Το social engineering ή κοινωνική μηχανική είναι μια τεχνική που χρησιμοποιείται από εγκληματίες στον κυβερνοχώρο για να χειραγωγήσουν άτομα, ώστε να αποκαλύψουν εμπιστευτικές πληροφορίες ή να εκτελέσουν ενέργειες που ενδέχεται να θέσουν σε κίνδυνο την ασφάλεια των πληροφοριακών συστημάτων είτε πρόκειται για προσωπικά δεδομένα είτε για δεδομένα του οργανισμού που εργάζονται. Η επιτυχία της κοινωνικής μηχανικής βασίζεται στην εκμετάλλευση ανθρώπινων αδυναμιών όπως η περιέργεια, ο φόβος, η απληστία και η εμπιστοσύνη. Σε αυτό το άρθρο, θα συζητήσουμε 5 κοινές τεχνικές κοινωνικής μηχανικής που χρησιμοποιούνται από hackers και πώς μπορείτε να τις αποφύγετε.
Phishing
Το phishing ή ηλεκτρονικό “ψάρεμα” είναι η πιο κοινή τεχνική κοινωνικής μηχανικής που χρησιμοποιείται από τους hackers. Περιλαμβάνει την αποστολή δόλιων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή μηνυμάτων κειμένου που φαίνεται να προέρχονται από νόμιμη πηγή, όπως μία τράπεζα ή ένα διαδικτυακό κατάστημα. Το μήνυμα περιέχει συνήθως έναν σύνδεσμο προς έναν ψεύτικο ιστότοπο που μοιάζει με τον πραγματικό. Όταν ο χρήστης εισάγει τα διαπιστευτήρια σύνδεσής του, ο hacker τα υποκλέπτει και αποκτά πρόσβαση στον λογαριασμό του χρήστη. Για να αποφύγετε να πέσετε θύματα επιθέσεων ηλεκτρονικού “ψαρέματος”, ελέγχετε πάντα τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή τον αριθμό τηλεφώνου του αποστολέα και αποφύγετε να κάνετε κλικ σε ύποπτους συνδέσμους.
Pretexting
Το pretexting είναι ένας τύπος κοινωνικής μηχανικής που περιλαμβάνει τη δημιουργία ενός ψεύτικου σεναρίου για την απόκτηση πρόσβασης σε εμπιστευτικές πληροφορίες. Για παράδειγμα, ένας εισβολέας μπορεί να υποδυθεί έναν υπάλληλο της εταιρείας και να καλέσει το γραφείο υποστήριξης για να ζητήσει πρόσβαση σε ένα ευαίσθητο αρχείο. Ο hacker μπορεί να χρησιμοποιήσει τακτικές κοινωνικής μηχανικής, όπως η δημιουργία μιας αίσθησης επείγοντος ή φόβου για να πιέσει τον στόχο να αποκαλύψει τις πληροφορίες. Για να αποφύγετε μία επίθεση pretexting, πρέπει να επαληθεύετε πάντα την ταυτότητα του ατόμου που ζητά τις πληροφορίες και να ακολουθείτε τα πρωτόκολλα ασφαλείας της εταιρείας.
Baiting
Το baiting είναι μια τεχνική κοινωνικής μηχανικής που περιλαμβάνει την προσφορά ενός στοιχείου αξίας για να δελεαστεί ο στόχος, ώστε να αποκαλύψει εμπιστευτικές πληροφορίες ή να εκτελέσει μια ενέργεια. Για παράδειγμα, ένας hacker μπορεί να αφήσει μια μονάδα USB σε δημόσιο χώρο με μια ετικέτα που γράφει “Δεδομένα μισθοδοσίας”. Όταν κάποιος παίρνει τη μονάδα USB και τη συνδέει στον υπολογιστή του, εγκαθιστά κακόβουλο λογισμικό που κλέβει τα διαπιστευτήριά της σύνδεσής του. Για να αποφύγετε μία επίθεση baiting, μην συνδέετε ποτέ μια μονάδα USB από άγνωστη πηγή και αναφέρετε τυχόν ύποπτες συσκευές στο τμήμα IT.
Tailgating
Το tailgating είναι μια τεχνική κοινωνικής μηχανικής που περιλαμβάνει την παρακολούθηση ενός ατόμου σε μια περιοχή περιορισμένης πρόσβασης χωρίς άδεια. Για παράδειγμα, ένας hacker μπορεί να προσποιηθεί ότι είναι διανομέας και να ζητήσει από έναν υπάλληλο να κρατήσει την πόρτα ανοιχτή για να περάσει. Μόλις μπει μέσα, ο hacker μπορεί να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή να προβεί σε κλοπή περιουσιακών στοιχείων της εταιρείας. Για να αποφύγετε μία επίθεση tailgating, ζητήστε πάντα ταυτοποίηση από οποιονδήποτε δεν αναγνωρίζετε και αναφέρετε οποιαδήποτε ύποπτη δραστηριότητα τμήμα κυβερνοασφάλειας του οργανισμού σας.
Spear Phishing
Το spear phishing είναι μια στοχευμένη τεχνική κοινωνικής μηχανικής που περιλαμβάνει τη συλλογή πληροφοριών σχετικά με τον στόχο για την εξατομίκευση της επίθεσης. Για παράδειγμα, ένας hacker μπορεί να ερευνήσει τα προφίλ κοινωνικών μέσων του στόχου και να χρησιμοποιήσει τις πληροφορίες για να δημιουργήσει ένα εξατομικευμένο μήνυμα ηλεκτρονικού ταχυδρομείου που να φαίνεται ότι προέρχεται από έναν φίλο ή συνάδελφο. Το μήνυμα μπορεί να περιέχει έναν σύνδεσμο προς έναν ψεύτικο ιστότοπο που καταγράφει τα διαπιστευτήρια σύνδεσης του στόχου. Για να αποφύγετε μία επίθεση spear phishing, περιορίστε τη ροή των προσωπικών πληροφοριών που μοιράζεστε στο διαδίκτυο και επαληθεύστε την ταυτότητα του αποστολέα πριν κάνετε κλικ σε συνδέσμους.
Συμπερασματικά, οι επιθέσεις κοινωνικής μηχανικής γίνονται όλο και πιο εξελιγμένες και είναι σημαντικό να παραμένουμε σε εγρήγορση για να μπορούμε να τις αποφεύγουμε. Κατανοώντας τις κοινές τεχνικές κοινωνικής μηχανικής που χρησιμοποιούν οι hackers και ακολουθώντας τις βέλτιστες πρακτικές που αναφέρονται παραπάνω, μπορείτε να προστατεύσετε τον εαυτό σας και τον οργανισμό σας από κυβερνοεπιθέσεις. Θυμηθείτε να επαληθεύετε πάντα την ταυτότητα του ατόμου που ζητά πληροφορίες και να αναφέρετε οποιαδήποτε ύποπτη δραστηριότητα στην τμήμα κυβερνοασφάλειας του οργανισμού σας.