Τι είναι Κοινωνική μηχανική? 11 Παραδείγματα που πρέπει να προσέξετε
Πίνακας περιεχομένων
Τι ακριβώς είναι η Κοινωνική Μηχανική;
Η κοινωνική μηχανική αναφέρεται στην πράξη χειραγώγησης των ανθρώπων για την εξαγωγή των εμπιστευτικών τους πληροφοριών. Το είδος των πληροφοριών που αναζητούν οι εγκληματίες μπορεί να διαφέρει. Συνήθως, τα άτομα στοχοποιούνται για τα τραπεζικά τους στοιχεία ή τους κωδικούς πρόσβασης του λογαριασμού τους. Οι εγκληματίες προσπαθούν επίσης να αποκτήσουν πρόσβαση στον υπολογιστή του θύματος, ώστε να εγκαταστήσουν κακόβουλο λογισμικό. Αυτό το λογισμικό τους βοηθά στη συνέχεια να εξαγάγουν όποιες πληροφορίες μπορεί να χρειαστούν.
Οι εγκληματίες χρησιμοποιούν τακτικές κοινωνικής μηχανικής επειδή είναι συχνά εύκολο να εκμεταλλευτεί κάποιος ένα άτομο κερδίζοντας την εμπιστοσύνη του και να το πείσει να παραιτηθεί από τα προσωπικά του στοιχεία. Είναι πιο βολικός τρόπος από την απευθείας εισβολή στον υπολογιστή κάποιου εν αγνοία του.
Παραδείγματα Κοινωνικής Μηχανικής
Θα είστε σε θέση να προστατεύσετε τον εαυτό σας καλύτερα ενημερώνοντας τους διαφορετικούς τρόπους με τους οποίους γίνεται η κοινωνική μηχανική.
1. Προσχηματισμός
Το προσχηματισμό χρησιμοποιείται όταν ο εγκληματίας θέλει να έχει πρόσβαση σε ευαίσθητες πληροφορίες από το θύμα για την εκτέλεση μιας κρίσιμης εργασίας. Ο εισβολέας προσπαθεί να λάβει τις πληροφορίες μέσω πολλών προσεκτικά κατασκευασμένων ψεμάτων.
Ο εγκληματίας ξεκινά με τη δημιουργία εμπιστοσύνης με το θύμα. Αυτό μπορεί να γίνει πλαστοπροσωπώντας τους φίλους, τους συναδέλφους, τους τραπεζικούς υπαλλήλους, την αστυνομία ή άλλες αρχές που μπορεί να ζητήσουν τέτοιες ευαίσθητες πληροφορίες. Ο εισβολέας τους κάνει μια σειρά από ερωτήσεις με πρόσχημα την επιβεβαίωση της ταυτότητάς τους και συγκεντρώνει προσωπικά δεδομένα σε αυτή τη διαδικασία.
Αυτή η μέθοδος χρησιμοποιείται για την εξαγωγή όλων των ειδών προσωπικών και επίσημων στοιχείων από ένα άτομο. Τέτοιες πληροφορίες μπορεί να περιλαμβάνουν προσωπικές διευθύνσεις, αριθμούς κοινωνικής ασφάλισης, αριθμούς τηλεφώνου, τηλεφωνικά αρχεία, τραπεζικά στοιχεία, ημερομηνίες διακοπών του προσωπικού, πληροφορίες ασφαλείας που σχετίζονται με επιχειρήσεις και ούτω καθεξής.
2. Κλοπή εκτροπής
Πρόκειται για ένα είδος απάτης που στοχεύει γενικά σε εταιρείες ταχυμεταφορών και μεταφορών. Ο εγκληματίας προσπαθεί να ξεγελάσει την εταιρεία-στόχο αναγκάζοντάς την να παράσχει το πακέτο παράδοσης σε διαφορετική τοποθεσία παράδοσης από αυτή που προοριζόταν αρχικά. Αυτή η τεχνική χρησιμοποιείται για την κλοπή πολύτιμων αγαθών που παραδίδονται μέσω του ταχυδρομείου.
Αυτή η απάτη μπορεί να πραγματοποιηθεί τόσο εκτός σύνδεσης όσο και διαδικτυακά. Το προσωπικό που μεταφέρει τα δέματα μπορεί να προσεγγιστεί και να πειστεί να παραδώσει την παράδοση σε διαφορετική τοποθεσία. Οι εισβολείς ενδέχεται επίσης να αποκτήσουν πρόσβαση στο ηλεκτρονικό σύστημα παράδοσης. Στη συνέχεια, μπορούν να παρακολουθήσουν το χρονοδιάγραμμα παράδοσης και να κάνουν αλλαγές σε αυτό.
3. Ηλεκτρονικό ψάρεμα
Το phishing είναι μια από τις πιο δημοφιλείς μορφές κοινωνικής μηχανικής. Οι απάτες ηλεκτρονικού ψαρέματος περιλαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου και γραπτά μηνύματα που μπορεί να δημιουργήσουν μια αίσθηση περιέργειας, φόβου ή επείγουσας ανάγκης στα θύματα. Το κείμενο ή το email τους παρακινεί να κάνουν κλικ σε συνδέσμους που θα οδηγούσαν σε κακόβουλους ιστότοπους ή συνημμένα που θα εγκαθιστούσαν κακόβουλο λογισμικό στις συσκευές τους.
Για παράδειγμα, οι χρήστες μιας διαδικτυακής υπηρεσίας ενδέχεται να λάβουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι έχει υπάρξει μια αλλαγή πολιτικής που απαιτεί από αυτούς να αλλάξουν αμέσως τους κωδικούς πρόσβασής τους. Η αλληλογραφία θα περιέχει έναν σύνδεσμο προς έναν παράνομο ιστότοπο που είναι πανομοιότυπος με τον αρχικό ιστότοπο. Στη συνέχεια, ο χρήστης θα εισαγάγει τα διαπιστευτήρια του λογαριασμού του σε αυτόν τον ιστότοπο, θεωρώντας ότι είναι ο νόμιμος. Κατά την υποβολή των στοιχείων τους, οι πληροφορίες θα είναι προσβάσιμες στον εγκληματία.
4. Ψάρεμα ψαρέματος
Αυτός είναι ένας τύπος απάτης phishing που στοχεύει περισσότερο σε ένα συγκεκριμένο άτομο ή έναν οργανισμό. Ο εισβολέας προσαρμόζει τα μηνύματά του με βάση τις θέσεις εργασίας, τα χαρακτηριστικά και τις συμβάσεις που σχετίζονται με το θύμα, έτσι ώστε να φαίνονται πιο αυθεντικά. Το Spear phishing απαιτεί περισσότερη προσπάθεια από την πλευρά του εγκληματία και μπορεί να πάρει πολύ περισσότερο χρόνο από το κανονικό phishing. Ωστόσο, είναι πιο δύσκολο να εντοπιστούν και έχουν καλύτερο ποσοστό επιτυχίας.
Για παράδειγμα, ένας εισβολέας που επιχειρεί ψάρεμα με δόρυ σε έναν οργανισμό θα στείλει ένα email σε έναν υπάλληλο που υποδύεται τον σύμβουλο πληροφορικής της εταιρείας. Το email θα πλαισιωθεί με τρόπο που είναι ακριβώς παρόμοιος με τον τρόπο που το κάνει ο σύμβουλος. Θα φαίνεται αρκετά αυθεντικό για να εξαπατήσει τον παραλήπτη. Το email θα ζητήσει από τον υπάλληλο να αλλάξει τον κωδικό πρόσβασής του παρέχοντάς του έναν σύνδεσμο προς μια κακόβουλη ιστοσελίδα που θα καταγράφει τα στοιχεία του και θα τα στέλνει στον εισβολέα.
5. Νερό-Τρύπημα
Η απάτη που εκμεταλλεύεται το νερό εκμεταλλεύεται αξιόπιστους ιστότοπους που επισκέπτονται τακτικά πολλοί άνθρωποι. Ο εγκληματίας θα συλλέξει πληροφορίες σχετικά με μια στοχευμένη ομάδα ατόμων για να καθορίσει ποιους ιστότοπους επισκέπτεται συχνά. Στη συνέχεια, αυτοί οι ιστότοποι θα ελεγχθούν για τρωτά σημεία. Με τον καιρό, ένα ή περισσότερα μέλη αυτής της ομάδας θα μολυνθούν. Στη συνέχεια, ο εισβολέας θα μπορεί να έχει πρόσβαση στο ασφαλές σύστημα αυτών των μολυσμένων χρηστών.
Το όνομα προέρχεται από την αναλογία του πώς τα ζώα πίνουν νερό συγκεντρώνοντας στα αξιόπιστα μέρη τους όταν διψούν. Δεν σκέφτονται δύο φορές να λάβουν προφυλάξεις. Τα αρπακτικά το γνωρίζουν αυτό, οπότε περιμένουν εκεί κοντά, έτοιμοι να τους επιτεθούν όταν η φρουρά τους είναι κάτω. Η τρύπα νερού στο ψηφιακό τοπίο μπορεί να χρησιμοποιηθεί για να πραγματοποιηθούν ταυτόχρονα μερικές από τις πιο καταστροφικές επιθέσεις σε μια ομάδα ευάλωτων χρηστών.
6. Δόλωμα
Όπως είναι προφανές από το όνομα, το δόλωμα περιλαμβάνει τη χρήση μιας ψευδούς υπόσχεσης για να προκαλέσει την περιέργεια ή την απληστία του θύματος. Το θύμα παρασύρεται σε μια ψηφιακή παγίδα που θα βοηθήσει τον εγκληματία να κλέψει τα προσωπικά του στοιχεία ή να εγκαταστήσει κακόβουλο λογισμικό στα συστήματά του.
Το δόλωμα μπορεί να πραγματοποιηθεί τόσο μέσω διαδικτυακών όσο και εκτός σύνδεσης μέσων. Ως παράδειγμα εκτός σύνδεσης, ο εγκληματίας μπορεί να αφήσει το δόλωμα με τη μορφή μιας μονάδας flash που έχει μολυνθεί με κακόβουλο λογισμικό σε εμφανείς τοποθεσίες. Αυτό μπορεί να είναι το ασανσέρ, το μπάνιο, το πάρκινγκ κ.λπ., της στοχευόμενης εταιρείας. Η μονάδα flash θα έχει μια αυθεντική εμφάνιση, κάτι που θα κάνει το θύμα να το πάρει και να το τοποθετήσει στον υπολογιστή της εργασίας ή του σπιτιού του. Στη συνέχεια, η μονάδα flash θα εξαγάγει αυτόματα κακόβουλο λογισμικό στο σύστημα.
Οι διαδικτυακές μορφές δολώματος μπορεί να έχουν τη μορφή ελκυστικών και δελεαστικών διαφημίσεων που θα ενθαρρύνουν τα θύματα να κάνουν κλικ σε αυτό. Ο σύνδεσμος ενδέχεται να κατεβάσει κακόβουλα προγράμματα, τα οποία στη συνέχεια θα μολύνουν τον υπολογιστή τους με κακόβουλο λογισμικό.
7. Quid Pro Quo
Μια επίθεση quid pro quo σημαίνει επίθεση "κάτι για κάτι". Είναι μια παραλλαγή της τεχνικής του δολώματος. Αντί να δολώνει τα θύματα με την υπόσχεση ενός οφέλους, μια επίθεση quid pro quo υπόσχεται μια υπηρεσία εάν έχει εκτελεστεί μια συγκεκριμένη ενέργεια. Ο εισβολέας προσφέρει ένα ψεύτικο όφελος στο θύμα σε αντάλλαγμα για πρόσβαση ή πληροφορίες.
Η πιο κοινή μορφή αυτής της επίθεσης είναι όταν ένας εγκληματίας υποδύεται ένα προσωπικό πληροφορικής μιας εταιρείας. Στη συνέχεια, ο εγκληματίας επικοινωνεί με τους υπαλλήλους της εταιρείας και τους προσφέρει νέο λογισμικό ή αναβάθμιση συστήματος. Στη συνέχεια, ο υπάλληλος θα κληθεί να απενεργοποιήσει το λογισμικό προστασίας από ιούς ή να εγκαταστήσει κακόβουλο λογισμικό εάν θέλει την αναβάθμιση.
8. Οπαδόρος
Μια επίθεση tailgating ονομάζεται επίσης piggybacking. Περιλαμβάνει τον εγκληματία που επιδιώκει την είσοδο σε μια περιορισμένη τοποθεσία που δεν διαθέτει κατάλληλα μέτρα ελέγχου ταυτότητας. Ο εγκληματίας μπορεί να αποκτήσει πρόσβαση περπατώντας πίσω από άλλο άτομο που έχει εξουσιοδοτηθεί να εισέλθει στην περιοχή.
Για παράδειγμα, ο εγκληματίας μπορεί να υποδύεται έναν οδηγό παράδοσης που έχει τα χέρια του γεμάτα δέματα. Περιμένει να μπει στην πόρτα ένας εξουσιοδοτημένος υπάλληλος. Ο απατεώνας ντελίβερι ζητά από τον υπάλληλο να του κρατήσει την πόρτα, επιτρέποντάς του έτσι να έχει πρόσβαση χωρίς καμία εξουσιοδότηση.
9. Μελιτοπαγίδα
Αυτό το τέχνασμα περιλαμβάνει τον εγκληματία να προσποιείται ότι είναι ένα ελκυστικό άτομο στο διαδίκτυο. Το άτομο γίνεται φίλος με τους στόχους του και προσποιείται μια διαδικτυακή σχέση μαζί τους. Στη συνέχεια, ο εγκληματίας εκμεταλλεύεται αυτή τη σχέση για να αποσπάσει τα προσωπικά στοιχεία των θυμάτων του, να δανειστεί χρήματα από αυτά ή να τα αναγκάσει να εγκαταστήσουν κακόβουλο λογισμικό στους υπολογιστές τους.
Το όνομα «μελιτοπαγίδα» προέρχεται από τις παλιές κατασκοπευτικές τακτικές όπου οι γυναίκες χρησιμοποιούνταν για να στοχοποιήσουν τους άνδρες.
10. Αδίστακτος
Το αδίστακτο λογισμικό μπορεί να εμφανιστεί με τη μορφή απατεώνων anti-malware, αδίστακτων σαρωτών, αδίστακτων scareware, anti-spyware και ούτω καθεξής. Αυτός ο τύπος κακόβουλου λογισμικού υπολογιστή παραπλανά τους χρήστες να πληρώσουν για ένα προσομοιωμένο ή ψεύτικο λογισμικό που υποσχέθηκε να αφαιρέσει κακόβουλο λογισμικό. Το αδίστακτο λογισμικό ασφαλείας έχει γίνει μια αυξανόμενη ανησυχία τα τελευταία χρόνια. Ένας ανυποψίαστος χρήστης μπορεί εύκολα να πέσει θύμα τέτοιου λογισμικού, το οποίο είναι διαθέσιμο σε αφθονία.
11. Κακόβουλο λογισμικό
Ο στόχος μιας επίθεσης κακόβουλου λογισμικού είναι να πείσει το θύμα να εγκαταστήσει κακόβουλο λογισμικό στα συστήματά του. Ο εισβολέας χειραγωγεί τα ανθρώπινα συναισθήματα για να κάνει το θύμα να επιτρέψει το κακόβουλο λογισμικό στους υπολογιστές του. Αυτή η τεχνική περιλαμβάνει τη χρήση άμεσων μηνυμάτων, μηνυμάτων κειμένου, μέσων κοινωνικής δικτύωσης, email κ.λπ., για την αποστολή μηνυμάτων ηλεκτρονικού ψαρέματος. Αυτά τα μηνύματα εξαπατούν το θύμα να κάνει κλικ σε έναν σύνδεσμο που θα ανοίξει έναν ιστότοπο που περιέχει το κακόβουλο λογισμικό.
Συχνά χρησιμοποιούνται τακτικές εκφοβισμού για τα μηνύματα. Μπορεί να πουν ότι κάτι δεν πάει καλά με τον λογαριασμό σας και ότι πρέπει να κάνετε αμέσως κλικ στον παρεχόμενο σύνδεσμο για να συνδεθείτε στον λογαριασμό σας. Στη συνέχεια, ο σύνδεσμος θα σας κάνει να κατεβάσετε ένα αρχείο μέσω του οποίου θα εγκατασταθεί το κακόβουλο λογισμικό στον υπολογιστή σας.
Μείνετε ενήμεροι, μείνετε ασφαλείς
Το να ενημερώνεστε είναι το πρώτο βήμα για την προστασία σας από επιθέσεις κοινωνικής μηχανικής. Μια βασική συμβουλή είναι να αγνοήσετε τυχόν μηνύματα που ζητούν τον κωδικό πρόσβασης ή τις οικονομικές σας πληροφορίες. Μπορείτε να χρησιμοποιήσετε φίλτρα ανεπιθύμητης αλληλογραφίας που συνοδεύουν τις υπηρεσίες email σας για να επισημάνετε τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου. Η απόκτηση ενός αξιόπιστου λογισμικού προστασίας από ιούς θα βοηθήσει επίσης στην περαιτέρω ασφάλεια του συστήματός σας.
