τέτοιου είδους επιθέσεις. Για να παραμένουν ασφαλείς, οι χρήστες θα πρέπει να ενημερώνονται σχετικά με τις νεότερες απάτες και κυβερνοαπειλές αλλά και να παραμένουν επιφυλακτικοί όταν χρησιμοποιούν το διαδίκτυο. Η καλή γνώση και συνεχής εκπαίδευση γύρω από τα θέματα κυβερνοασφάλειας είναι απαραίτητη, ειδικά όταν πρόκειται για άτομα που κατέχουν υψηλές θέσεις ευθύνης. Ωστόσο, η ανάπτυξη προσωπικής και ηθικής ευθύνης των επαγγελματιών απέναντι στις πληροφορίες που διαχειρίζονται είναι εξίσου ζωτικής σημασίας για την προστασία των δεδομένων και κατ’ επέκταση των ατόμων και της ιδιωτικότητάς τους.
Πηγή: https://www.csii.gr/