Τι είναι η Κοινωνική Μηχανική και γιατί πρέπει να ανησυχείτε;

από
Tweet
Share
Share
Pin

«Αυτοί που μπορούν να εγκαταλείψουν την ουσιαστική ελευθερία για να αποκτήσουν λίγη προσωρινή ασφάλεια δεν αξίζουν ούτε ελευθερία ούτε ασφάλεια». – Βενιαμίν Φραγκλίνος

Η Κοινωνική Μηχανική βρίσκεται στο επίκεντρο των θεμάτων ασφαλείας για λίγο. Έχει συζητηθεί εκτενώς από ειδικούς του κλάδου. Ωστόσο, πολλοί δεν συνειδητοποιούν πλήρως τον πιθανό κίνδυνο που ενέχει και πόσο πολύ επικίνδυνο μπορεί να είναι.

Για τους χάκερ, το Social Engineering είναι ίσως ο ευκολότερος πιο αποτελεσματικός τρόπος για την παραβίαση πρωτοκόλλων ασφαλείας. Η άνοδος του διαδικτύου μας έδωσε πολύ ισχυρές δυνατότητες διασυνδέοντας συσκευές χωρίς το φράγμα της απόστασης. Παρέχοντάς μας πρόοδο στην επικοινωνία και τη διασύνδεση, αυτό, ωστόσο, εισήγαγε κενά που οδηγούσαν σε παραβίαση των προσωπικών πληροφοριών και του απορρήτου.

Από τους αρχαιότερους χρόνους προ της τεχνολογίας, οι άνθρωποι κωδικοποιούσαν και ασφαλίζουν πληροφορίες. Μια ευρέως γνωστή μέθοδος από την αρχαιότητα είναι η Caeser Cipher όπου τα μηνύματα κωδικοποιούνται μετατοπίζοντας τις θέσεις στη λίστα αλφαβήτων. π.χ., το “γεια κόσμο” εάν μετατοπιστεί κατά 1 θέση θα μπορούσε να γραφτεί ως “ifmmp xpsmf”, ο αποκωδικοποιητής που διαβάζει το μήνυμα “ifmmp xpsmf” θα πρέπει να μετακινήσει τα γράμματα μία θέση προς τα πίσω στη λίστα αλφαβήτων για να κατανοήσει το μήνυμα.

Όσο απλή και αν ήταν αυτή η τεχνική κωδικοποίησης, στάθηκε για σχεδόν 2000 χρόνια!

Σήμερα έχουμε αναπτυχθεί πιο προηγμένα και ισχυρά συστήματα ασφαλείας, ωστόσο η ασφάλεια είναι μια πρόκληση.

Είναι σημαντικό να σημειωθεί ότι υπάρχει ένας τεράστιος αριθμός τεχνικών που αναπτύσσονται από χάκερ για τη λήψη ζωτικών πληροφοριών. Θα δούμε εν συντομία μερικές από αυτές τις τεχνικές για να καταλάβουμε γιατί η κοινωνική μηχανική είναι τόσο μεγάλη υπόθεση.

Επιθέσεις Brute Force & Dictionary

Ένα hack brute force περιλαμβάνει έναν χάκερ με ένα προηγμένο σύνολο εργαλείων που έχουν δημιουργηθεί για να διεισδύσουν σε ένα σύστημα ασφαλείας χρησιμοποιώντας έναν υπολογισμένο κωδικό πρόσβασης λαμβάνοντας όλους τους πιθανούς συνδυασμούς χαρακτήρων. Μια επίθεση λεξικού περιλαμβάνει τον εισβολέα που τρέχει μια λίστα λέξεων (από το λεξικό), ελπίζοντας να βρει μια αντιστοιχία με τον κωδικό πρόσβασης του χρήστη.

  Πώς να ενεργοποιήσετε το φως ειδοποιήσεων Moto E4

Μια επίθεση ωμής βίας στις μέρες μας, αν και πολύ ισχυρή, φαίνεται λιγότερο πιθανό να συμβεί λόγω της φύσης των τρεχόντων αλγορίθμων ασφαλείας. Για να βάλω τα πράγματα στη θέση τους, εάν ο κωδικός πρόσβασης στον λογαριασμό μου είναι “[email protected]!!!’, το συνολικό άθροισμα χαρακτήρων είναι 22. Ως εκ τούτου, θα χρειαστούν 22 παραγοντικά, για να υπολογίσει ένας υπολογιστής όλους τους πιθανούς συνδυασμούς. Είναι πολύ.

Επιπλέον, υπάρχουν αλγόριθμοι κατακερματισμού που λαμβάνουν αυτόν τον κωδικό πρόσβασης και τον μετατρέπουν σε κατακερματισμό για να κάνουν ακόμη πιο δύσκολο να μαντέψει ένα σύστημα brute-forcing. Π.χ. ο παλαιότερος γραμμένος κωδικός πρόσβασης μπορεί να κατακερματιστεί στο d734516b1518646398c1e2eefa2dfe99. Αυτό προσθέτει ακόμη πιο σοβαρό επίπεδο ασφάλειας στον κωδικό πρόσβασης. Θα εξετάσουμε τις τεχνικές ασφαλείας με περισσότερες λεπτομέρειες αργότερα.

Εάν είστε κάτοχος ιστότοπου WordPress και αναζητάτε προστασία από ωμή βία, ελέγξτε αυτόν τον οδηγό.

Επιθέσεις DDoS

Πηγή: comodo.com

Οι επιθέσεις κατανεμημένης άρνησης υπηρεσίας συμβαίνουν όταν ένας χρήστης αποκλείεται για πρόσβαση σε νόμιμους πόρους του Διαδικτύου. Αυτό μπορεί να είναι από την πλευρά του χρήστη ή από την υπηρεσία στην οποία ο χρήστης προσπαθεί να αποκτήσει πρόσβαση.

Ένα DDoS συνήθως οδηγεί σε απώλεια εσόδων ή βάσης χρηστών. Για να είναι δυνατή μια επίθεση όπως αυτή, ένας χάκερ μπορεί να αναλάβει τον έλεγχο πολλών υπολογιστών σε όλο το Διαδίκτυο που μπορούν να χρησιμοποιηθούν σε ένα μέρος ενός «BotNet» για να αποσταθεροποιήσουν το δίκτυο ή σε ορισμένες περιπτώσεις να πλημμυρίσουν την κυκλοφορία του δικτύου με μη χρήσιμα πακέτα των πληροφοριών που έχουν ως αποτέλεσμα την υπερβολική χρήση και, ως εκ τούτου, την κατανομή των πόρων και των κόμβων του δικτύου.

  Διορθώστε το Avast που δεν ενημερώνει τους ορισμούς ιών

Phishing

Αυτή είναι μια μορφή hacking όπου ο εισβολέας προσπαθεί να κλέψει τα διαπιστευτήρια χρήστη κάνοντας ψεύτικα υποκατάστατα των σελίδων σύνδεσης. Συνήθως, ο εισβολέας στέλνει ένα κακόβουλο email σε έναν χρήστη που ενεργεί ως αξιόπιστη πηγή, όπως μια τράπεζα ή ένας ιστότοπος μέσων κοινωνικής δικτύωσης συνήθως, με έναν σύνδεσμο για να εισαγάγει ο χρήστης τα διαπιστευτήριά του. Οι σύνδεσμοι συνήθως δημιουργούνται για να μοιάζουν με νόμιμους ιστότοπους, αλλά μια πιο προσεκτική ματιά αποκαλύπτει ότι είναι λάθος.

Για παράδειγμα, ένας σύνδεσμος phishing χρησιμοποίησε κάποτε το paypai.com για να εξαπατήσει τους χρήστες του Paypal ώστε να παραιτηθούν από τα στοιχεία σύνδεσής τους.

Μια τυπική μορφή ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος.

“Αγαπητέ χρήστη,

Παρατηρήσαμε ύποπτη δραστηριότητα στον λογαριασμό σας. Κάντε κλικ εδώ για να αλλάξετε τον κωδικό πρόσβασής σας τώρα για να αποφύγετε τον αποκλεισμό του λογαριασμού σας.”

Υπάρχει 50% πιθανότητα να έχετε υποστεί ψάρεμα ταυτόχρονα. Οχι? Συνδεθήκατε ποτέ σε έναν ιστότοπο και, αφού κάνετε κλικ στην είσοδο / Σύνδεση, εξακολουθείτε να σας μεταφέρει πίσω στη σελίδα σύνδεσης, Ναι; Έχετε υποστεί επιτυχή ψάρεμα.

Πώς γίνεται η Κοινωνική Μηχανική;

Παρόλο που οι αλγόριθμοι κρυπτογράφησης γίνονται ακόμη πιο σκληροί και πιο ασφαλείς, οι εισβολές κοινωνικής μηχανικής εξακολουθούν να είναι τόσο ισχυρές όσο ποτέ.

Ένας κοινωνικός μηχανικός συνήθως συλλέγει πληροφορίες για εσάς, ώστε να έχει πρόσβαση στους διαδικτυακούς σας λογαριασμούς και σε άλλους προστατευμένους πόρους. Συνήθως, ένας εισβολέας βάζει το θύμα να αποκαλύψει προσωπικές πληροφορίες μέσω ψυχολογικής χειραγώγησης πρόθυμα. Ένα τρομακτικό μέρος αυτού είναι ότι αυτές οι πληροφορίες δεν χρειάζεται απαραίτητα να προέρχονται από εσάς, μόνο από κάποιον που γνωρίζει.

  20 Best After Effects Alternative

Κοινώς, ο στόχος δεν είναι αυτός που αποκτά κοινωνική μηχανική.

Για παράδειγμα, μια δημοφιλής εταιρεία τηλεπικοινωνιών στον Καναδά ήταν στις ειδήσεις στις αρχές του τρέχοντος έτους για ένα χάκ κοινωνικής μηχανικής στον πελάτη της, στο οποίο το προσωπικό εξυπηρέτησης πελατών είχε σχεδιαστεί κοινωνικά για να αποκαλύψει τα στοιχεία του στόχου σε ένα τεράστιο hack ανταλλαγής sim που οδήγησε σε 30.000 $ απώλεια χρημάτων.

Οι κοινωνικοί μηχανικοί παίζουν με τις ανασφάλειες, την αμέλεια και την άγνοια των ανθρώπων για να τους κάνουν να αποκαλύπτουν ζωτικές πληροφορίες. Σε μια εποχή όπου η απομακρυσμένη υποστήριξη χρησιμοποιείται ευρέως, οι οργανισμοί έχουν βρεθεί σε πολλές περισσότερες περιπτώσεις hacks όπως αυτές λόγω του αναπόφευκτου ανθρώπινου λάθους.

Οποιοσδήποτε μπορεί να πέσει θύμα κοινωνικής μηχανικής, αυτό που είναι ακόμα πιο τρομακτικό είναι ότι μπορεί να δεχθείτε χακάρισμα χωρίς καν να το γνωρίζετε!

Πώς να προστατεύσετε τον εαυτό σας από την κοινωνική μηχανική;

  • Αποφύγετε τη χρήση προσωπικών στοιχείων όπως ημερομηνία γέννησης, όνομα κατοικίδιου ζώου, όνομα παιδιού κ.λπ. ως κωδικούς πρόσβασης σύνδεσης
  • Μην χρησιμοποιείτε αδύναμο κωδικό πρόσβασης. Εάν δεν μπορείτε να θυμηθείτε το περίπλοκο, χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης.
  • Ψάξτε για τα προφανή ψέματα. Ένας κοινωνικός μηχανικός δεν ξέρει πραγματικά αρκετά για να σας χακάρει αμέσως. δίνουν λάθος πληροφορίες ελπίζοντας ότι θα παρείχατε τις σωστές και μετά συνεχίζουν να ζητούν περισσότερες. Μην το πέφτετε!
  • Επαληθεύστε την αυθεντικότητα του αποστολέα και του τομέα προτού προβείτε σε ενέργειες από μηνύματα ηλεκτρονικού ταχυδρομείου.
  • Συμβουλευτείτε την τράπεζά σας αμέσως όταν παρατηρήσετε ύποπτη δραστηριότητα στον λογαριασμό σας.
  • Όταν ξαφνικά χάσετε τη λήψη σήματος από το κινητό σας τηλέφωνο, ελέγξτε αμέσως τον πάροχο του δικτύου σας. Μπορεί να είναι ένα χακάρισμα sim swap.
  • Ενεργοποιήστε τον έλεγχο ταυτότητας 2 παραγόντων (2-FA). υπηρεσίες που το υποστηρίζουν.

συμπέρασμα

Αυτά τα βήματα δεν αποτελούν άμεση θεραπεία για τις εισβολές κοινωνικής μηχανικής, αλλά σας βοηθούν να δυσκολέψετε έναν χάκερ να σας καταλάβει.