Εάν είσαι διαχειριστής συστημάτων, μπορείς να σκεφτείς την ασφάλεια ως καθήκον εγκατάστασης εργαλείων ασφαλείας, ρύθμισης αυτών για να προστατεύσεις το σύστημα από τις τελευταίες απειλές, patching διακομιστών και τερματικών και εκ νέου ρύθμιση συστημάτων αν μολυνθούν με κάποιον ιό. Δεν είναι απλή δουλειά, αλλά οι παράμετροί της είναι τουλάχιστον απλές.
Εάν κάνεις όλα αυτά, ωστόσο, κάνεις ακόμα μόνο τη μισή δουλειά. Ορισμένες από τις πιο αποτελεσματικές επιθέσεις στον κυβερνοχώρο που θα συναντήσεις ποτέ δεν στοχεύουν στο υλικό ή το λογισμικό – στοχεύουν στους ανθρώπους. Οι επιθέσεις κοινωνικής μηχανικής συχνά περιλαμβάνουν μόνο έναν τηλεφωνικό αριθμό ή έναν λογαριασμό ηλεκτρονικού ταχυδρομείου.
Οι επιθέσεις κοινωνικής μηχανικής γίνονται ως εξής: Πρώτον, ένας εισβολέας θα καλέσει ή θα στείλει ηλεκτρονικό μήνυμα σε ένα γραφείο υποστήριξης και θα μιμηθεί τον στόχο του. Θα πουν ότι έχουν ξεχάσει τον κωδικό τους, και συνήθως θα δημιουργήσουν μια πιστευτή ιστορία γύρω από αυτό. Θα το χρησιμοποιήσουν για να πείσουν έναν εκπρόσωπο εξυπηρέτησης πελατών να αλλάξει την καταχωρημένη διεύθυνση ηλεκτρονικού ταχυδρομείου του προορισμού σε μια διεύθυνση που ανήκει στον εισβολέα και, στη συνέχεια, να αποσταλεί ένα διακριτικό επαναφοράς κωδικού πρόσβασης στη διεύθυνση αυτή. Με αυτό, ο εισβολέας θα είναι πλεον κάτοχος του λογαριασμού του στόχου.
Πώς εκτίθεσαι σε επιθέσεις κοινωνικής μηχανικής;
Οι επιθέσεις κοινωνικής μηχανικής λειτουργούν αξιόπιστα και δεν απαιτούν ειδικές δεξιότητες προγραμματισμού. Η τεχνολογία γνωστή ως VoIP spoofing επιτρέπει στον επιτιθέμενο να κάνει την κλήση του να φαίνεται ότι προέρχεται από το τηλέφωνο του στόχου – αυτή η τεχνολογία είναι ευρέως διαθέσιμη και επίσης δεν απαιτεί ειδικές δεξιότητες. Ως εκ τούτου, δεν αποτελεί έκπληξη το γεγονός ότι η επικράτηση αυτών των επιθέσεων είναι υψηλή και αυξανόμενη. Το 2017, το 76% των επαγγελματιών ασφάλειας πληροφορικής ανίχνευσαν επιθέσεις κοινωνικής μηχανικής μέσω τηλεφώνου ή ηλεκτρονικού ταχυδρομείου, με το ηλεκτρονικό ταχυδρομείο να είναι ο κύριος φορέας. Το 2018, ο αριθμός αυτός αυξήθηκε στο 83%.
Αυτή η άνοδος στην κοινωνική μηχανική και οι επιθέσεις phishing μέσω email οδήγησαν σε μια αντίστοιχη αύξηση των επεισοδίων υψηλού προφίλ, μεταξύ των οποίων υπήρχαν θύματα όπως:
- Η Blackrock
Ο μεγαλύτερος διαχειριστής περιουσιακών στοιχείων στον κόσμο ήταν θύμα μιας επίθεσης από περιβαλλοντικό ακτιβιστή που εξαπάτησε τόσο τους Financial Times όσο και το CNBC. Οι ακτιβιστές έστειλαν ένα εξαιρετικά πειστικό ψεύτικο δελτίο τύπου λέγοντας ότι η επιχείρηση θα ασχοληθεί με κάποιο περιβαλλοντικό χαρτοφυλάκιο, προκαλώντας μια σύντομη κατακραυγή. - Κρυπτονομίσματα
Οι χρήστες ψηφιακών πορτοφολιών για κρυπτονομίσματα, που είναι γνωστά ως Ethereum, έγιναν θύματα επιθέσεων phishing που ήταν μεταμφιεσμένες σε ψεύτικα μηνύματα σφάλματος. Αυτά έλαβαν τη μορφή ηλεκτρονικού ταχυδρομείου που ώθησε τους χρήστες να εγκαταστήσουν μια ενημερωμένη έκδοση κώδικα. Αντίθετα, ο σύνδεσμος που υπήρχε θα οδηγούσε στην πραγματικότητα σε μια έκδοση του λογισμικού του πορτοφολιού που θα επέτρεπε στους επιτιθέμενους να συγκεντρώσουν τα ψηφιακά κέρδη τους. - Υπηρεσίες πληροφοριών
Το 2015, ένας έφηβος χάκερ μπόρεσε να καλέσει την Verizon, να βρει προσωπικές πληροφορίες που ανήκαν στον John Brennan – τότε διευθυντή της CIA – και να κλέψει την πρόσβαση στην ηλεκτρονική διεύθυνση του AOL. Αυτή η διεύθυνση έτυχε να περιέχει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων λεπτομερειών από την αίτηση του διευθυντή για την άδεια ασφαλείας. Ο χάκερ μπόρεσε ακόμη και να μιλήσει για λίγο με τον διευθυντή Brennan στο τηλέφωνο. Χρειάστηκαν περισσότερα από δύο χρόνια πριν εντοπιστεί και συνελήφθη ο επιτιθέμενος.
Αυτά τα περιστατικά δείχνουν πόσο εύκολο είναι να δημιουργηθεί χάος χρησιμοποιώντας τα πιο απλά εργαλεία που μπορεί κανείς να φανταστεί. Οι χάκερ μπορούν να κλέψουν χρήματα, να ξεγελάσουν τα μέσα μαζικής ενημέρωσης και να αποκτήσουν πρόσβαση στα μυστικά των πιο ισχυρών ανθρώπων στη Γη χρησιμοποιώντας απλά ένα τηλέφωνο και μια διεύθυνση ηλεκτρονικού ταχυδρομείου.
Πώς θα αμυνθείς απέναντι στις επιθέσεις κοινωνικής μηχανικής
Υπάρχουν δύο τρόποι να υπερασπιστείς τον εαυτό σου από επιθέσεις κοινωνικής μηχανικής.
Πρώτα απ ‘όλα, υπάρχει τεχνολογία. Μια λύση γνωστή ως DMARC (Domain-based Message Authentication, Reporting & Conformance) έχει σχεδιαστεί για να ανιχνεύει και να απομακρύνει τα μηνύματα ηλεκτρονικού ταχυδρομείου που είναι πλαστογραφημένα, πράγμα που σημαίνει ότι η διεύθυνση που είναι εμφανής στον παραλήπτη δεν είναι η διεύθυνση που έστειλε πραγματικά το μήνυμα ηλεκτρονικού ταχυδρομείου. Παρόλο που η τεχνολογία αυτή προστατεύει τους καταναλωτές διασφαλίζοντας ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου τους δεν μπορούν να χρησιμοποιηθούν για να κάνουν ζημιά, τα ποσοστά είναι πολύ χαμηλά – κάτω από το 50% σε όλους τους κλάδους.
Εκτός από την τεχνολογία, υπάρχει και η εφαρμογή πολιτικής – σε αυτή την περίπτωση, εκπαίδευση για την ευαισθητοποίηση σχετικά με την ασφάλεια. Εδώ, οι διαχειριστές ασφαλείας εκπαιδεύουν τους εργαζόμενους τους ελέγχοντας τους με παραδείγματα ψεύτικων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Ο στόχος είναι να φέρει τους υπαλλήλους σε θέση να καταλάβουν τη διαφορά μεταξύ ενός παραποιημένου ηλεκτρονικού ταχυδρομείου και ενός γνήσιου. Η εκπαίδευση για την ευαισθητοποίηση σχετικά με την ασφάλεια είναι περισσότερο από μέτρια αποτελεσματική – το άνοιγμα μηνυμάτων phishing μειώθηκε κατά 75% μετά την κατάρτιση και την ευαισθητοποίηση σχετικά με την ασφάλεια – αλλά οι επιτιθέμενοι αρκεί να ξεγελάσουν μόνο ένα άτομο για να προκαλέσουν παραβίαση.
Τελικά, η μείωση των βλαβών και η άμεση ανταπόκριση στα περιστατικών θα φέρουν το καλύτερο αποτέλεσμα κατά των επιθέσεων phishing και κοινωνικής μηχανικής. Ενώ ένας αποφασισμένος εισβολέας έχει πολύ καλές πιθανότητες να ξεγελάσει τους υπαλλήλους με ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου ή ψεύτικες τηλεφωνικές κλήσεις, οι καλοί διαχειριστές θα εξακολουθήσουν να εντοπίζουν τις καταλήψεις λογαριασμών όταν αυτές συμβούν. Παρόλο που μπορεί να είναι εύκολο για τους εισβολείς να κλέψουν λογαριασμούς χρηστών, εξακολουθεί να είναι δυνατό να περιορίσεις την έκταση των ζημιών που αυτοί μπορεί να προκαλέσουν.