Social engineering: Υπαρκτό πρόβλημα Ασφαλείας!

Ο τρόπος που πραγματοποιείτε μια απάτη μπορεί να δημιουργήσει πολλά ερωτηματικά. Στις περιπτώσεις όμως που γίνεται με τον ανθρώπινο παράγοντα να είναι αυτός που έχει εξαπατηθεί είναι αρκετά μεγάλο το πρόβλημα, μιας και είναι πολύ δύσκολο να δώσεις σε όλους τους εργαζόμενους σε μια εταιρία για παράδειγμα να καταλάβουν ότι θα πρέπει να είναι πολύ προσεκτικοί με τα στοιχεία πρόσβασης τους κάθε στιγμή,  πως μπορούν να προστατεύονται οι ίδιοι δηλαδή, για στοιχεία μάλιστα που οδηγούν σε πρόσβαση σημαντικών πληροφοριών. Όλοι θα νομίζετε ότι μιλάμε απλά για ένα τρόπο παραβίασης προσωπικών στοιχείων και όμως δεν μιλάμε απλά για μια παραβίαση. Δεν έχουμε να κάνουμε μόνο με περιπτώσεις αποστολής κάποιων παραπλανητικών emails (phishing) ή για την απόσπαση προσωπικών στοιχείων και μόνο.

Ο ευκολότερος τρόπος να αποσπάσεις κάτι από  ένα σπίτι είναι να μπεις στο σπίτι αυτό σαν ο ιδιοκτήτης του. Δηλαδή να βρεις το κλειδί του σπιτιού, να μπεις να πάρεις αυτό που θες και να φύγεις το ίδιο εύκολα όπως μπήκες! Αυτό μοιάζει ως ο ιδανικός τρόπος παραβίασης και όντως είναι! Το Social Engineering (αλλιώς κοινωνική μηχανική ή απλά, μέθοδος κοινωνικής εξαπάτησης) έτσι ακριβώς δραστηριοποιείται στην πληροφορική, κάποιος αποσπά από εσάς το κλειδί για την πόρτα του “σπιτιού” σας,  αποσπά πληροφορίες και  λειτουργεί ανενόχλητος. Οπότε χωρίς κάποιος να έχει εξειδικευμένες γνώσεις, ούτε να χάσει πολύ χρόνο να αποκρυπτογραφήσει και να βρει τρόπο να σπάσει το σύστημα σας ή να παρεμβάλει τα “πανάκριβα” συστήματα ασφαλείας. Στις περισσότερες περιπτώσεις, τα θύματα δεν αντιλαμβάνονται τίποτα την ώρα της εξαπάτησης τους παρά μόνο πολύ αργότερα στις καλύτερες των περιπτώσεων.

Η μέθοδος με την οποία γίνετε η εξαπάτηση, έχει να κάνει με τον τρόπο που χειριζόμαστε μια περίπτωση ανθρώπινης προσέγγισης, ένα τηλεφώνημα από συνάδελφο μας που μας ρωτάει να του πούμε τον κωδικό του γιατί το ξέχασε και βιάζεται να κάνει κάτι σημαντικό ώστε να μην του φωνάξουν οι “από πάνω”, τον λυπάστε και του δίνετε τελικώς ότι χρειάζεται. Σκεφτείτε την περίπτωση να επικοινωνήσει μαζί σας ο πρόεδρος της εταιρείας και να σας ενημερώσει ότι χρειάζεται πρόσβαση στο σύστημα της ηλεκτρονικής αλληλογραφίας του διότι δεν έχει μαζί του τα στοιχεία πρόσβασης, εσείς αντιδράτε στην αρχή, σας βάζει τις φωνές και τελικά του δίνεται ότι χρειάζεται τηλεφωνικά υπό τον φόβο της απόλυσης σας!

Όλα αυτά είναι περιστατικά που έχουν συμβεί και αν το σκεφτείτε είναι λογικό να συμβαίνει διότι δεν υπάρχει εκπαίδευση τις περισσότερες φορές στο προσωπικό, στον πρόεδρο της εταιρείας, στα στελέχη, σε όλους τους εργαζόμενους ότι πρέπει να υπάρχει ειδικός κανονισμός για το πως πρέπει να χειριζόμαστε και να διακινούμε τα ευαίσθητα δεδομένα μας, τους κωδικούς πρόσβασης μας, ενώ η εκπαίδευση και η συνεχής ενημέρωση για τα θέματα  και τους κινδύνους αυτής της απάτης θα μπορέσει να κάνει όλους να προσέχουν και να είναι επιφυλακτικοί κάθε φορά που κάποιος εντελώς αθώα προσπαθεί να αποσπάσει ευαίσθητες πληροφορίες. Όλα λοιπόν είναι θέμα εκπαίδευσης και συνεχόμενης ενημέρωσης!

Η κοινωνική ή ανθρώπινη εξαπάτηση γίνεται συνήθως από άτομα που έχουν θράσος και γνώση ίσως για ορισμένα πράγματα της εταιρείας-θύμα ώστε να σας κάνει να πιστέψετε ότι είναι εργαζόμενος ή συνάδελφος σας και τις περισσότερες φορές μπορεί να πάρει για τον απατεώνα πολύ καιρό ώστε να καταφέρει τελικώς να αποσπάσει τις πληροφορίες που θέλει για να μπορέσει να γίνει περισσότερο πειστικός στα μάτια σας. Τα κοινωνικά δίκτυα, τα email, τα τηλεφωνήματα, η απρόσωπη επικοινωνία είναι μερικοί μόνο τρόποι με τους οποίους γίνεται κάθε φορά η εξαπάτηση.

Ένα θέμα που τα τελευταία χρόνια συζητιέται πολύ, γιατί πολύ απλά τα ποσοστά ανθρώπων που πέφτουν θύματα τέτοιων τεχνικών αυξάνονται με μεγάλη πρόοδο και είναι ένας σημαντικός παράγοντας που θα πρέπει να λαμβάνετε σοβαρά υπόψη στα άτομα που σχεδιάζουν και διαχειρίζονται την ασφάλεια πληροφοριακών συστημάτων.

(photo via)