Phone: 211 013 2857 - Mobile: 697 168 3352 it@esupport.gr

Έχουμε μιλήσει για την κοινωνική μηχανική σε πολλές από τις προηγούμενες αναρτήσεις ιστολογίου μας που σχετίζονται με το phishing. Η κοινωνική μηχανική παίζει κρίσιμο ρόλο σε μια ποικιλία κυβερνοεπιθέσεων. Χρησιμοποιούνται ευρέως σε απάτες χαμηλής τεχνολογίας, αλλά μπορούν επίσης να αποτελούν μέρος πολύπλοκων στοχευμένων επιθέσεων στον κυβερνοχώρο, όπως ransomware, συμβιβασμούς μέσω email για επιχειρήσεις κ.λπ.

Σε αυτήν την ανάρτηση ιστολογίου, θα συζητήσουμε την κοινωνική μηχανική με περισσότερες λεπτομέρειες, συμπεριλαμβανομένων των τύπων, κοινών μεθόδων, παραδειγμάτων και, πιο σημαντικό, πώς να προστατευτείτε από επιθέσεις κοινωνικής μηχανικής.

WHAT IS SOCIAL ENGINEERING?

Η κοινωνική μηχανική είναι η τεχνική χειραγώγησης των ανθρώπων ώστε να εκτελούν ενέργειες ή να αποκαλύπτουν ευαίσθητες πληροφορίες. Η κοινωνική μηχανική εκμεταλλεύεται τα ανθρώπινα συναισθήματα όπως η περιέργεια, ο φόβος και η τάση για εμπιστοσύνη και οι γνωστικές προκαταλήψεις. Παίζοντας με τα συναισθήματα, τις εγγενείς προκαταλήψεις και τα τρωτά σημεία, οι εγκληματίες προσπαθούν να εμποδίσουν τα θύματά τους να σκέφτονται ορθολογικά. Το κάνουν αυτό δημιουργώντας μια αίσθηση επείγοντος, χρησιμοποιώντας τακτικές τρομοκράτησης και συναισθηματική χειραγώγηση.

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συνήθως την κοινωνική μηχανική για να χειραγωγήσουν τα θύματα. Ωστε να κάνουν κλικ σε κακόβουλους συνδέσμους, να εγκαταστήσουν κακόβουλο λογισμικό ή να αποκαλύψουν ευαίσθητες πληροφορίες. Οι τεχνικές κοινωνικής μηχανικής μπορούν να χρησιμοποιηθούν μέσω διαφορετικών μέσων, όπως email, τηλεφωνικές κλήσεις, μηνύματα, ακόμη και αυτοπροσώπως.

Αυτές οι επιθέσεις κοινωνικής μηχανικής έχουν διάφορες μορφές. Μπορούν να κυμαίνονται από απλές τηλεφωνικές κλήσεις, που προσπαθούν να αποσπάσουν τα προσωπικά σας στοιχεία, έως επιθέσεις πολλαπλών βημάτων που περιλαμβάνουν email, μηνύματα κειμένου, αυτοματοποιημένες κλήσεις και μηνύματα μέσων κοινωνικής δικτύωσης για συλλογή πληροφοριών, πριν ξεκινήσουν στοχευμένες επιθέσεις στον κυβερνοχώρο.

Η εξαπάτηση των ανθρώπων ώστε να παραιτηθούν από προσωπικές πληροφορίες είναι πολύ πιο εύκολη από την παραβίαση κωδικών πρόσβασης ή την ανάπτυξη ransomware . Αυτός είναι ο λόγος για τον οποίο οι επιθέσεις κοινωνικής μηχανικής είναι πολύ πιο συχνές από τις επιθέσεις εισβολής και κωδικού πρόσβασης .

WHAT IS THE PURPOSE OF SOCIAL ENGINEERING?

Ο σκοπός της κοινωνικής μηχανικής είναι να εξαπατήσει το θύμα να κάνει ενέργειες που συνήθως δεν θα έκανε. Οι εγκληματίες χρησιμοποιούν την κοινωνική μηχανική έχοντας κατά νου έναν από τους στόχους:

Απόκτηση μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς, συσκευές ή δίκτυα
Λήψη προσωπικών πληροφοριών που μπορούν να χρησιμοποιηθούν για κλοπή ταυτότητας ή οικονομική απάτη
Αναπτύξτε κακόβουλο λογισμικό για κατασκοπεία, κλοπή δεδομένων και πρόκληση βλάβης ή ταλαιπωρίας.

Τελικά, οι εισβολείς κοινωνικής μηχανικής επιδιώκουν οικονομικά οφέλη είτε εξαπατώντας απευθείας το θύμα είτε πουλώντας τα δεδομένα τους σε άλλους εγκληματίες του κυβερνοχώρου.

phishing κοινωνική μηχανική

HOW DOES SOCIAL ENGINEERING WORK?

Οι επιθέσεις κοινωνικής μηχανικής συνήθως ξεκινούν με μια επαφή που ξεκινά από τον εισβολέα. Το πρόσχημα τέτοιων επαφών είναι ότι ο εισβολέας είτε έχει το δικαίωμα πρόσβασης στις πληροφορίες είτε χρειάζεται τις πληροφορίες για να βοηθήσει το θύμα. Συνήθως οι επιτιθέμενοι μεταμφιέζονται ως άτομα με εξουσία, όπως ο Διευθύνων Σύμβουλος της εταιρείας, εκπρόσωποι χρηματοπιστωτικών ιδρυμάτων, υπηρεσίες επιβολής του νόμου, υποστήριξη πληροφορικής κ.λπ.

Οι κοινωνικοί μηχανικοί κατασκευάζουν ιστορίες για να πείσουν τα θύματα ότι είναι αυτοί που ισχυρίζονται ότι είναι και εκμεταλλεύονται τις γνωστικές προκαταλήψεις για να τους νανουρίσουν σε μια ψευδή αίσθηση ασφάλειας. Οι απατεώνες συχνά χρησιμοποιούν δημόσια διαθέσιμες πληροφορίες που βρίσκονται στα μέσα κοινωνικής δικτύωσης για να δημιουργήσουν εμπιστοσύνη. Μόλις οι εισβολείς δημιουργήσουν εμπιστοσύνη, συλλέγουν πληροφορίες ή χειραγωγούν το θύμα για να εκτελέσει ενέργειες όπως η λήψη κακόβουλου λογισμικού.

Οι πιο συνηθισμένες επιθέσεις κοινωνικής μηχανικής περιλαμβάνουν ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται ή αυτοματοποιημένες κλήσεις σε εκατοντάδες, ακόμη και χιλιάδες άτομα κάθε φορά. Αυτού του είδους οι επιθέσεις κοινωνικής μηχανικής είναι εύκολο να εντοπιστούν και να αποφευχθούν. Ωστόσο, υπάρχουν στοχευμένες επιθέσεις όπου τα θύματα επιλέγονται με βάση τη σχέση τους με ορισμένα ιδρύματα, τη σχέση τους με επιχειρήσεις κ.λπ. , smishing και vishing.

WHAT ARE COMMON SOCIAL ENGINEERING ATTACK VECTORS?

Τα παρακάτω είναι τα πιο συνηθισμένα μονοπάτια που ακολουθούν οι εγκληματίες του κυβερνοχώρου για να εξαπολύσουν επιθέσεις κοινωνικής μηχανικής:

PHISHING

Το phishing είναι η πιο κοινή μορφή επίθεσης κοινωνικής μηχανικής. Χρησιμοποιεί το email ως κύριο μέσο. Οι αποστολείς τέτοιων email συνήθως παρουσιάζονται ως νόμιμα άτομα ή εκπρόσωποι γνωστών εταιρειών ή κρατικών υπηρεσιών και χρησιμοποιούν διάφορες τεχνικές για να εξαπατήσουν τα θύματα ώστε να παρέχουν ευαίσθητα δεδομένα όπως προσωπικά στοιχεία, κωδικούς πρόσβασης, τραπεζικά στοιχεία, στοιχεία πιστωτικών καρτών κ.λπ.

Για να σας βοηθήσουμε να αναγνωρίσετε και να προστατευθείτε από απάτες ηλεκτρονικού ψαρέματος, έχουμε γράψει τους ακόλουθους οδηγούς:

Πώς να αναγνωρίσετε ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος
Τύποι επιθέσεων phishing και πρόληψη
Τι είναι το Business Email Compromise (BEC) και πώς να το αποτρέψετε
παράδειγμα ηλεκτρονικού ψαρέματος

VISHING

Το Vishing ή “ψάρεμα με βάση τη φωνή” είναι ένας τύπος επίθεσης κοινωνικής μηχανικής που χρησιμοποιεί φωνητικές κλήσεις ως φορέα επίθεσης. Ο στόχος του vishing είναι επίσης να συλλέξει ευαίσθητες πληροφορίες που μπορούν να χρησιμοποιηθούν είτε για τη διάπραξη οικονομικής απάτης είτε για περαιτέρω επιθέσεις.

Για να σας βοηθήσουμε να μάθετε περισσότερα για το vishing, έχουμε γράψει έναν εξαντλητικό οδηγό που περιέχει όλα όσα πρέπει να γνωρίζετε για το vishing, τους τύπους του, τα παραδείγματα, πώς να προστατευτείτε από αυτό και τι πρέπει να κάνετε εάν σας ταλαιπωρήσει.

Μπορείτε να διαβάσετε τον οδηγό vishing εδώ: Τι είναι το Vishing και πώς να αποφύγετε τις φωνητικές απάτες

SMISHING

Το Smishing ή “ψάρεμα βασισμένο σε SMS” είναι ένας τύπος επίθεσης κοινωνικής μηχανικής που χρησιμοποιεί μηνύματα κειμένου ως φορέα επίθεσης. Το Smishing είναι συνήθως μια κυβερνοεπίθεση σχετικά χαμηλής τεχνολογίας που βασίζεται στην ψυχολογική χειραγώγηση των θυμάτων της. Αλλά μπορεί επίσης να είναι μέρος μιας περίτεχνης κυβερνοεπίθεσης που υποστηρίζεται από κακόβουλο λογισμικό ή δόλιες ιστοσελίδες.

Για να σας βοηθήσουμε να καταπολεμήσετε τέτοιες επιθέσεις phishing που βασίζονται σε μηνύματα κειμένου, έχουμε γράψει έναν περιεκτικό οδηγό που μοιράζεται όλα όσα χρειάζεται να γνωρίζετε για το smishing και πώς να προστατευτείτε από αυτό.

Μπορείτε να διαβάσετε τον οδηγό smishing εδώ: Τι είναι το Smishing και πώς να προστατεύσετε τον εαυτό σας από αυτό

WHAT ARE THE COMMON SOCIAL ENGINEERING TECHNIQUES?

Ακολουθεί μια λίστα τεχνικών που χρησιμοποιούνται συνήθως σε επιθέσεις κοινωνικής μηχανικής:

1. PRETEXTING

Το προσχηματισμό είναι μια τεχνική κοινωνικής μηχανικής για τη δημιουργία φτιαγμένων σεναρίων για να εμπλακεί ένας στόχος και να τον παρασύρει σε ευάλωτη κατάσταση ή ψευδή αίσθηση ασφάλειας, ώστε να είναι εύκολο να χειραγωγηθούν.

Τα επινοημένα σενάρια ή τα «προσχήματα» έχουν σχεδιαστεί για να ενσταλάξουν την εμπιστοσύνη, να μειώσουν την αντίληψη της απειλής και να αυξήσουν την ευαισθησία για δράση με βιασύνη, φόβο ή ενθουσιασμό. Μόλις εμπλακούν στο πρόσχημα, τα θύματα χειραγωγούνται ώστε να αποκαλύπτουν ευαίσθητες πληροφορίες ή να κάνουν ενέργειες που δεν θα έκαναν υπό κανονικές συνθήκες.

Για παράδειγμα, ένας παράγοντας απειλής μπορεί να δημιουργήσει το πρόσχημα ότι είναι εξωτερικός ελεγκτής πληροφορικής και να πείσει έναν υπάλληλο να αποκαλύψει ευαίσθητες πληροφορίες σχετικά με την υποδομή πληροφορικής και τα συστήματα ασφαλείας. Στη συνέχεια, μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να βρουν αδυναμίες και να εξαπολύσουν στοχευμένες επιθέσεις.

2.BAITING

Το δόλωμα είναι μια τεχνική κοινωνικής μηχανικής που χρησιμοποιεί δόλωμα ή ψευδή υπόσχεση για να παρασύρει ένα θύμα να αποκαλύψει πληροφορίες ή να εκτελέσει ενέργειες που συνήθως δεν θα έκαναν.

Για παράδειγμα, οι εισβολείς μπορεί να αφήσουν μονάδες flash USB που έχουν μολυνθεί από κακόβουλο λογισμικό κοντά σε κτίρια γραφείων. Για να κεντρίσουν την περιέργεια των στόχων, οι μονάδες δίσκου μπορεί να φέρουν ετικέτες που λένε «Εμπιστευτικό HR: νέες δομές μισθών». Η σύνδεση τέτοιων μολυσμένων μέσων θα οδηγήσει σε μόλυνση του υπολογιστή και σε σοβαρές περιπτώσεις, σε κίνδυνο ολόκληρου του δικτύου.

Παραδείγματα δολώματος είναι και οι δελεαστικές διαφημίσεις που οδηγούν σε κακόβουλους ιστότοπους και το δωρεάν λογισμικό που συνοδεύεται από spyware ή adware.

3.TAILGATING AND PIGGYBACKING

Το tailgating και το piggybacking είναι τεχνικές κοινωνικής μηχανικής που χρησιμοποιούνται αυτοπροσώπως με στόχο την είσοδο σε περιορισμένες τοποθεσίες. Ο στόχος του εισβολέα σε τέτοιες περιπτώσεις είναι να αποκτήσει φυσική πρόσβαση σε έγγραφα, επιτραπέζιους υπολογιστές ή κρίσιμες υποδομές πληροφορικής όπως διακομιστές, μεταγωγείς δικτύου, δρομολογητές κ.λπ.

Το tailgating είναι η πράξη της κρυφής εισόδου σε έναν περιορισμένο χώρο χωρίς τη γνώση του ατόμου που παρέχει πρόσβαση. Ένα παράδειγμα ουράς είναι ένας εισβολέας που μπαίνει κρυφά πίσω από έναν υπάλληλο αφού σύρει την κάρτα πρόσβασής του.

Το Piggybacking είναι η πράξη απόκτησης μη εξουσιοδοτημένης πρόσβασης σε μια περιορισμένη τοποθεσία προσθέτοντας ετικέτα μαζί με κάποιον που έχει εξουσιοδοτημένη πρόσβαση. Το εξουσιοδοτημένο άτομο ξεγελιέται για να πιστέψει ότι ο κουμπαράς είτε έχει εξουσιοδοτημένη πρόσβαση είτε έχει μια νόμιμη επιχείρηση. Παράδειγμα piggybacking είναι ένας εισβολέας που προσποιείται ότι είναι πράκτορας διανομής τροφίμων για να αποκτήσει πρόσβαση σε έναν χώρο γραφείου.

4.QUID PRO QUO

Το Quid pro quo είναι μια τεχνική κοινωνικής μηχανικής στην οποία ένας εισβολέας προσφέρει μια ανταλλαγή υπηρεσιών για πληροφορίες. Αυτή η τεχνική διαφέρει από το προσχηματισμό και το δόλωμα, επειδή δεν εμπλέκονται περίτεχνες ιστορίες, προετοιμασίες ή εργαλεία. Υπάρχει απλώς μια εκ των προτέρων υπόσχεση οφέλους ή πλεονεκτήματος σε αντάλλαγμα για πληροφορίες.

Ακολουθεί ένα παράδειγμα για το πώς εκτυλίσσεται ένα σενάριο quid pro quo: ένας εισβολέας καλεί μια μικρή επιχείρηση προσποιούμενη ότι είναι ο πάροχος υπηρεσιών πληροφορικής της και ισχυρίζεται ότι καλεί πίσω για να βοηθήσει έναν υπάλληλο που αντιμετωπίζει πρόβλημα με τον υπολογιστή του. Και αν ο εισβολέας φτάσει σε κάποιον στην εταιρεία που έχει ένα νόμιμο πρόβλημα με τη συσκευή του, θα «προσφερθεί να λύσει το πρόβλημα» με αντάλλαγμα την πρόσβαση στη συσκευή.

Εάν ένας χρήστης αντιμετωπίζει πρόβλημα με τη συσκευή του και περιμένει μια κλήση πίσω από την υποστήριξη IT, σε ένα τέτοιο σενάριο, μπορεί να φαίνεται λογικό να παραχωρήσετε σε ένα άτομο πληροφορικής πρόσβασης στη συσκευή σας για να λύσετε το πρόβλημα που αντιμετωπίζετε. Στη συνέχεια, ο εισβολέας θα προχωρήσει είτε στην αναζήτηση διαπιστευτηρίων σύνδεσης είτε στην εγκατάσταση κακόβουλου λογισμικού στη συσκευή.

5.SCAREWARE

Το Scareware είναι κακόβουλο λογισμικό που χρησιμοποιεί τακτικές κοινωνικής μηχανικής για να χειραγωγήσει τα θύματα ώστε να πιστέψουν ότι η συσκευή τους είναι μολυσμένη με κακόβουλο λογισμικό, ότι έχουν παραβιαστεί λογαριασμοί ή ότι έχουν κάνει κάτι παράνομο. Αυτές οι τακτικές συνήθως περιλαμβάνουν αναδυόμενες διαφημίσεις που εμφανίζουν ψεύτικες προειδοποιήσεις ή απειλές, όπως μηνύματα μόλυνσης από ιούς, για να ενσταλάξουν φόβο που μπορεί να εκμεταλλευτεί ο εισβολέας. Ο στόχος του εισβολέα που χρησιμοποιεί scareware είναι να πουλήσει άχρηστα εργαλεία ή υπηρεσίες, να εγκαταστήσει κακόβουλο λογισμικό ή να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.

Ένα συνηθισμένο παράδειγμα τακτικών scareware χρησιμοποιεί πλαστά αναδυόμενα παράθυρα που προειδοποιούν για μόλυνση από ιό. Αυτά τα αναδυόμενα παράθυρα εμφανίζονται συνήθως σε παραβιασμένους ή κακόβουλους ιστότοπους. Είναι σχεδιασμένα να μοιάζουν με μηνύματα που δημιουργούνται από το σύστημα και ζητούν από τον χρήστη να καλέσει έναν αριθμό τηλεφώνου για την αφαίρεση του ιού. Ο αριθμός τηλεφώνου συνδέεται με ένα ψεύτικο τηλεφωνικό κέντρο όπου οι απατεώνες καθοδηγούν το θύμα να κατεβάσει μια άχρηστη εφαρμογή και να προσποιηθεί ότι αφαιρεί τον ανύπαρκτο ιό. Στο τέλος της κλήσης, οι απατεώνες απαιτούν πληρωμή για την αφαίρεση ενός ιού που δεν υπήρχε εξαρχής.

6.DUMPSTER DIVING

Στην ασφάλεια του κυβερνοχώρου, η κατάδυση με σκουπίδια είναι μια τεχνική κοινωνικής μηχανικής για να περάσεις στα σκουπίδια κάποιου για να βρεις πληροφορίες που μπορούν να χρησιμοποιηθούν για την εκτόξευση στοχευμένων επιθέσεων. Ενώ η εύρεση κωδικών πρόσβασης γραμμένων σε αυτοκόλλητες σημειώσεις θα ήταν σαν την εύρεση χρυσού, οι απατεώνες μπορούν να χρησιμοποιήσουν ακόμη και φαινομενικά αβλαβείς πληροφορίες όπως λίστες τηλεφώνου ή email, οργανογράμματα κ.λπ. για να δημιουργήσουν τις επιθέσεις τους.

Οι απατεώνες χρησιμοποιούν τις πληροφορίες που ανακτώνται από την κατάδυση σκουπιδιών για να δημιουργήσουν «προσχήματα» και περιβάλλοντα σχετικά με το στόχο τους. Αυτή η περίτεχνη προετοιμασία βοηθά στη δημιουργία εμπιστοσύνης και κάνει τα μηνύματά τους πιο πιστευτά. Η κατάδυση στο Dumpster είναι συχνά το πρώτο βήμα για το spear-phishing, τον συμβιβασμό επιχειρηματικών email (BEC) και άλλες στοχευμένες επιθέσεις σε επιχειρήσεις.

7.HONEYTRAP

Το Honeytrap είναι μια τεχνική κοινωνικής μηχανικής που προσελκύει κάποιον σε μια δόλια ρομαντική σχέση χρησιμοποιώντας ένα ψεύτικο διαδικτυακό προφίλ. Ο όρος «μελιοπαγίδα» προέρχεται από παλιές κατασκοπευτικές τακτικές της χρήσης ελκυστικών γυναικών για να στοχεύσουν και να παγιδεύσουν εχθρούς.

μηνύματα μέσων κοινωνικής δικτύωσης
Οι επιθέσεις Honeytrap περιλαμβάνουν απατεώνες που δημιουργούν μια ελκυστική διαδικτυακή περσόνα. Και γίνονται φίλοι με τους στόχους τους σε μία ή περισσότερες πλατφόρμες κοινωνικών μέσων. Στη συνέχεια, οι εγκληματίες εκμεταλλεύονται τη σχέση για να αποσπάσουν τα προσωπικά στοιχεία του θύματος. Να δανειστούν χρήματα ή να το πείσουν να κλέψουν ευαίσθητα δεδομένα από τον χώρο εργασίας τους.

8.WATERING HOLE ATTACK

Μια επίθεση από το νερό είναι μια περίπλοκη επίθεση στον κυβερνοχώρο που συνδυάζει την κοινωνική μηχανική με προηγμένο hacking και άλλες τεχνικές. Περιλαμβάνει χάκερ που στοχεύουν μια ομάδα ατόμων ή οργανισμών που επισκέπτονται συχνά έναν ιστότοπο. Οι επιθέσεις σε ποτιστήρι απαιτούν εκτενή προετοιμασία, ενδελεχή σχεδιασμό και σχολαστική εκτέλεση.

Η επίθεση με νερό βασίζεται στο γεγονός ότι όταν οι χρήστες βρίσκονται σε έναν αξιόπιστο ιστότοπο που συχνάζουν, απογοητεύουν την επιφυλακή τους και δεν είναι τόσο προσεκτικοί. Οι εγκληματίες χρησιμοποιούν τεχνικές κοινωνικής μηχανικής για να παρασύρουν τους στοχευμένους χρήστες να αποκαλύπτουν πληροφορίες ή να επισκέπτονται παραβιασμένους ιστότοπους.

Σε προηγμένες επιθέσεις watering holes, οι χάκερ μπορεί να βρουν τρωτά σημεία στον ιστότοπο και να χρησιμοποιήσουν τεχνικές όπως Cross-site scripting (XSS), SQL Injection, δηλητηρίαση κρυφής μνήμης DNS, κ.λπ. για να εξαπολύσουν καταστροφικές επιθέσεις στον κυβερνοχώρο σε άτομα και οργανισμούς.

WHAT ARE THE PRINCIPLES OF SOCIAL ENGINEERING?

Οι απατεώνες χρησιμοποιούν τη γνώση των κοινών χαρακτηριστικών συμπεριφοράς των ανθρώπων για να αυξήσουν την αποτελεσματικότητα των επιθέσεων τους. Οι ακόλουθες αρχές χρησιμοποιούνται συνήθως από απατεώνες για να καλλιεργήσουν την εμπιστοσύνη και να πείσουν τα θύματά τους:

1.AUTHORITY

Οι περισσότεροι άνθρωποι μαθαίνουν να σέβονται την εξουσία καθώς μεγαλώνουν και σπάνια σκέφτονται δύο φορές πριν συμμορφωθούν με τα αιτήματα κάποιου εξουσιοδοτημένου ατόμου. Αυτός είναι ο λόγος για τον οποίο οι κοινωνικοί μηχανικοί υποδύονται κάποιον με εξουσία, όπως ο Διευθύνων Σύμβουλος της εταιρείας, οι υπηρεσίες επιβολής του νόμου κ.λπ. Οι απατεώνες βασίζονται σε αυτή τη μορφή συμμόρφωσης με την εξουσία για την επιτυχία των επιθέσεων τους.

2.INTIMIDATION

Ο εκφοβισμός είναι μια κοινή τακτική που χρησιμοποιείται από απατεώνες για να αναγκάσουν το θύμα να αναλάβει δράση. Συνήθως συνδυάζεται με την πλαστοπροσωπία κάποιου με εξουσία. Τα κοινά θέματα εκφοβισμού που χρησιμοποιούνται από απατεώνες περιλαμβάνουν απώλεια εργασίας, νομικές ενέργειες, αναστολή τραπεζικών λογαριασμών ή πιστωτικών καρτών, χακαρισμένα email κ.λπ.

3.CONSENSUS/SOCIAL PROOF

Οι περισσότεροι άνθρωποι ακολουθούν αυτό που κάνουν οι άλλοι χωρίς να το πολυσκεφτούν. Αν δυσκολεύεστε να το πιστέψετε, ακολουθεί ένα από τα πολλά παρόμοια πειράματα που καταδεικνύουν τη δύναμη της συναίνεσης:

Οι απατεώνες το γνωρίζουν αυτό και προσπαθούν να το χρησιμοποιήσουν ενεργά ρίχνοντας ονόματα συναδέλφων. Χρησιμοποιούν φράσεις όπως “Η Μαρία στη λογιστική και ο Άνταμ στο HR μου έστειλαν τους κωδικούς πρόσβασής τους και τώρα χρειάζομαι τον κωδικό πρόσβασής σας για να ολοκληρώσω τη ρύθμιση.”

4.SCARCITY

Η σπανιότητα είναι μια τακτική κοινωνικής μηχανικής που αξιοποιεί τη φυσική κλίση των ανθρώπων να ενεργούν γρήγορα για να αποκτήσουν κάτι που είναι σπάνιο ή περιορισμένο. Η σπανιότητα ενός αντικειμένου το καθιστά πιο επιθυμητό και επιταχύνει την επεξεργασία της απόφασης για να μην χαθεί η ευκαιρία. Οι απατεώνες υπολογίζουν σε αυτή τη βιασύνη των θυμάτων να παρακάμψουν την κοινή λογική και τη λογική.

Για να το αξιοποιήσουν αυτό, οι απατεώνες χρησιμοποιούν φράσεις όπως «ενεργήστε τώρα όσο εξαντλούνται τα αποθέματα!», «Προσφορά περιορισμένου χρόνου» κ.λπ. για να δελεάσουν τους στόχους. Αυτή η τακτική συχνά συνδυάζεται με κοινωνική απόδειξη για να κάνει την επίθεση κοινωνικής μηχανικής ακόμα πιο αποτελεσματική.

5.URGENCY

Παρόμοια με τη σπανιότητα, η επείγουσα ανάγκη χρησιμοποιείται επίσης από απατεώνες για να επιταχύνουν τη διαδικασία λήψης αποφάσεων των στόχων τους. Οι ψυχολογικές αρχές που βασίζονται στον χρόνο, όπως η επείγουσα ανάγκη και η σπανιότητα, λειτουργούν καλά όταν χρησιμοποιούνται μαζί με τον εκφοβισμό της εξουσίας.

Γνωρίζοντας την αποτελεσματικότητα αυτής της αρχής, οι απατεώνες τη χρησιμοποιούν άφθονα στα μηνύματά τους. Τα επείγοντα email από τον Διευθύνοντα Σύμβουλο ή το scareware με χρονόμετρο αντίστροφης μέτρησης είναι πολύ πιο πιθανό να προκαλέσουν μια γρήγορη απάντηση.

6.FAMILIARITY / LIKING

Οι άνθρωποι είναι πιο πιθανό να συμμορφωθούν με αιτήματα από αυτούς που γνωρίζουν ή τους αρέσουν. Οι χάκερ το γνωρίζουν αυτό και προσπαθούν να το εκμεταλλευτούν παραπλανώντας τους λογαριασμούς φίλων, συναδέλφων ή μελών της οικογένειας.

Η αρχή της συμπάθειας παίζει μεγάλο ρόλο, ειδικά στις επιθέσεις με μελιτοπαγίδα. Έτσι, οι απατεώνες δημιουργούν ελκυστικές περσόνες και δημιουργούν μια σχέση με τον στόχο πριν ξεκινήσουν την απάτη τους.

HOW TO PROTECT AGAINST SOCIAL ENGINEERING?

  • Ακολουθούν τα βήματα που μπορείτε να ακολουθήσετε για να προστατεύσετε τον εαυτό σας και τον οργανισμό σας από επιθέσεις κοινωνικής μηχανικής:
  • Εκπαιδεύστε τους υπαλλήλους να εντοπίζουν επιθέσεις κοινωνικής μηχανικής
  • Εξουσιοδοτήστε τους υπαλλήλους να ακολουθούν πάντα τις διαδικασίες ανεξάρτητα από το από ποιον μπορεί να προέρχεται το αίτημα.
  • Ενδυναμώστε τους υπαλλήλους να σταματήσουν και να σκεφτούν πριν διανείμουν ευαίσθητες πληροφορίες.
  • Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων (2FA) σε όλους τους λογαριασμούς
  • Χρησιμοποιήστε φίλτρα ανεπιθύμητης αλληλογραφίας και τείχη προστασίας για να φιλτράρετε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, διευθύνσεις IP και κακόβουλα συνημμένα.
  • Διαμορφώστε το εταιρικό email για να εμφανίζει ένα banner σε μηνύματα ηλεκτρονικού ταχυδρομείου που προέρχονται εκτός του οργανισμού.
  • Καθιερώστε ισχυρές πολιτικές χρήσης μέσων κοινωνικής δικτύωσης και email.
  • Καθιερώστε μια απλή διαδικασία αναφοράς ασφάλειας πληροφορικής.
  • Διεξάγετε τακτικές προσομοιώσεις phishing και smishing για να ελέγξετε την ετοιμότητα των εργαζομένων.
  • Δημιουργήστε πολιτικές για την καταστροφή ευαίσθητων εγγράφων και την απόρριψη ηλεκτρονικών απορριμμάτων
  • οθόνη smartphone που εμφανίζει λίστα με αποκλεισμένες ανεπιθύμητες κλήσεις

CONCLUSION

Οι τεχνικές κοινωνικής μηχανικής χρησιμοποιούνται σε αφθονία στις κυβερνοεπιθέσεις. Οι απατεώνες βασίζονται σε ψυχολογικές τεχνικές για να εξαναγκάσουν και να εξαπατήσουν τους χρήστες να παρακάμψουν τα μέτρα ασφαλείας. Έτσι, τα παραδοσιακά συστήματα ασφαλείας από μόνα τους είναι αναποτελεσματικά στο να σταματήσουν όλες τις επιθέσεις κοινωνικής μηχανικής.

Ένα μορφωμένο εργατικό δυναμικό θα είναι σε θέση να εντοπίσει τεχνικές κοινωνικής μηχανικής και να σταματήσει τις περισσότερες από τις επιθέσεις νεκρές στα ίχνη τους. Και η τακτική εκπαίδευση στον κυβερνοχώρο σε συνδυασμό με μια πολυεπίπεδη άμυνα μπορεί να σταματήσει σχεδόν το 100% των επιθέσεων κοινωνικής μηχανικής.

Μπορείτε να εντοπίσετε τις κόκκινες σημαίες των επιθέσεων κοινωνικής μηχανικής; Έχετε λάβει πρόσφατα εκπαίδευση για την ασφάλεια στον κυβερνοχώρο; Εάν θέλετε να δοκιμάσετε τις γνώσεις σας, δοκιμάστε τη δοκιμή phishing και τα τεστ smishing στη δωρεάν σελίδα πόρων πληροφορικής μας.