Δεν ανοίγουμε ποτέ ένα USB stick που βρήκαμε στον δρόμο

Από
Αστανάστας Ευτύχιος
-
1559

usb

Οι μισοί από τους ανθρώπους που θα βρουν ένα USB stick στο parking, θα το συνδέσουν στους υπολογιστές τους.

Ακολουθήστε μας στο Facebook πατώντας ΕΔΩ

Συμμετέχετε στο γκρουπ μας στο Facebook πατώντας ΕΔΩ

Κοινωνική μηχανική (Social engineering) είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών. Αν και είναι παρόμοια με το τέχνασμα ή την απλή απάτη, ο όρος είναι κυρίως συνδεδεμένος με την εξαπάτηση ατόμων με σκοπό την απόσπαση εμπιστευτικών πληροφοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπολογιστικό σύστημα. Συνήθως αυτός που την εφαρμόζει δεν έρχεται ποτέ πρόσωπο με πρόσωπο με το άτομο που εξαπατά ή παραπλανά. Παρόλο που ο όρος ίσως να μην είναι ακριβής ή επιτυχημένος έχει πλέον καθιερωθεί

Πως λειτουργεί – Κλασική τεχνική – Δόλωμα 

Η αλήθεια είναι πως δεν χρησιμοποιεί κάποια ιδιαίτερα τεχνάσματα ή εργαλεία, αλλά στηρίζεται κυρίως στην ανθρώπινη περιέργεια ή στην απληστία και στην άγνοια. Πολλοί θεωρούν ότι ένα καλό αντιϊκό τους προστατεύει αλλά αυτά δρουν μόνο για τους ευρέως γνωστούς ιούς και για τις ευρέως γνωστές τεχνικές και όχι για έναν ειδικά κατασκευασμένο “ιό”. Πολλοί, επίσης, είτε λόγω ευπιστίας είτε λόγω ευγένειας δεν αρνούνται να δώσουν στοιχεία σε κάποιον που τους το ζητάει ευγενικά ή κάτω από δήθεν “πίεση”.

Ο άμεσος στόχος δεν είναι πάντα η αποκάλυψη του κωδικού. Για κάποιον που θέλει να διεισδύσει σε ένα υπολογιστικό σύστημα πολλές φορές είναι αρκετή ακόμα και η απλή γνώση του αριθμού έκδοσης του λειτουργικού συστήματος ή άλλων προγραμμάτων που χρησιμοποιεί ο χρήστης. Με αυτές τις πληροφορίες μπορεί να μάθει αν υπάρχουν “τρύπες” στα προγράμματα και να τις αξιοποιήσει.

Άλλες πληροφορίες που μπορεί να συλλέξει κάποιος, και που πιθανά να είναι χρήσιμες, όπως οι ημερομηνίες γέννησης, τα ονόματα των παιδιών, τα ονόματα υπευθύνων για τη μηχανογράφηση κ.λ.π, συλλέγονται είτε μέσω συνομιλίας είτε από τα λεγόμενα κοινωνικά δίκτυα είτε από τις ιστοσελίδες της εταιρείας. Οι πληροφορίες αυτές χρησιμοποιούνται αργότερα σε συνομιλία, είτε τηλεφωνική είτε μέσω ηλεκτρονικού ταχυδρομείου είτε σε άμεσα μηνύματα (IM), για να πεισθεί ο συνομιλητής-θύμα ότι πρόκειται περί γνωστού και έτσι να του αποσπαστούν ακόμη περισσότερες πληροφορίες ή, ακόμα καλύτερα, κάποιος κωδικός πρόσβασης.

Ένας πραγματικός Δούρειος Ίππος. Ο επιτιθέμενος αφήνει ένα CD ή ένα φλασάκι ή κάποιο χαρτάκι με διευθύνσεις στο Διαδίκτυο και κωδικούς εισόδου σε κάποιο σημείο που “δήθεν” κάποιος ξέχασε. Το υποψήφιο θύμα πιθανά θα χρησιμοποιήσει αυτό το μέσο στον υπολογιστή του ή θα μπει στη διεύθυνση που βρήκε.

Κυριότερες και αποδοτικότερες μέθοδοι, είναι του “δολώματος” και του “ψαρέματος”.

Στην πρώτη περίπτωση, ένα δήθεν παρατημένο / ξεχασμένο usb-stick ή ακόμα και κάποιο χαρτάκι που μπορεί να έχουν κάποιες url διευθύνσεις, passwords και άλλα στοιχεία με σκοπό το υποψήφιο θύμα να χρησιμοποιήσει αυτό το μέσο στον υπολογιστή του ή να μπει στην διεύθυνση που βρήκε, κάτι που συμβαίνει στις περισσότερες των περιπτώσεων. Έχουμε δηλαδή την γνωστή περίπτωση του “Δούρειου Ίππου”.

Η άλλη περίπτωση είναι αυτή του ψαρέματος (Phishing), μια μέθοδος που έγινε ιδιαίτερα γνωστή στην ηλεκτρονική εποχή και αποτελεί παραφθορά της λέξης fishing (ψάρεμα). Έχουμε δηλαδή έναν τύπο απάτης που παγιδεύει τους ανθρώπους και τους αναγκάζει να αποκαλύψουν πολύ προσωπικές πληροφορίες, όπως στοιχεία πιστωτικών καρτών, ονόματα χρηστών και κωδικούς πρόσβασης, αριθμούς λογαριασμών και άλλα παρεμφερή προσωπικά δεδομένα.

Ο πιο συνηθισμένος τρόπος phishing είναι μέσω email. Τα θύματα λαμβάνουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ένα άτομο που ισχυρίζεται ότι είναι μια εταιρεία ή κάποιος οργανισμός με τον οποίον το επικείμενο θύμα έχει πάρε δώσε˙ για παράδειγμα, μία τράπεζα, κάποια εταιρεία κινητής τηλεφωνίας ή ακόμα και ένα κοινωνικό δίκτυο (socials) [δείτε αναλυτικότερα: Tι είναι το Phishing μα και ορισμένα πραγματικά του παραδείγματα].

 

Αναδρομή 

Κάνοντας μια αναδρομή στο παρελθόν βλέπουμε πως η μέθοδος αυτή του ψαρέματος ήταν διαδομένη και πριν την έλευση των ηλεκτρονικών υπολογιστών, με μεθόδους κανονικού ταχυδρομείου, τηλεφωνημάτων, ως ακόμα και “πωλητών” πόρτα-πόρτα. Όμως, στην ηλεκτρονική εποχή, ο όρος Social engineering διαδόθηκε από τον hacker και μετέπειτα σύμβουλο ασφαλείας πληροφορικών συστημάτων Κέβιν Μίτνικ και όπως ο ίδιος τόνιζε:

Είναι πολύ ευκολότερο να ξεγελάσεις κάποιον να δώσει έναν κωδικό πρόσβασης για ένα σύστημα, από το να προσπαθήσεις να τον σπάσεις

Κοινωνική μηχανική (Social engineering) στα Social Media

Έχοντας γίνει αντιληπτό πως η Κοινωνική Μηχανική έχει άμεση σχέση με τα προσωπικά δεδομένα, έξω από το παιχνίδι δεν θα μπορούσαν να μείνουν και οι ιστοσελίδες “κοινωνικής δικτύωσης”. Δεν θα σταθούμε στο γεγονός της συλλογής προσωπικών δεδομένων στους servers τους καθώς, όπως έχει ήδη ξεκαθαριστεί, το σφάλμα (bug) οφείλεται στον παράγοντα άνθρωπο. Αυτός είναι άλλωστε που επιλέγει τι θα δημοσιεύσει και για ποιους λόγους. Συνεπώς οι επιθέσεις κοινωνικής μηχανικής περιλαμβάνουν τον επιτιθέμενο, το θύμα και την αξιοποίηση της πληροφορίας.

Για να γίνει αυτό πιο αντιληπτό αναφορικά με τα κοινωνικά δίκτυα, θα αναφέρουμε το ακόλουθο γνωστό παράδειγμα που όμως αληθεύει:

Φανταστείτε ότι έχετε δημοσιεύσει στο facebook κάποιους αγαπημένους προορισμούς και μέρη τα οποία έχετε επισκεφτεί, μιλώντας με θαυμασμό. Ένας επιτιθέμενος, ο οποίος σας έχει βάλει ως στόχο, θα μπορούσε να εκμεταλλευτεί αυτήν την πληροφορία να σας καλέσει στο τηλέφωνο (εύρεση μέσω καταλόγου ή ακόμα και από το ίδιο το facebook ή με την αποστολή e-mail).

Στην συνέχεια, ο επιτιθέμενος σας ζητάει να του δώσετε προσωπικά σας στοιχεία, με την δικαιολογία ότι έχετε κερδίσει ένα χρηματικό ποσό από κλήρωση που έγινε για τους πελάτες του ξενοδοχείου Χ, στο οποίο είχατε διαμείνει το διάστημα που είχατε επισκεφτεί τα μέρη που περιγράφετε στο προφίλ σας.

Πιθανότατα εσείς θα τον εμπιστευτείτε αφού διαθέτει τόσες πληροφορίες για εσάς, και θα του δώσετε στοιχεία ταυτότητας και ίσως και τραπεζικό λογαριασμό. Το επόμενο βήμα θα είναι να τηλεφωνήσει στην τράπεζά σας και να προσποιηθεί ότι είστε εσείς, υποστηρίζοντας ότι μπλόκαρε τον ηλεκτρονικό λογαριασμό που χρησιμοποιούσε για τις online πληρωμές και ότι θα χρειαστεί νέο κωδικό. Τα στοιχεία που θα του ζητήσει η τράπεζα είναι ήδη στα χέρια του και το αίτημα προχωρά. Με αυτόν τον τρόπο είναι πολύ εύκολο να χάσετε χρήματα και να μην αντιληφθείτε το γεγονός καθόλου, τουλάχιστον όχι στην αρχή.

Μελέτη 

Μια νέα μελέτη διαπίστωσε ότι σχεδόν οι μισοί από τους ανθρώπους που θα βρουν ένα USB stick στο parking, θα το συνδέσουν στους υπολογιστές τους.

Ερευνητές από τη Google, το Πανεπιστήμιο του Illinois, και το Πανεπιστήμιο του Michigan, «πέταξαν» 297 μονάδες USB γύρω από την πανεπιστημιούπολη Urbana-Champaign του Illinois, και ανακάλυψαν ότι το 48 τοις εκατό των USB συνδέθηκαν σε έναν υπολογιστή, λίγα λεπτά αργότερα.

«Η κοινότητα της ασφάλειας πιστεύει εδώ και καιρό ότι οι χρήστες μπορούν να πέσουν θύματα επιθέσεων Social engineering μαζεύοντας και συνδέοντας φαινομενικά «χαμένες» μονάδες USB flash,» αναφέρουν οι ερευνητές.

«Δυστυχώς, είτε από αλτρουιστικά κίνητρα ή από ανθρώπινη περιέργεια, ο χρήστης εν αγνοία του ανοίγει μια θύρα σε μια επίθεση όταν συνδέσει τη μονάδα δίσκου. Ένα φυσικό Trojan horse

Για τη μελέτη οι ερευνητές χρησιμοποίησαν USB sticks που περιείχαν αρχεία HTML με ενσωματωμένα img tags. Με το άνοιγμα των αρχείων, η εικόνα επικοινωνούσε με έναν απομακρυσμένο server, επιτρέποντας στους ερευνητές να παρακολουθούν τη χρήση των δίσκων USB στην περιοχή.

Τα  USB sticks χρειάστηκαν από μερικά λεπτά έως και λίγες ώρες για να συνδεθούν σε υπολογιστές.

Επιπλέον, η μελέτη διαπίστωσε ότι μόνο το 16% των χρηστών μπήκε στον κόπο να σαρώσει τις μονάδες με κάποιο anti-virus πριν από το ανοίξουν στους υπολογιστές τους. Το 68% των ερωτηθέντων δήλωσαν ότι δεν έλαβαν κανένα απολύτως προληπτικό μέτρο πριν συνδέσουν τις μονάδες.

Οι χρήστες, δήλωσαν ότι ως επί το πλείστον, ενήργησαν καλή τη πίστει. Το 68% των χρηστών δήλωσε ότι άνοιξαν το αφαιρούμενο δίσκο για να βρουν τον ιδιοκτήτη του, και ελάχιστοι από τους ερωτηθέντες ανέφεραν ότι σχεδίαζαν να κρατήσουν το USB.

4 συμβουλές για την αναγνώριση μιας επίθεσης Social Engineering

Σε γενικές γραμμές, σαν άνθρωποι επιθυμούμε να βοηθήσουμε τους συνανθρώπους μας. Δυστυχώς, αυτό το γεγονός ακριβώς έρχονται να εκμεταλλευτούν οι επιθέσεις που είναι γνωστές σαν Social Engineering. Οι απατεώνες που χρησιμοποιούν επιθέσεις Social Engineering προσπαθούν να χειραγωγήσουν ανθρώπους για να πάρουν πράγματα που θέλουν. Τι θέλει ένας hacker στο διαδίκτυο; Τα δύο βασικά, κωδικούς πρόσβασης και γενικότερα προσωπικές πληροφορίες που θα τον βοηθήσουν να μάθει περισσότερα για το θύμα του.

Η κοινωνική μηχανική ή Social engineering δεν είναι απλό τέχνασμα, υπάρχει ένα πολύ καλά καθορισμένο πλαίσιο για αυτού του είδους τις επιθέσεις που είναι εξαιρετικά λεπτομερής και περιέχει συγκεκριμένες μεθόδους επιθέσεων. Περισσότερες λεπτομέρειες σχετικά με όλες τις πτυχές της κοινωνικής μηχανικής μπορείτε να βρείτε στο βιβλίο του Chris Hadnagy.

Φυσικά, κανείς δεν θέλει να είναι το θύμα μιας επίθεσης Social engineering, γι ‘αυτό και είναι σημαντικό να μπορείτε να αναγνωρίσετε την επίθεση όταν είναι ακόμα σε εξέλιξη, για να μπορείτε να ανταποκριθείτε κατάλληλα.

1. Αν σας καλέσει κάποιος από την Τεχνική Υποστήριξη

Πόσες φορές έχετε καλέσει κάποια τεχνική υποστήριξη και ήσασταν σε αναμονή αρκετή ώρα; Πόσες φορές σας έχει τύχει να σας καλέσουν από κάποια τεχνική υποστήριξη, για να σας λύσουν ένα πρόβλημα που ίσως δεν γνωρίζατε καν; Η απάντηση είναι μάλλον: καμία.

Αν λάβετε ένα τέτοιο τηλεφώνημα από κάποιον που ισχυρίζεται ότι είναι τεχνική υποστήριξη, θα πρέπει να σκεφτείτε άμεσα μια τεράστια κόκκινη σημαία που σας προειδοποιεί για μια επίθεση Social engineering. Η τεχνική υποστήριξη μιας εταιρείας έχει αρκετές εισερχόμενες κλήσεις και είναι σχεδόν απίθανο να αρχίσει να ψάχνει μόνη της για προβλήματα. Οι hackers από την άλλη πλευρά, όταν προσπαθούν να πάρουν πληροφορίες, όπως κωδικούς πρόσβασης ή να προσπαθήσουν να κάνουν το θύμα τους να επισκεφθεί κακόβουλα links που περιέχουν malware, θα προσπαθήσουν να μεταμφιεστούν σε άτομα που εμπιστεύεστε.

Ζητήστε από την «τεχνική υποστήριξη» να σας επισκεφθεί στον χώρο σας. Ελέγξτε την ιστορία τους, καλέστε τους σε έναν αριθμό που μπορεί να ελεγχθεί. Αν είναι σε γραφείο, καλέστε τους χρησιμοποιώντας τον εσωτερικό τους αριθμό.

2. Προσοχή στις Έκτακτες Επιθεωρήσεις

Οι Social Engineers μεταμφιέζονται συχνά σαν επιθεωρητές. Μπορούν να κρατούν ένα μπλοκ, και να φοράνε κάποια φόρμα. Ο στόχος τους είναι συνήθως να αποκτήσουν πρόσβαση σε ζώνες περιορισμένης πρόσβασης, προκειμένου να αποσπάσουν πληροφορίες ή να εγκαταστήσουν λογισμικό, όπως key loggers σε υπολογιστές εντός της εταιρείας που στοχεύουν.

Ελέγξτε με τους προϊστάμενους της εταιρείας για να δείτε αν κάποιος που ισχυρίζεται ότι ήρθε να ελέγξει κάτι είναι υπαρκτό πρόσωπο. Καλέστε την ασφάλεια και μην τους αφήσετε να είναι κοντά σε κάποιο σύστημα της εταιρείας.

3. Μην πέφτετε στην παγίδα των μηνυμάτων «Δράστε Τώρα» ή «Επείγον»

Ένα πράγμα που κάνουν όλοι οι Social Engineers, προκειμένου να παρακάμψουν την ορθολογική διαδικασία σκέψης σας είναι να δημιουργήσουν μια ψευδή αίσθηση του επείγοντος.

Η πίεση του να δράσετε γρήγορα μπορεί να παρακάμψει την ικανότητά σας να σκέφτεστε για το τι πραγματικά συμβαίνει. Ποτέ μην παίρνετε βιαστικές αποφάσεις, όταν κάποιος που δεν γνωρίζετε σασ πιέζει πάρα πολύ. Πείτε τους ότι θα γυρίσετε αργότερα γιατί τώρα φεύγατε, ή ότι θα τους καλέσετε πίσω όταν έχετε επαληθεύσει την ιστορία τους με τρίτους.

4. Προσέξτε τις τακτικές εκφοβισμού όπως «Βοηθήστε με ή το αφεντικό θα με σκοτώσει»

Ο φόβος είναι άλλο ένα συναίσθημα – μέσο που χρησιμοποιούν οι Social Engineers και άλλοι απατεώνες για να επωφεληθούν από το γεγονός. Θα χρησιμοποιήσουν το φόβο, είτε είναι ο φόβος που προέρχεται από ένα πρόβλημα, ή ο φόβος μιας προθεσμίας που λήγει, κ.λπ.

Ο φόβος, σε συνδυασμό με μια ψευδή αίσθηση του επείγοντος, μπορεί να βραχυκυκλώσουν τις διαδικασίες της σκέψης σας και να σας κάνει ευάλωτους στις αιτήσεις των Social Engineers.

 

Το άρθρο περιέχει πληροφορίες από : Iguru.Gr , Wikipedia , Osarena , Iguru.Gr

 

 

 

 

ΜΗΝ ΞΕΧΑΣΕΤΕ ΝΑ ΔΕΙΤΕ ΑΚΟΜΑ

Mια κρυφή και άγνωστη απάτη στο Facebook

Σκουπιδοσελίδες στο Facebook και κυνηγοί του κλικ

ΔΙΑΒΑΣΤΕ ΕΔΩ τον Οδηγό επιβίωσης από τις φάρσες στο ίντερνετ

Πώς μπορείτε να ξεχωρίσετε στο διαδίκτυο το αξιόπιστο δημοσίευμα

ΔΙΑΒΑΣΤΕ ΕΔΩ ΜΙΑ ΑΛΛΗ ΜΟΡΦΗ ΑΠΑΤΗΣ

Ποιοι Είμαστε

Τα τελευταία άρθρα μας πατώντας ΕΔΩ

Ακολουθηστε μας στο Facebook πατώντας ΕΔΩ

Συμμετέχετε στην ομάδα μας πατώντας ΕΔΩ

Επικοινωνία με την σελίδα μας πατώντας ΕΔΩ

Ακολουθήστε μας στο Twitter πατώντας ΕΔΩ

Συμμετοχή στην κοινότητα μας στο Google+ πατώντας ΕΔΩ

Αστανάστας Ευτύχιος
http://safer-internet.gr/
Με 23 Χρόνια εμπειρία στο διαδίκτυο , γνωρίζω και τα καλά και τα κακά του διαδικτύου και μανιακός με την τεχνολογία , κατασκευές ιστοσελίδων , φιλοξενια ιστοσελίδων . Πολυετή εμπειρία πάνω στην ασφάλεια του Διαδικτύου και ειδικά στα Social Media . Εργάζομαι πάνω σε Ηλεκτρολογικές εγκαταστάσεις , Συστήματα Πυρανίχνευσης , Συστήματα Parking , Φωτισμούς ασφαλείας , Hotel Access , Συναγερμούς . Στον ελεύθερο μου χρόνο ασχολούμαι με την μεγάλη μου αγάπη τον Προσκοπισμό . Είμαι βαθμοφόρος - στέλεχος του Σώματος Ελλήνων Προσκόπων και έχω καθήκοντα Υπαρχηγού Συστήματος στο 5ο Σύστημα Προσκόπων Βέροιας ( Www.Proskopoi.Gr ) ο οποίος Προσκοπισμός είναι μια εθελοντική, πολιτική , μη κομματική, παιδαγωγική κίνηση για νέους ανθρώπους, ανοικτή σε όλους χωρίς διακρίσεις που ιδρύθηκε στην Ελλάδα το 1910 , έχοντας αυτή τη στιγμή πάνω από 25,000 ενεργά μέλη σε 350 γειτονιές σε ολόκληρη την Ελλάδα . Συστάθηκε με το Νόμο 1066/1917 και αποτελεί Ίδρυμα Ιδιωτικού Δικαίου (Ν.Π.Ι.Δ.) . Έχει χαρακτήρα κοινωφελή μη κερδοσκοπικό και εποπτεύεται από το Υπουργείο Παιδείας , Έρευνας και Θρησκευμάτων . Αποστολή του Προσκοπισμού είναι να συμβάλλει στη διαπαιδαγώγηση των νέων μέσω ενός συστήματος Αξιών και να βοηθήσει στην οικοδόμηση ενός καλύτερου κόσμου, όπου οι άνθρωποι ολοκληρώνονται ως άτομα και διαδραματίζουν έναν εποικοδομητικό ρόλο στην κοινωνία .
Facebook Instagram Linkedin

ΠΑΡΟΜΟΙΑ ΑΡΘΡΑΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΤΟΝ ΔΗΜΙΟΥΡΓΟ