Κοινωνική Μηχανική – Η τέχνη της απάτης

Στον τομέα της Ασφάλειας είναι πολλά τα θέματα που χαίρουν προσοχής, ιδιαίτερη μνεία όμως πρέπει να δώσουμε, είτε ως επαγγελματίες του χώρου αλλά και ως απλοί πολίτες ακόμα, στα θέματα που αναφέρονται στην υποκλοπή της «πολύτιμης πληροφορίας» και στην απάτη με στόχο τα προσωπικά ή επιχειρηματικά μας δεδομένα. Συνειρμικά, οπότε, οδηγούμεθα στο έγκλημα της απάτης που έχει ως στόχο τα προαναφερθέντα και είναι το έγκλημα Κοινωνικής Μηχανικής (ή Social Engineering).

Νικόλας Κολαΐτης BSc, DSecM, DStratSecM, MA, CCO
Διευθύνων Σύμβουλος Ινστιτούτου Στρατηγικών Σπουδών
www.istrategicstudies.com

Αρχή κάνουμε με μια γνωστή φράση, “Loose lips sink ships”. Η φράση προέρχεται από προπαγανδιστικές αμερικάνικες αφίσες του Β’ Παγκοσμίου Πολέμου. Σκοπός των συγκεκριμένων αφισών ήταν να τονίσει και να πληροφορήσει τους πολίτες αλλά και τους ίδιους τους στρατιώτες να αποφεύγουν να αναφέρουν οποιεσδήποτε πληροφορίες για την κίνηση των πλοίων αφού θα μπορούσε να υποκλαπεί από τον εχθρό και τους μυστικούς του πράκτορες. Αυτό, εκτός από την ουσιαστική και κυριολεκτική έννοια της προστασίας των σκαφών είχε να κάνει και με τη γενικότερη προσπάθεια προώθησης από το Κράτος της επίγνωσης ότι δεν πρέπει να αναφέρονται οποιεσδήποτε πληροφορίες που μπορούσε να θίξουν στρατιωτικές αποστολές, στρατηγικές και γενικότερα εμπιστευτικά θέματα. Σημαντικό η πληροφορία, σημαντικότερο η προφύλαξη της.

Η Interpol συγκαταλέγει την Κοινωνική Μηχανική στα εγκλήματα Απάτης. Στον πυρήνα του συγκεκριμένου τύπου απάτης περιστρέφεται το δεδομένο ότι «όσο δυνατοί κρίκοι στην αλυσίδα της ασφάλειας είναι άνθρωποι άλλο τόσο μπορεί να καταστούν αδύνατοι κάτω από συγκεκριμένες συνθήκες».

Χαρακτηριστικό παράδειγμα είναι η ταινία “Catchmeifyoucan” με τους εξαιρετικούς Tom Hanks και Leonardo Dicaprio όπου βασίζεται στο βίο και τα έργα του FrankWilliamAbagnale, ενός από τους πιο γνωστούς SocialEngineers. Ο Abagnale υπέκλεψε πληροφορίες και καταχράστηκε χρήματα μέσω τουλάχιστον οκτώ (8) διαφορετικών ταυτοτήτων μεταξύ άλλων αυτών του πιλότου, γιατρού και δικηγόρου. Σήμερα, και μετά από την έκτιση της ποινής φυλάκισης του επιτελεί καθήκοντα εκπαιδευτή για θέματα Κοινωνική Μηχανικής και συμβούλου του FBI (Federal Bureau of Investigations).

Την αποδοτικότερη δε ερμηνεία δίνει ακόμα ένας πασίγνωστος Social Engineer και Hacker, ο KevinMitnick, ο οποίος αναφέρει ότι είναι η επιστήμη με την οποία με επιδέξιο τρόπο κάποιο άτομο μπορεί να χειραγωγήσει και να εξαπατήσει ώστε να αποκτήσει μια πιο «οικεία σχέση» με κάποιο άλλο άτομο εργαζόμενο ή μη σε ένα οργανισμό ώστε να προσδώσει πληροφορίες που αυτός εποφθαλμιά.

¶ρα, εν ολίγοις, η αποδοτικότερη λύση για το δράστη που θέλει μια σημαντική πληροφορία είτε αυτή είναι ένα password ή μια πατέντα μια επιχείρησης είναι να ρωτήσει κάποιον. Εργαλεία της Κοινωνικής Μηχανικής είναι η Ψυχολογική Χειραγώγηση και κάποιες συγκεκριμένες τεχνικές.

Οι τεχνικές Social Engineering και Ψυχολογικής Χειραγώγησης πιθανόν να ξεκίνησαν από τον καιρό που άρχισε να χρησιμοποιείται ο Λόγος ως βασικός τρόπος επικοινωνίας. Τέτοιου είδους πολιτικές μηχανικής και χειραγώγησης έντονα παρατηρήθηκαν σε χώρες με απολυταρχικά καθεστώτα όπως για παράδειγμα τη δεκαετία του ΄20 και στη μετάβαση από τον Τσαρισμό σε μια Νέα Σοβιετική Ένωση.

Τύποι Κοινωνικής Μηχανικής και οι αρχές που εκμεταλλεύεται

Υπάρχουν δύο (2) βασικοί τύποι Κοινωνικής Μηχανικής, η Μαζική Απάτη που έχει σκοπό και στόχο μεγάλες ομάδες ανθρώπων και η Στοχευόμενη Απάτη σε μεμονωμένα άτομα και επιχειρήσεις.

Ως βασικό στόχο ο επίδοξος δράστης έχει την πρόσβαση στην Πληροφορία ώστε να αποκτήσει δίοδο σε διάφορα συστήματα ή γενικότερες και σημαντικότερες Πληροφορίες με τις οποίες θα διαπράξει επιχειρηματική κατασκοπεία, κλοπή λογαριασμών, κλοπή προσωπικών δεδομένων (identity theft), σημαντικών επιχειρηματικών εγγράφων, καταστροφή δικτύου και πολλά άλλα. Η μέθοδος που ακολουθεί έχει να κάνει με τέσσερα (4) βασικά στάδια, αυτά της συλλογής των πληροφοριών, την ανάπτυξη σχέσης μεταξύ επιτιθέμενου και θύματος, την εκμετάλλευση του θύματος και τέλος την εφαρμογή του σχεδίου – επίθεση.

Ένα μέγα ερώτημα που εγείρεται είναι γιατί το SocialEngineering δουλεύει. Θα ξεκινήσω από το γνωμικό του Sun Tzu ότι «all warfare is based on deception». Ο Social engineer στηρίζεται σε βασικές αρχές που διέπουν την ανθρώπινη συμπεριφορά και πολλές φορές την καθορίζουν ώστε να την εκμεταλλευτεί και να εφαρμόσει το σχέδιο του.

Πιο συγκεκριμένα οι Αρχές αυτές είναι:

• Της Αμοιβαιότητας, οι άνθρωποι νοιώθουμε κάποια «υποχρέωση» ως προς το συνάνθρωπο μας.
• Της Εξουσίας, οι άνθρωποι έχουμε την τάση να ανταποκρινόμαστε σε άλλα πρόσωπα που κατέχουν ή επικαλούνται θέσεις «εξουσίας».
• Της Κοινωνικής Απόδειξης, οι άνθρωποι έχουμε την τάση να εκλαμβάνουμε άλλους ανθρώπους με κοινά ενδιαφέροντα ως πρότυπα συμπεριφοράς.
• Της Αξίας, αξιολογούμε κάποια σπάνια πράγματα ως μεγαλύτερης αξίας από κάποια που είναι πιο κοινά.
• Της Συνέπειας και της Δέσμευσης, έχουμε την τάση να προσπαθούμε να διατηρήσουμε την εικόνα και τα στοιχεία για τον εαυτό μας.

Οι πιο διαδεδομένες τεχνικές

Συνειρμικά τότε καταλήγουμε στις τεχνικές που ακολουθούν οι Κοινωνικοί  Μηχανικοί.

Υπάρχει μια πληθώρα τρόπων με τους οποίους κάποιος μπορεί να θίξει ένα ανυποψίαστο θύμα, ανεξαρτήτως αυτού όμως όλες στηρίζονται σε μια κοινή μεταβλητή ότι το θύμα βρίσκεται σε ένα “comfortzone“. Σε ένα περιβάλλον οικείο, άρα είναι και εφησυχασμένο ότι είναι «απίθανο» να υπάρξει κάποιο πρόβλημα.

Μια από τις πιο βασικές τεχνικές είναι αυτή του «DumpsterDiving» ή αλλιώς «Trashing». Κάθε λογής πληροφορία που σε εμάς φαντάζει άχρηστη υπάρχει μεγάλη πιθανότητα να πετάγεται στα σκουπίδια. Τα έγγραφα αυτά πολλές φορές έχουν να κάνουν με πελατολόγιο, λογιστικά θέματα και γενικότερα το «ποιος», «τι» και «που» μιας επιχειρήσεις ή ενός νοικοκυριού.

Ακόμα μια διαδεδομένη τεχνική είναι αυτή του «Pretexting». Στη συγκεκριμένη τεχνική χρησιμοποιείται η «εξουσία» ως μοχλός πίεσης του θύματος, παριστάνοντας συνάδελφο, αστυνομία, τράπεζα, δημόσιες υπηρεσίες και άλλα. Πιο συγκεκριμένα, χρησιμοποιείται ένα εικονικό σενάριο τις πλείστες φορές δια μέσω τηλεφώνου ώστε ο «δράστης» να αποκομίσει διάφορες πληροφορίες. Οπότε, εκμεταλλευόμενος λίγες πληροφορίες όπως όνομα πατρός ή τόπο γέννησης, με τη μέθοδο του pretext προσπαθεί να αποσπάσει πιο σημαντικού τύπου πληροφορίες π.χ για τον τραπεζικό του λογαριασμό. Η συγκεκριμένη τεχνική χρησιμοποιείται συχνά ώστε να θίξει επιχειρήσεις μέσω των πιο χαμηλόβαθμων στελεχών τους. Τα τρία (3) συστατικά στοιχεία της συγκεκριμένης τεχνικής ώστε να αποδώσει είναι ο σωστός τόνος, το κατάλληλο φύλο και η προετοιμασία.

«Phishing», ακόμα μια σύνηθες τεχνική όπου αυτή τη φορά ως μέσω «επίθεσης»-επαφής είναι το email. O engineer παρουσιάζεται να είναι μέσω κάποιας νόμιμης εταιρείας με την οποία συνεργάζεται το θύμα. Συνήθως, παρουσιάζεται μια επείγουσα κατάσταση όπου κάποια στοιχεία χάθηκαν ή λήξαν και πρέπει να επανακαταχωριθούν. Οπότε το θύμα παραπέμπεται σε ένα εικονικό link το οποίο έχει δημιουργηθεί από τον «phisher» ώστε να μοιάζει με νόμιμο site (λογότυπα, τρόποι επικοινωνίας, διευθύνσεις κεντρικών γραφείων και άλλα).

Αυτές και ακόμα τόσες τεχνικές γίνονται τα μέσα και ευκαιρία για το υπέρτατο κίνητρο που είναι η απόκτηση της Πληροφορίας. Απόδειξη είναι μια από τις τελευταίες μεγάλες στατιστικές μελέτες από την ISACA και την RSA στην οποία παρουσιάζεται η παγκόσμια δραστηριότητα με τα σχετικά θέματα που αφορούν το cybersecurity. Στην συγκεκριμένη μελέτη ιδιαίτερη σημασία δίνεται στα μεγάλα ποσοστά Social Engineering. Ακόμα ένα χαρακτηριστικό παράδειγμα ότι η Κοινωνική Μηχανική είναι «εδώ» και εμείς πρέπει να την λάβουμε σοβαρά υπόψη είναι η ανάρτηση από την ίδια την Google για τις επιπλέον δικλίδες ασφαλείας για μια ασφαλέστερη περιήγηση στο διαδίκτυο και τον κίνδυνο της υποκλοπής προσωπικών δεδομένων μέσω απάτης και Social Engineering.

Αντιμετώπιση

Όπως σε όλα τα θέματα Ασφάλειας έτσι και σε αυτό η πρόληψη είναι η Υπέρτατη ¶μυνα. Οι βασικοί τρόποι αντιμετώπισης έχουν να κάνουν με τρεις (3) βασικούς πυλώνες: την εκπαίδευση και ενημέρωση του προσωπικού, την πρακτική έρευνα της τρωτότητας της επιχείρησης (penetration testing) και κυρίως τη δημιουργία πολιτικών ασφαλείας και διαχείρισης της Πληροφορίας.

Ο ιδρυτής της εταιρείας antivirus McAfee τόνισε ότι το Social Engineering έγινε το κύριο εργαλείο στο 75% των hackers και για τους πιο γνωστούς και επιτυχημένους είναι στο 90%. Η Κοινωνική Μηχανική είναι μια πραγματικότητα και ένα θέμα υψίστης Ασφαλείας , είναι οπότε καθήκον μας ως επαγγελματίες του τομέα αλλά και ως πολίτες και «κάτοχοι» προσωπικών πληροφοριών να εντάξουμε και εμείς στη δική μας εργαλειοθήκη την πρόληψη και τη γνώση για αντιμετώπιση αυτής της απάτης. Στον αγώνα αυτό ας βάλουμε στόχο να έρθουμε πρώτοι.