Νικόλαος Κολαϊτης | H Κοινωνική Μηχανική (Social Engineering) ως έγκλημα απάτης και τρόποι αντιμετώπισης της

Defence Redefined

Published on 28/02/2021 at 18:30

21ος αιώνας, ο αιώνας της πληροφορίας. Στην κοινωνία του σήμερα η πληροφορία διαδραματίζει ύψιστο ρόλο στη ζωή του ανθρώπου και πιο συγκεκριμένα των επιχειρήσεων. Οι πληροφορίες πλέον ανταλλάσσονται με ταχύτατους ρυθμούς και πολλές φορές με τα μέσα που πλέον διατίθενται η πληροφορία καταλαμβάνει τεράστια μεγέθη.

Τι σημαίνει καταρχάς πληροφορία. Είναι άξιο αναφοράς ότι η εννοιολογική προσέγγιση του όρου υποδεικνύει την πολλαπλότητα του σημασιολογικού φάσματος της ‘πληροφορίας’, έτσι διαφαίνονται τα ποικίλα χαρακτηριστικά που συνθέτουν αυτό που ορίζεται ως πληροφορία. Πιο κάτω αναφέρονται 2 ορισμοί:

Α) 1) Είναι κάθε στοιχείο που έχει ενδιαφέρον για κάποιον, που θα ήθελε κάποιος να το γνωρίζει, ειδικότερα οτιδήποτε ασυνήθιστο, μη κοινότοπο ή προσδοκώμενο λέγεται σε κάποιον.

2) Κάθε στοιχείο που μεταδίδεται από μια πηγή (μέσω ενημέρωσης κλπ.) σε κάποιον δέκτη, κάθε ενημερωτικό στοιχείο.

3) Το περιεχόμενο των σημάτων που διαβιβάζονται μέσω διαφόρων μέσων ενημέρωσης (ΓΕΩΡΓΙΟΣ Δ. ΜΠΑΜΠΙΝΙΩΤΗΣ, Λεξικό της Νέας Ελληνικής Γλώσσας: Με σχόλια για τη Σωστή Χρήση των Λέξεων, Αθήνα: Κέντρο Λεξικολογίας, 1998).

Β) Κάθε στοιχείο γνώσης ή κρίσης που μεταδίδεται με τη βοήθεια του λόγου, του ήχου ή της εικόνας, καθώς και με το σύνολο των συμβόλων που είναι κατανοητά στους ανθρώπους, με σκοπό να τους ενημερώσει για κάποιο γεγονός ή θέμα (ΕΜΜ. ΚΡΙΑΡΑΣ, Νέο Ελληνικό Λεξικό της Σύγχρονης Δημοτικής γλώσσας, Γραπτής και Προφορικής, Αθήνα: Εκδοτική Αθηνών, 1995).

Διαβάστε επίσης: Κβαντική πληροφορική και κρυπτογραφία | Το κλειδί για την επίτευξη ανθεκτικότητας, τεχνολογικής κυριαρχίας και ηγεσίας

Η πληροφορία ως έννοια ανέκαθεν υπήρχε, παρ’ όλα αυτά υπάρχει μια ξεκάθαρη διαφοροποίηση ανά τα χρόνια όσον αφορά κυρίως την παράμετρο της ποσότητας των παραγόμενων πληροφοριών. Όταν αναφέρεται ο όρος διαφοροποίηση πιο συγκεκριμένα έχει να κάνει με την ανάπτυξη της ‘θέσης’ και του ‘ρόλου’ της πληροφορίας μέσα στα πλαίσια όλων των κοινωνικών μας δραστηριοτήτων, έτσι να φτάσει σήμερα να αναφέρεται ως ο αιώνας της Πληροφορίας. Η εξέλιξη της κοινωνίας σε συνάρτηση με την εξέλιξη της τεχνολογίας και των επιστημών, και vice versa, οδήγησαν στην αλματώδη παραγωγή και χρήση των πληροφοριών.

Ο αιώνας της πληροφορίας ενέχει ουσιαστικά την κοινωνική και οικονομική ανάπτυξη που προέρχεται από την επεξεργασία, απόκτηση, αποθήκευση και μεταβίβαση της πληροφορίας ώστε να δημιουργηθεί γνώση η οποία ικανοποιεί ανάγκες σε όλα τα επίπεδα. Επίπεδα που φτάνουν από την οικονομία μέχρι την εθνική ασφάλεια.

Ο Βάκων ανάφερε ότι «η γνώση είναι δύναμη» στην Κοινωνία της Πληροφορίας, η πληροφορία είναι δύναμη, και για την απόκτηση της δύναμης μέσω της πληροφορίας υπάρχουν τα έννομα μέσα αλλά και τα παράνομα. Οπότε η διασφάλιση της «πολύτιμης πληροφορίας»  από υποκλοπή ανάγεται σε σημασία, ίση όπως είναι η ‘φυσική’ διασφάλιση και η αποτροπή κλοπής χρημάτων από μια τράπεζα. Τι θα συμβεί αν κλαπούν προσωπικά δεδομένα, επιχειρηματικά δεδομένα ή δεδομένα εθνικής ασφάλειας;

Το παρόν άρθρο πραγματεύεται το έγκλημα της Κοινωνικής Μηχανικής (Social Engineering). Η Interpol συγκαταλέγει την Κοινωνική Μηχανική στα εγκλήματα Απάτης.

Διαβάστε επίσης: Europol | Το Dark Market, η μεγαλύτερη παράνομη αγορά σκοτεινού διαδικτύου στον κόσμο έχει τεθεί εκτός σύνδεσης

“Loose lips sink ships”. Η φράση προέρχεται από τις αμερικάνικες αφίσες του Β’ Παγκοσμίου Πολέμου όπου ως σκοπό είχαν να ενημερώσουν τους πολίτες και κυρίως τους στρατιώτες να αποφεύγουν να αναφέρουν οποιεσδήποτε πληροφορίες για την κίνηση των πλοίων, αφού θα μπορούσε να υποκλαπεί από τον εχθρό και τους μυστικούς του πράκτορες που είχαν ως βασικό στόχο να απομυζήσουν οποιαδήποτε χρήσιμη πληροφορία. Εκτός από την κυριολεκτική έννοια της προστασίας των σκαφών, είχε να κάνει και με τη γενικότερη προσπάθεια προώθησης από το Κράτος της επίγνωσης ότι σε καμία περίπτωση δεν πρέπει να αναφέρονται οποιεσδήποτε πληροφορίες που μπορούσαν να θίξουν στρατιωτικές αποστολές, στρατηγικές και κατά κύριο λόγο την εθνική ασφάλεια.

 «Όσο δυνατοί κρίκοι στην αλυσίδα της ασφάλειας είναι άνθρωποι άλλο τόσο μπορεί να καταστούν αδύνατοι κάτω από συγκεκριμένες συνθήκες».

Την αποδοτικότερη ερμηνεία δίνει ένας από τους πιο γνωστούς hackers και social engineers – και πλέον μετά την αποφυλάκιση του – ethical Hacker και σύμβουλος ασφαλείας, ο Kevin Mitnick, ο οποίος αναφέρει ότι η Κοινωνική Μηχανική είναι η επιστήμη με την οποία με επιδέξιο τρόπο κάποιο άτομο μπορεί να χειραγωγήσει και να εξαπατήσει ώστε να αποκτήσει μια πιο «οικεία σχέση» με κάποιο άλλο άτομο εργαζόμενο ή μη σε ένα οργανισμό ώστε να προσδώσει πληροφορίες που αυτός εποφθαλμιά. Η Κοινωνική Μηχανική χρησιμοποιεί πολλαπλά εργαλεία και τεχνικές όπως θα γίνει κατανοητό πιο κάτω, παρ’ όλα αυτά η Ψυχολογική Χειραγώγηση είναι από τα πιο σημαντικά.

Οι τεχνικές Social Engineering και Ψυχολογικής Χειραγώγησης πιθανόν να ξεκίνησαν από τον καιρό που άρχισε να χρησιμοποιείται ο λόγος ως τρόπος επικοινωνίας. Τέτοιου είδους πολιτικές κοινωνικής μηχανικής και χειραγώγησης, για παράδειγμα, παρουσιάστηκαν έντονα σε χώρες με απολυταρχικά καθεστώτα, συγκεκριμένα τη δεκαετία του ΄20 και στη μετάβαση από τον Τσαρισμό σε μια Νέα Σοβιετική Ένωση, η κυβέρνηση της Σοβιετικής Ένωσης ξεκίνησε μια εκστρατεία για να αλλάξει ριζικά τη συμπεριφορά και τα ιδανικά των σοβιετικών πολιτών, ώστε να αντικαταστήσει τα πεπαλαιωμένα κοινωνικά πλαίσια της Ρωσικής Αυτοκρατορίας με μια νέα πλέον σοβιετική κουλτούρα και τη δημιουργία του νέου σοβιετικού ανθρώπου.

Διαβάστε επίσης: Κυβερνοεπίθεση σε ΚΥΠΕ | Τι αναφέρει η Αρχή Ψηφιακής Ασφαλείας και ειδικοί σε θέματα ασφαλείας – VIDEO

Υπάρχουν δύο (2) βασικοί τύποι Κοινωνικής Μηχανικής, η Μαζική Απάτη που έχει σκοπό και στόχο μεγάλες ομάδες ανθρώπων και η Στοχευμένη Απάτη σε μεμονωμένα άτομα και επιχειρήσεις.

Ως βασικό στόχο ο δράστης έχει την πρόσβαση στην πληροφορία ώστε να αποκτήσει δίοδο σε διάφορα συστήματα ή γενικότερες αλλά σημαντικότερες πληροφορίες με τις οποίες θα διαπράξει ενδεχόμενη επιχειρηματική κατασκοπεία, κατασκοπεία, κλοπή λογαριασμών, κλοπή προσωπικών δεδομένων (identity theft), κλοπή απόρρητων εγγράφων, καταστροφή δικτύου, εκβιασμό μέσω των κλαπέντων πληροφοριών, λύτρα μέσω των κλαπέντων πληροφοριών η λίστα μπορεί να είναι τεράστια. Η μέθοδος ως επί το πλείστων ακολουθεί τέσσερα (4) βασικά στάδια, αυτά της συλλογής των πληροφοριών, την ανάπτυξη σχέσης μεταξύ επιτιθέμενου και θύματος, την εκμετάλλευση του θύματος και τέλος την εφαρμογή του σχεδίου – «επίθεση».

O Σουν Τζου στο βιβλίο του «Η Τέχνη του πολέμου» αναφέρει ότι «όλος ο πόλεμος βασίζεται στην παραπλάνηση». Το social engineering  στηρίζεται σε βασικές αρχές που διέπουν την ανθρώπινη συμπεριφορά και πολλές φορές την καθορίζουν ώστε να τις χειραγωγήσει αναλόγως.

Η αρχής της Αμοιβαιότητας έχει να κάνει με τον άνθρωπο και το αίσθημα της υποχρέωσης να βοηθήσει τον συνάνθρωπο του.

Η αρχή της Εξουσίας έχει να κάνει με τον άνθρωπο και την τάση του να ανταποκρίνεται σε άλλα πρόσωπα που κατέχουν ή επικαλούνται, στην προκειμένη περίπτωση, θέσεις ‘κύρους’.

Η αρχή της Κοινωνικής Απόδειξης έχει να κάνει με τον άνθρωπο και την τάση του εκλαμβάνει άλλους ανθρώπους με κοινά ενδιαφέροντα ως πρότυπα συμπεριφοράς.

Η αρχή της Αξίας και την τάση του ανθρώπου να αξιολογεί κάποια σπάνια πράγματα ως μεγαλύτερης αξίας από κάποια που μπορεί να ορισθούν ως ‘κοινά’.

Η αρχή της Συνέπειας και της Δέσμευσης και την τάση του ανθρώπου να προσπαθεί να διατηρήσει την εικόνα και τα στοιχεία για τον ίδιο.

Κοινή μεταβλητή των επιθέσεων είναι ότι το θύμα βρίσκεται κυρίως βρίσκεται σε ένα “comfort zone”, σε ένα περιβάλλον οικείο, είτε αυτό είναι το σπίτι του, το γραφείο του, μέσω του τηλεφώνου του, μέσω του ηλεκτρονικού του υπολογιστή.

Μια διαδεδομένη τεχνική κοινωνικής μηχανικής είναι αυτή του «Pretexting». Στη συγκεκριμένη τεχνική χρησιμοποιείται το ‘κύρος’ και η ‘εξουσία’ ως μοχλός πίεσης του θύματος, παριστάνοντας έναν ανώτερο στην δουλειά, αστυνομία, τράπεζα, δημόσιες υπηρεσίες και άλλα. Πιο συγκεκριμένα, χρησιμοποιείται ένα εικονικό σενάριο τις πλείστες φορές δια μέσω τηλεφώνου ώστε ο «δράστης» να αποκομίσει διάφορες πληροφορίες. Οπότε, εκμεταλλευόμενος λίγες πληροφορίες όπως όνομα πατρός ή τόπο γέννησης, με τη μέθοδο του pretext προσπαθεί να αποσπάσει πιο σημαντικού τύπου πληροφορίες π.χ. πληροφορίες για τον τραπεζικό λογαριασμό. Η συγκεκριμένη τεχνική χρησιμοποιείται συχνά ώστε να θίξει φορείς μέσω των πιο χαμηλόβαθμων στελεχών τους. Τα τρία (3) συστατικά στοιχεία που συνήθως χρησιμοποιούνται ώστε να ‘αποδώσει’ η συγκεκριμένη τεχνική είναι ο σωστός τόνος, το κατάλληλο φύλο και η προετοιμασία (γνώση ενδεχομένως ‘παρελκόμενων’ πληροφοριών).

Διαβάστε επίσης: Αρχή Ψηφιακής Ασφάλειας | Συμμετοχή σε διεθνές δίκτυο για την θωράκιση του κυπριακού κυβερνοχώρου

«Phishing», ακόμα μια συνήθης και επίκαιρη τεχνική όπου αυτή τη φορά ως μέσω «επίθεσης»-επαφής είναι το email ή και πλέον το μήνυμα στο τηλέφωνο. Ένα από τα παραδείγματα μπορεί να είναι ο social engineer να παρουσιάζεται μέσω κάποιας νόμιμης εταιρείας με την οποία συνεργάζεται το θύμα. Συνήθως, παρουσιάζεται μια επείγουσα κατάσταση όπου κάποια στοιχεία χάθηκαν ή λήξαν και πρέπει να επανακαταχωριθούν. Οπότε το θύμα παραπέμπεται σε ένα εικονικό link το οποίο έχει δημιουργηθεί από τον «phisher» ώστε να μοιάζει με νόμιμο site (λογότυπα, τρόποι επικοινωνίας, διευθύνσεις κεντρικών γραφείων και άλλα).

Μια άλλη τεχνική για την ενδεχόμενη απόκτηση των ‘παρελκόμενων’ πληροφοριών είναι αυτή του «Dumpster Diving» ή αλλιώς «Trashing». Κάθε λογής πληροφορία που σε εμάς φαντάζει άχρηστη υπάρχει μεγάλη πιθανότητα να πετάγεται στα σκουπίδια. Τα έγγραφα αυτά πολλές φορές έχουν να κάνουν με πελατολόγιο, λογιστικά θέματα και γενικότερα το «ποιος», «τι» και «που» μιας επιχειρήσεις, ενός νοικοκυριού ή μιας δημόσιας υπηρεσίας.

Διαβάστε επίσης: Webinar για την κυβερνοασφάλεια από το Υπουργείο Άμυνας και Ευρωπαϊκό Πανεπιστήμιο Κύπρου

Η αλήθεια βρίσκεται στους αριθμούς κατά το πρώτο εξάμηνο του 2019 έγιναν παραβιάσεις δεδομένων σε 4,1 δισεκατομμύρια αρχεία (RiskBased), το 71% των παραβιάσεων ήταν με βάση οικονομικά κίνητρα και το 25% με βάση την κατασκοπεία (Verizon), το 52% των παραβιάσεων περιλάμβανε πειρατεία, το 28% αφορούσε κακόβουλο λογισμικό και το 32-33% περιλάμβαναν phishing ή κοινωνική μηχανική, αντίστοιχα (Verizon). Μια άλλη στατιστική έρχεται από τον ιδρυτή της εταιρείας antivirus McAfee που τόνισε ότι το Social Engineering έγινε το κύριο εργαλείο στο 75% των hackers και για τους πιο γνωστούς και επιτυχημένους είναι στο 90%.

Όπως σε όλα τα θέματα Ασφάλειας έτσι και σε αυτό η πρόληψη είναι η Υπέρτατη Άμυνα. Οι βασικοί τρόποι αντιμετώπισης έχουν να κάνουν με τρεις (3) βασικούς πυλώνες: την εκπαίδευση και ενημέρωση του προσωπικού, την πρακτική έρευνα της τρωτότητας της επιχείρησης (penetration testing) και εσωτερικά drills και κυρίως τη δημιουργία πολιτικών και διαδικασιών ασφαλείας και διαχείρισης Πληροφορίας.

Ο Jaron Lanier -ο οποίος θεωρείτε θεμελιωτής του τομέα της εικονικής πραγματικότητας ανάφερε χαρακτηριστικά ότι “It is impossible to work in information technology without also engaging in social engineering”.

Η Κοινωνική Μηχανική στοχεύει την πληροφορία, οποιαδήποτε μορφή,  είναι μια πραγματικότητα στην κοινωνία της πληροφορίας και ένα θέμα υψίστης Ασφαλείας για όλους τους φορείς, υπηρεσίες και οργανισμούς.

*BA,MA,DipSec,CCO

Διαβάστε επίσης: 

**Οι απόψεις και/ή τα σχόλια που εκφράζονται στα άρθρα ανήκουν σε έκαστο συγγραφέα και δύναται να μην αποτελούν άποψη και/ή τοποθέτηση και/ή να υιοθετούνται ως έχουν από την εταιρεία και/ή τους διαχειριστές του ιστότοπου. Περισσότερα στους όρους χρήσης της ιστοσελίδας.