Στην ασφάλεια του υπολογιστή, παρουσιάζονται πολλά ζητήματα παρά τις καλύτερες προσπάθειες του χρήστη. Για παράδειγμα, μπορείτε να χτυπήσετε κακόβουλο λογισμικό από κακόβουλη διαφήμιση ανά πάσα στιγμή, είναι πραγματικά κακή τύχη. Υπάρχουν βήματα που μπορείτε να ακολουθήσετε για να ελαχιστοποιήσετε τον κίνδυνο, όπως η χρήση ενός αποκλεισμού διαφημίσεων. Αλλά το να χτυπηθεί έτσι δεν είναι λάθος του χρήστη. Άλλες επιθέσεις, ωστόσο, επικεντρώνονται στην εξαπάτηση του χρήστη για να κάνει κάτι. Αυτοί οι τύποι επιθέσεων καλύπτονται από την ευρεία σημαία των επιθέσεων κοινωνικής μηχανικής.
Η κοινωνική μηχανική περιλαμβάνει τη χρήση ανάλυσης και κατανόησης του τρόπου με τον οποίο οι άνθρωποι χειρίζονται ορισμένες καταστάσεις για να χειραγωγήσουν ένα αποτέλεσμα. Η κοινωνική μηχανική μπορεί να πραγματοποιηθεί εναντίον μεγάλων ομάδων ανθρώπων. Όσον αφορά την ασφάλεια των υπολογιστών, ωστόσο, χρησιμοποιείται συνήθως εναντίον ατόμων, αν και δυνητικά ως μέρος μιας μεγάλης εκστρατείας.
Ένα παράδειγμα κοινωνικής μηχανικής ενάντια σε μια ομάδα ανθρώπων θα μπορούσαν να είναι οι προσπάθειες πρόκλησης πανικού ως απόσπαση της προσοχής. Για παράδειγμα, ένας στρατός που εκτελεί μια επιχείρηση με ψευδείς σημαίες ή κάποιος που φωνάζει «φωτιά» σε μια πολυσύχναστη τοποθεσία και μετά κλέβει μέσα στο χάος. Σε κάποιο επίπεδο, η απλή προπαγάνδα, ο τζόγος και η διαφήμιση είναι επίσης τεχνικές κοινωνικής μηχανικής.
Ωστόσο, στην ασφάλεια των υπολογιστών, οι ενέργειες τείνουν να είναι πιο ατομικές. Το ηλεκτρονικό ψάρεμα προσπαθεί να πείσει τους χρήστες να κάνουν κλικ και να συνδέσουν και να εισαγάγουν λεπτομέρειες. Πολλές απάτες προσπαθούν να χειραγωγήσουν με βάση τον φόβο ή την απληστία. Οι επιθέσεις κοινωνικής μηχανικής στην ασφάλεια των υπολογιστών μπορούν ακόμη και να εισέλθουν στον πραγματικό κόσμο, όπως η προσπάθεια απόκτησης μη εξουσιοδοτημένης πρόσβασης σε ένα δωμάτιο διακομιστή. Είναι ενδιαφέρον ότι στον κόσμο της ασφάλειας στον κυβερνοχώρο, αυτό το τελευταίο σενάριο, και άλλα παρόμοια, είναι συνήθως αυτό που εννοείται όταν μιλάμε για επιθέσεις κοινωνικής μηχανικής.
Ευρύτερη κοινωνική μηχανική – διαδικτυακά
Το ηλεκτρονικό ψάρεμα (phishing) είναι μια κατηγορία επίθεσης που επιχειρεί να δημιουργήσει κοινωνικά μηχανικά το θύμα ώστε να παρέχει λεπτομέρειες σε έναν εισβολέα. Οι επιθέσεις phishing συνήθως παραδίδονται σε ένα εξωτερικό σύστημα, όπως μέσω email, και έτσι έχουν δύο διαφορετικά σημεία κοινωνικής μηχανικής. Αρχικά, πρέπει να πείσουν το θύμα ότι το μήνυμα είναι νόμιμο και να το κάνει να κάνει κλικ στον σύνδεσμο. Στη συνέχεια, φορτώνεται η σελίδα ηλεκτρονικού ψαρέματος, όπου ο χρήστης θα κληθεί να εισαγάγει λεπτομέρειες. Συνήθως, αυτό θα είναι το όνομα χρήστη και ο κωδικός πρόσβασής τους. Αυτό βασίζεται στο αρχικό μήνυμα ηλεκτρονικού ταχυδρομείου και στη σελίδα ηλεκτρονικού ψαρέματος που φαίνονται αρκετά πειστικά ώστε ο χρήστης να τα εμπιστεύεται.
Πολλές απάτες προσπαθούν να βοηθήσουν τα θύματά τους κοινωνικά να παραδώσουν χρήματα. Η κλασική απάτη του «Νιγηριανού πρίγκιπα» υπόσχεται μια μεγάλη πληρωμή εάν το θύμα μπορεί να πληρώσει μια μικρή προκαταβολή. Φυσικά, από τη στιγμή που το θύμα πληρώσει το «τέλος» δεν λαμβάνεται ποτέ καμία πληρωμή. Άλλοι τύποι επιθέσεων απάτης λειτουργούν με παρόμοιες αρχές. Πείστε το θύμα να κάνει κάτι, συνήθως παραδώστε χρήματα ή εγκαταστήστε κακόβουλο λογισμικό. Το Ransomware ακόμη είναι ένα παράδειγμα αυτού. Το θύμα πρέπει να παραδώσει χρήματα διαφορετικά κινδυνεύει να χάσει την πρόσβαση σε όποια δεδομένα ήταν κρυπτογραφημένα.
Προσωπική κοινωνική μηχανική
Όταν η κοινωνική μηχανική αναφέρεται στον κόσμο της ασφάλειας στον κυβερνοχώρο, συνήθως αναφέρεται σε ενέργειες στον πραγματικό κόσμο. Υπάρχουν πολλά παραδείγματα σεναρίων. Ένα από τα πιο βασικά ονομάζεται tail-gating. Αυτό αιωρείται αρκετά κοντά πίσω από κάποιον που κρατά ανοιχτή μια ελεγχόμενη από την πρόσβαση πόρτα για να σας αφήσει να περάσετε. Το tail-gating μπορεί να βελτιωθεί ρυθμίζοντας ένα σενάριο στο οποίο το θύμα μπορεί να σας βοηθήσει. Μια μέθοδος είναι να κάνετε παρέα με τους καπνιστές έξω σε ένα διάλειμμα καπνού και μετά να επιστρέψετε μέσα με την ομάδα. Μια άλλη μέθοδος είναι να δεις ότι κουβαλάς κάτι άβολο. Αυτή η τεχνική είναι ακόμη πιο πιθανό να πετύχει εάν αυτό που κουβαλάτε μπορεί να είναι για άλλους. Για παράδειγμα, αν έχετε ένα δίσκο με κούπες καφέ για την «ομάδα σας», υπάρχει κοινωνική πίεση για κάποιον να κρατήσει την πόρτα ανοιχτή για εσάς.
Μεγάλο μέρος της προσωπικής κοινωνικής μηχανικής βασίζεται στη δημιουργία ενός σεναρίου και στη συνέχεια στο να είσαι σίγουρος για αυτό. Για παράδειγμα, ένας κοινωνικός μηχανικός μπορεί να παρουσιάζεται ως κάποιο είδος εργάτη ή καθαρίστρια που μπορεί γενικά να παραβλέπεται. Υποδυόμενος καλός Σαμαρείτης, η παράδοση μιας «χαμένης» μονάδας αντίχειρα USB μπορεί να έχει ως αποτέλεσμα να την συνδέσει ένας υπάλληλος. Η πρόθεση θα ήταν να δούμε σε ποιον ανήκει, αλλά στη συνέχεια θα μπορούσε να μολύνει το σύστημα με κακόβουλο λογισμικό.
Αυτοί οι τύποι προσωπικών επιθέσεων κοινωνικής μηχανικής μπορεί να είναι πολύ επιτυχημένες, καθώς κανείς δεν περιμένει πραγματικά να εξαπατηθεί έτσι. Ωστόσο, εγκυμονούν μεγάλο κίνδυνο για τον επιθετικό που έχει πολύ πραγματικές πιθανότητες να πιαστεί στα χέρια.
συμπέρασμα
Η κοινωνική μηχανική είναι η έννοια της χειραγώγησης των ανθρώπων για την επίτευξη ενός στοχευμένου στόχου. Ένας τρόπος περιλαμβάνει τη δημιουργία μιας πραγματικής κατάστασης για να ξεγελάσει το θύμα για να το πιστέψει. Μπορείτε επίσης να δημιουργήσετε ένα σενάριο στο οποίο υπάρχει κοινωνική πίεση ή προσδοκία για το θύμα να ενεργήσει ενάντια στις τυπικές συμβουλές ασφαλείας. Όλες οι επιθέσεις κοινωνικής μηχανικής, ωστόσο, βασίζονται στην εξαπάτηση ενός ή περισσότερων θυμάτων για να εκτελέσουν μια ενέργεια που θέλει ο εισβολέας.