Social Engineering: Κάθε λεπτό γεννιέται ένα κορόιδο

19/06/2016 08:03

Κοινωνική μηχανική (Social engineering) είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών. Αν και είναι παρόμοια με το τέχνασμα ή την απλή απάτη, ο όρος είναι κυρίως συνδεδεμένος με την εξαπάτηση ατόμων με σκοπό την απόσπαση εμπιστευτικών πληροφοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπολογιστικό σύστημα. Συνήθως αυτός που την εφαρμόζει δεν έρχεται ποτέ πρόσωπο με πρόσωπο με το άτομο που εξαπατά ή παραπλανά. Παρόλο που ο όρος ίσως να μην είναι ακριβής ή επιτυχημένος, έχει πλέον καθιερωθεί.

 

Η αλήθεια είναι οτι η κοινωνική μηχανική δεν χρησιμοποιεί κάποια ιδιαίτερα τεχνάσματα ή εργαλεία, αλλά στηρίζεται κυρίως στην ανθρώπινη περιέργεια ή στην απληστία και στην άγνοια. Πολλοί θεωρούν ότι ένα καλό antivirus  τους προστατεύει αλλά αυτά δρουν μόνο για τους ευρέως γνωστούς ιούς και για τις ευρέως γνωστές τεχνικές και όχι για έναν ειδικά κατασκευασμένο "ιό". Πολλοί, επίσης, είτε λόγω ευπιστίας είτε λόγω ευγένειας δεν αρνούνται να δώσουν στοιχεία σε κάποιον που τους το ζητάει ευγενικά ή κάτω από δήθεν "πίεση".


Ο άμεσος στόχος δεν είναι πάντα η αποκάλυψη του κωδικού. Για κάποιον που θέλει να διεισδύσει σε ένα υπολογιστικό σύστημα πολλές φορές είναι αρκετή ακόμα και η απλή γνώση του αριθμού έκδοσης του λειτουργικού συστήματος ή άλλων προγραμμάτων που χρησιμοποιεί ο χρήστης. Με αυτές τις πληροφορίες μπορεί να μάθει αν υπάρχουν "τρύπες" στα προγράμματα και να τις αξιοποιήσει.


Άλλες πληροφορίες που μπορεί να συλλέξει κάποιος, και που πιθανά να είναι χρήσιμες, όπως οι ημερομηνίες γέννησης, τα ονόματα των παιδιών, τα ονόματα υπευθύνων για τη μηχανογράφηση κ.λ.π, συλλέγονται είτε μέσω συνομιλίας είτε από τα λεγόμενα κοινωνικά δίκτυα είτε από τις ιστοσελίδες της εταιρείας. Οι πληροφορίες αυτές χρησιμοποιούνται αργότερα σε συνομιλία, είτε τηλεφωνική είτε μέσω ηλεκτρονικού ταχυδρομείου είτε σε άμεσα μηνύματα (IM), για να πεισθεί ο συνομιλητής-θύμα ότι πρόκειται περί γνωστού και έτσι να του αποσπαστούν ακόμη περισσότερες πληροφορίες ή, ακόμα καλύτερα, κάποιος κωδικός πρόσβασης.

 

Κυριότερες και αποδοτικότερες μέθοδοι, είναι του "δολώματος" και του "ψαρέματος"


Στην πρώτη περίπτωση, ένα δήθεν παρατημένο / ξεχασμένο usb-stick ή ακόμα και κάποιο χαρτάκι που μπορεί να έχουν κάποιες url διευθύνσεις, passwords και άλλα στοιχεία με σκοπό το υποψήφιο θύμα να χρησιμοποιήσει αυτό το μέσο στον υπολογιστή του ή να μπει στην διεύθυνση που βρήκε, κάτι που συμβαίνει στις περισσότερες των περιπτώσεων.

 

Η άλλη περίπτωση είναι αυτή του ψαρέματος (Phishing), μια μέθοδος που έγινε ιδιαίτερα γνωστή στην ηλεκτρονική εποχή και αποτελεί παραφθορά της λέξης fishing (ψάρεμα). Έχουμε δηλαδή έναν τύπο απάτης που παγιδεύει τους ανθρώπους και τους αναγκάζει να αποκαλύψουν πολύ προσωπικές πληροφορίες, όπως στοιχεία πιστωτικών καρτών, ονόματα χρηστών και κωδικούς πρόσβασης, αριθμούς λογαριασμών και άλλα παρεμφερή προσωπικά δεδομένα.


Ο πιο συνηθισμένος τρόπος phishing είναι μέσω email. Τα θύματα λαμβάνουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ένα άτομο που ισχυρίζεται ότι είναι μια εταιρεία ή κάποιος οργανισμός με τον οποίον το επικείμενο θύμα έχει πάρε δώσε˙ για παράδειγμα, μία τράπεζα, κάποια εταιρεία κινητής τηλεφωνίας ή ακόμα και ένα κοινωνικό δίκτυο (social media).

 

Κάνοντας μια αναδρομή στο παρελθόν βλέπουμε πως η μέθοδος αυτή του ψαρέματος ήταν διαδομένη και πριν την έλευση των ηλεκτρονικών υπολογιστών, με μεθόδους κανονικού ταχυδρομείου, τηλεφωνημάτων, ως ακόμα και "πωλητών" πόρτα-πόρτα. 

 

Όμως, στην ηλεκτρονική εποχή, ο όρος Social engineering διαδόθηκε από τον hacker και μετέπειτα σύμβουλο ασφαλείας πληροφορικών συστημάτων Κέβιν Μίτνικ και όπως ο ίδιος τόνιζε:

Είναι πολύ ευκολότερο να ξεγελάσεις κάποιον να δώσει έναν κωδικό πρόσβασης για ένα σύστημα, από το να προσπαθήσεις να τον σπάσεις.

 

Κάθε λεπτό γεννιέται κι ένα κορόιδο.

 

Αυτή η ρήση του P.T. Barnum αποδίδει στην εντέλεια τον όρο του Social Engineering που βασίζεται σε κάποια ανθρώπινα χαρακτηριστικά όπως της άγνοιας, της περιέργειας, της αφέλειας μα και της απληστίας. Όμως η περίπτωση του Social Engineering απασχόλησε τις μελέτες και έρευνες που έγιναν, όχι λόγω της ζημίας που έπεφταν οι καθημερινοί άνθρωποι, αλλά λόγω της χρήσης του στον επιχειρηματικό τομέα, με την βιομηχανική κατασκοπεία, καθώς με τον τρόπο αυτόν αποσπώνται πληροφορίες ακόμα και απόρρητες από υπαλλήλους και εταιρικούς χρήστες που με χρήση εξαπάτησης και χειραγώγησης, δημιουργούνται κενά και παραβίαση της πληροφοριακής υποδομής σε ευαίσθητες πληροφορίες και δεδομένα.

 

Βλέπουμε λοιπόν ότι το ευαίσθητο σημείο, ο αδύναμος κρίκος, σε αυτό το θέμα είναι ο ανθρώπινος παράγοντας και είναι εμφανές πως η κοινωνική μηχανική αποτελεί μια "επιστήμη", καθώς πλέον χρησιμοποιείται ευρέως όχι μόνο από μεμονωμένους ανθρώπους σαν τον Μίτνικ, αλλά και από μεγάλες εταιρείες και φυσικά και από κυβερνήσεις, καθώς όπως είδαμε καταφέρνει να χειραγωγεί και να εξαπατά χωρίς την παραμικρή χρήση βίας.