Το κακόβουλο λογισμικό δεν είναι η μόνη διαδικτυακή απειλή που πρέπει να ανησυχείτε. Η κοινωνική μηχανική είναι μια τεράστια απειλή και μπορεί να σας πλήξει σε οποιοδήποτε λειτουργικό σύστημα. Στην πραγματικότητα, η κοινωνική μηχανική μπορεί επίσης να συμβεί μέσω τηλεφώνου και σε πρόσωπο με πρόσωπο καταστάσεις.
Είναι σημαντικό να γνωρίζετε την κοινωνική μηχανική και να είστε επιφυλακτικοί. Τα προγράμματα ασφαλείας δεν θα σας προστατεύσουν από τις περισσότερες απειλές κοινωνικής μηχανικής, επομένως πρέπει να προστατευτείτε.
Επεξήγηση Κοινωνικών Μηχανικών
Οι παραδοσιακές επιθέσεις που βασίζονται σε υπολογιστή συχνά εξαρτώνται από την εύρεση ευπάθειας στον κώδικα ενός υπολογιστή. Για παράδειγμα, εάν χρησιμοποιείτε μια παλιά έκδοση του Adobe Flash - ή, θεέ μου, Ιάβα , η οποία ήταν η αιτία του 91% των επιθέσεων το 2013 σύμφωνα με τη Cisco - θα μπορούσατε να επισκεφθείτε έναν κακόβουλο ιστότοπο και αυτός ο ιστότοπος θα εκμεταλλευόταν την ευπάθεια στο λογισμικό σας για να αποκτήσετε πρόσβαση στον υπολογιστή σας. Ο εισβολέας χειρίζεται σφάλματα σε λογισμικό για να αποκτήσει πρόσβαση και να συλλέξει ιδιωτικές πληροφορίες, ίσως με ένα πληκτρολόγιο που εγκαθιστούν.
Τα κόλπα της κοινωνικής μηχανικής είναι διαφορετικά επειδή περιλαμβάνουν ψυχολογικό χειρισμό. Με άλλα λόγια, εκμεταλλεύονται ανθρώπους, όχι το λογισμικό τους.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Ηλεκτρονική ασφάλεια: Καταστροφή της ανατομίας ενός ηλεκτρονικού ψαρέματος ηλεκτρονικού ψαρέματος
Ίσως έχετε ήδη ακούσει ηλεκτρονικό ψάρεμα , που είναι μια μορφή κοινωνικής μηχανικής. Ενδέχεται να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι προέρχεται από την τράπεζά σας, την εταιρεία πιστωτικών καρτών ή άλλη αξιόπιστη επιχείρηση. Μπορεί να σας κατευθύνουν σε έναν ψεύτικο ιστότοπο που μεταμφιέζεται ώστε να μοιάζει με πραγματικό ή να σας ζητήσουν να κατεβάσετε και να εγκαταστήσετε ένα κακόβουλο πρόγραμμα. Αλλά τέτοια κόλπα κοινωνικής μηχανικής δεν χρειάζεται να περιλαμβάνουν ψεύτικους ιστότοπους ή κακόβουλα προγράμματα. Το email ηλεκτρονικού "ψαρέματος" μπορεί απλώς να σας ζητήσει να στείλετε μια απάντηση μέσω ηλεκτρονικού ταχυδρομείου με προσωπικές πληροφορίες. Αντί να προσπαθούν να εκμεταλλευτούν ένα σφάλμα σε ένα λογισμικό, προσπαθούν να εκμεταλλευτούν τις φυσιολογικές ανθρώπινες αλληλεπιδράσεις. Ψάρεμα ψαρέματος μπορεί να είναι ακόμη πιο επικίνδυνο, καθώς είναι μια μορφή ηλεκτρονικού ψαρέματος (phishing) που έχει σχεδιαστεί για να στοχεύει συγκεκριμένα άτομα.
Παραδείγματα Κοινωνικής Μηχανικής
Ένα δημοφιλές τέχνασμα στις υπηρεσίες συνομιλίας και στα διαδικτυακά παιχνίδια ήταν η εγγραφή ενός λογαριασμού με όνομα όπως "Διαχειριστής" και η αποστολή τρομακτικών μηνυμάτων σε άτομα, όπως "ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Διαπιστώσαμε ότι κάποιος μπορεί να χακαριστεί τον λογαριασμό σας, να απαντήσει με τον κωδικό πρόσβασής σας για τον έλεγχο ταυτότητας" Εάν ένας στόχος απαντήσει με τον κωδικό πρόσβασής του, έχει πέσει για το τέχνασμα και ο εισβολέας έχει τώρα τον κωδικό πρόσβασης του λογαριασμού του.
Εάν κάποιος έχει προσωπικά στοιχεία για εσάς, θα μπορούσε να τα χρησιμοποιήσει για να αποκτήσει πρόσβαση στους λογαριασμούς σας. Για παράδειγμα, πληροφορίες όπως η ημερομηνία γέννησής σας, αριθμός κοινωνικής ασφάλισης και αριθμός πιστωτικής κάρτας χρησιμοποιούνται συχνά για την αναγνώρισή σας. Εάν κάποιος έχει αυτές τις πληροφορίες, θα μπορούσε να επικοινωνήσει με μια επιχείρηση και να προσποιείται ότι είστε εσείς. Αυτό το κόλπο χρησιμοποιήθηκε διάσημα από έναν εισβολέα για να αποκτήσει πρόσβαση στο Yahoo! της Sarah Palin! Στείλτε λογαριασμό στο 2008, υποβάλλοντας αρκετά προσωπικά στοιχεία για να αποκτήσετε πρόσβαση στον λογαριασμό μέσω της φόρμας ανάκτησης κωδικού πρόσβασης του Yahoo !. Η ίδια μέθοδος θα μπορούσε να χρησιμοποιηθεί στο τηλέφωνο εάν έχετε τα προσωπικά στοιχεία που απαιτεί η επιχείρηση για να σας πιστοποιήσει. Ένας εισβολέας με κάποιες πληροφορίες σχετικά με έναν στόχο μπορεί να προσποιείται ότι είναι και να αποκτήσει πρόσβαση σε περισσότερα πράγματα.
Η κοινωνική μηχανική θα μπορούσε επίσης να χρησιμοποιηθεί αυτοπροσώπως. Ένας εισβολέας θα μπορούσε να εισέλθει σε μια επιχείρηση, να ενημερώσει τον γραμματέα ότι είναι επιδιορθωτικό άτομο, νέος υπάλληλος ή επιθεωρητής πυρκαγιάς με αυθεντικό και πειστικό τόνο και έπειτα περιπλανιέται στις αίθουσες και ενδεχομένως κλέβει εμπιστευτικά δεδομένα ή σφάλματα φυτού για να εκτελέσει εταιρική κατασκοπεία. Αυτό το κόλπο εξαρτάται από το ότι ο εισβολέας παρουσιάζεται ως κάποιος που δεν είναι. Εάν ένας γραμματέας, ένας θυρωρός ή οποιοσδήποτε άλλος είναι υπεύθυνος δεν κάνει πολλές ερωτήσεις ή κοιτάξει πολύ προσεκτικά, το τέχνασμα θα είναι επιτυχές.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς πραγματικά οι επιτιθέμενοι «χαράζουν λογαριασμούς» στο Διαδίκτυο και πώς να προστατευτείτε
Οι επιθέσεις κοινωνικής μηχανικής καλύπτουν το φάσμα των ψεύτικων ιστότοπων, των ψευδών μηνυμάτων ηλεκτρονικού ταχυδρομείου και των κακόβουλων μηνυμάτων συνομιλίας μέχρι την πλαστοπροσωπία κάποιου στο τηλέφωνο ή αυτοπροσώπως. Αυτές οι επιθέσεις έρχονται σε μια μεγάλη ποικιλία μορφών, αλλά όλες έχουν ένα κοινό - εξαρτώνται από την ψυχολογική απάτη Η κοινωνική μηχανική ονομάστηκε τέχνη ψυχολογικής χειραγώγησης. Είναι ένα από τα οι βασικοί τρόποι «hackers» στην πραγματικότητα «hack» λογαριασμούς στο διαδίκτυο .
Πώς να αποφύγετε την κοινωνική μηχανική
Η γνώση της κοινωνικής μηχανικής μπορεί να σας βοηθήσει να το πολεμήσετε. Να είστε ύποπτοι για ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα συνομιλίας και τηλεφωνικές κλήσεις που ζητούν προσωπικές πληροφορίες. Ποτέ μην αποκαλύπτετε οικονομικά στοιχεία ή σημαντικά προσωπικά στοιχεία μέσω email. Μην κατεβάζετε δυνητικά επικίνδυνα συνημμένα email και μην τα εκτελείτε, ακόμα κι αν ένα email ισχυρίζεται ότι είναι σημαντικά.
Επίσης, δεν πρέπει να ακολουθείτε συνδέσμους σε ένα email σε ευαίσθητους ιστότοπους. Για παράδειγμα, μην κάνετε κλικ σε έναν σύνδεσμο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχεται από την τράπεζά σας και να συνδεθείτε. Μπορεί να σας μεταφέρει σε έναν ψεύτικο ιστότοπο ηλεκτρονικού ψαρέματος που μεταμφιέζεται για να εμφανίζεται ως ιστότοπος της τράπεζάς σας, αλλά με μια διακριτικά διαφορετική διεύθυνση URL. Αντίθετα, επισκεφθείτε τον ιστότοπο απευθείας.
Εάν λάβετε ένα ύποπτο αίτημα - για παράδειγμα, ένα τηλεφώνημα από την τράπεζά σας ζητά προσωπικά στοιχεία - επικοινωνήστε απευθείας με την πηγή του αιτήματος και ζητήστε επιβεβαίωση. Σε αυτό το παράδειγμα, θα καλέσετε την τράπεζά σας και θα ρωτήσατε τι θέλουν αντί να κοινοποιήσετε τις πληροφορίες σε κάποιον που ισχυρίζεται ότι είναι τράπεζά σας.
Τα προγράμματα ηλεκτρονικού ταχυδρομείου, τα προγράμματα περιήγησης ιστού και οι σουίτες ασφαλείας έχουν γενικά φίλτρα ηλεκτρονικού ψαρέματος (phishing) που θα σας προειδοποιούν όταν επισκέπτεστε έναν γνωστό ιστότοπο ηλεκτρονικού ψαρέματος. Το μόνο που μπορούν να κάνουν είναι να σας προειδοποιούν όταν επισκέπτεστε έναν γνωστό ιστότοπο ηλεκτρονικού ψαρέματος (phishing) ή λαμβάνετε ένα γνωστό ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (phishing) και δεν γνωρίζουν για όλους τους ιστότοπους ηλεκτρονικού ψαρέματος ή τα μηνύματα ηλεκτρονικού ταχυδρομείου εκεί έξω. Ως επί το πλείστον, εναπόκειται σε εσάς να προστατεύσετε τον εαυτό σας - τα προγράμματα ασφαλείας μπορούν να βοηθήσουν μόνο λίγο.
Είναι καλή ιδέα να ασκήσετε μια υγιή υποψία όταν αντιμετωπίζετε αιτήματα για ιδιωτικά δεδομένα και οτιδήποτε άλλο θα μπορούσε να είναι μια επίθεση κοινωνικής μηχανικής. Η υποψία και η προσοχή θα σας βοηθήσουν να προστατέψετε, τόσο στο διαδίκτυο όσο και εκτός σύνδεσης.
Πιστωτική εικόνα: Ο Jeff Turnet στο Flickr
