Linux Inside
55
νο τον τεχνικό Αλέξη Κ., που στην πραγματικότητα είναι ο κοι-
νωνικός μηχανικός.
–
Αλέξη, είχες δίκιο. Αυτή η καταραμένη βλάβη επηρέασε
και εμένα. Σε παρακαλώ, φτιάξε το άμεσα.
–
ΟΚ. Θα κάνω ό,τι μπορώ. Δοκίμασε και πάλι σε 20 λεπτά
και πάρε με τηλέφωνο να με ενημερώσεις αν όλα είναι εντά-
ξει.
Η Σοφία ξαναπαίρνει τον «τεχνικό» και τον ευχαριστεί για
την άμεση αποκατάσταση της «βλάβης». Στην πραγματικότη-
τα, η θύρα ήταν απενεργοποιημένη για λίγα λεπτά και δεν
υπήρχε καμία βλάβη.
–
Όλα είναι εντάξει τώρα, Αλέξη, σ’ ευχαριστώ.
–
Χαίρομαι. Αλλά για να μη σου ξανασυμβεί, πρέπει να κά-
νεις κάτι και πάλι.
–
Μα σου είπα ότι είμαι άσχετη από υπολογιστές...
–
Μια χαρά τα κατάφερες και πριν. Λοιπόν, θα μπεις στο
Ίντερνετ. Θα κατεβάσεις αυτό το μικρό πρόγραμμα που θα
σου πω και θα το εγκαταστήσεις στον υπολογιστή σου.
Η Σοφία τώρα αισθανόταν γκουρού στους υπολογιστές.
Μόνο που είχε εγκαταστήσει έναν Δούρειο Ίππο στο PC της
με το δήθεν patch της σελίδας που της υπέδειξε ο «τεχνικός»
Αλέξης.
Συμπεράσματα
Οι παραπάνω ιστορίες μάς διδάσκουν ότι όσο καλά προ-
στατευμένος και αν είναι ο υπολογιστής μας μέσω λογισμικού
και πανάκριβου εξοπλισμού, θα υπάρχει πάντα ένας μεγάλος
κίνδυνος: η ανθρώπινη φύση που εξαπατάται εύκολα. Θα
πρέπει λοιπόν να προσέχουμε, γιατί ακόμη και μία φαινομενι-
κά ασήμαντη πληροφορία μπορεί να οπλίσει έναν κακόβουλο
κοινωνικό μηχανικό...
•
Κοινωνική Μηχανική
Σύνδεσμοι
[1]
Wikipedia - Kevin Mitnick:
[2]
Wikipedia - Social Engineering:
[3]
Kevin Mitnick «The Art of Deception” (2005)
[4]
Kevin Mitnick: «The Art Of Intrusion» (2002)
[5]
Kevin Mitnick: «Ghost in the Wires» (2011)
[6]
Ταινία «Freedom DownTime» από το περιοδικό «2600»:
[7]
Συνέντευξη του Mitnick στο «2600» το 2003:
Pretexting
Είναι η βασική τεχνική. Εδώ ο επιτιθέμε-
νος κατασκευάζει και εφαρμόζει ένα σενά-
ριο στο θύμα του, με στόχο να του απο-
σπάσει τις πληροφορίες που θέλει. Συνή-
θως, το pretexting βασίζεται σε ένα αληθο-
φανές ψέμα, μία πληροφορία για τις συνή-
θειες του θύματος και σχεδόν πάντα στην
προσποίηση κάποιου άλλου προσώπου.
Πολλές φορές, ο επιτιθέμενος αρκεί να
θέσει μερικές εύστοχες ερωτήσεις σε
έναν άνθρωπο του οποίου έχει κερδίσει
την εμπιστοσύνη.
Κλοπή με εκτροπή
Πρόκειται για τεχνική που προέρχεται από τους
κοινούς κλέφτες. Έχει στόχο να εκτρέψει το θύ-
μα από τον αρχικό προορισμό του, με σκοπό την
κλοπή. Στο πιο απλό σενάριο, ο επιτιθέμενος
επιχειρεί εξαπατά έναν μεταφορέα (π.χ., μίας
πληροφορίας) ότι ο παραλήπτης δεν βρίσκεται
εκεί που νομίζει, αλλά εκεί που θα του πει ο
ίδιος, με σκοπό να υποκλέψει αυτό που μεταφέ-
ρει. Μία παραλλαγή είναι ο συνδυασμός
pretexting με εκτροπή. Με αυτήν, ο επιτιθέμε-
νος ξεφουρνίζει μία πιστευτή ιστορία σε κάποι-
ον ανώτερο υπάλληλο, για να τον πείσει να αλ-
λάξει ο ίδιος τις οδηγίες προς το μεταφορέα και
να τον κατευθύνει εκεί που θέλει, ώστε να του
πάρει την πληροφορία.
Phishing
Εδώ έχουμε με μία ομάδα τεχνικών που όλες
αποσκοπούν να εξαπατήσουν το θύμα ώστε να
δώσει μία ιδιωτική ή απόρρητη πληροφορία. Για
παράδειγμα, phishing είναι τα e-mails που λαμ-
βάνουμε όπου κάποιος άγνωστος μας πληροφο-
ρεί ότι κερδίσαμε ένα εκατομμύριο δολάρια και
θέλει «απλώς» να του απαντήσουμε στο e-mail
με τον τραπεζικό λογαριασμό μας (σ.σ.: Φτου!
Ώστε ήταν απατεώνες; Εγώ περίμενα το εκα-
τομμύριο!). Παλιότερα, αυτό γινόταν και μέσω
τηλεφώνου (phone phishing), όπου ένα αυτόμα-
το σύστημα ή ο θύτης ζητούσε από το θύμα να
του δώσει κωδικούς ή PIN, δήθεν για να επιβε-
βαιώσει ή να διορθώσει κάτι. Ακόμα, υπάρχει το
baiting, όπου ο επιτιθέμενος αφήνει ένα κατάλ-
ληλο δόλωμα, π.χ., ένα USB stick με δήθεν
απόρρητα στοιχεία, σε ένα σημείο για να το δει
και να το πάρει το θύμα. Στην πράξη, το δόλωμα
είναι Δούρειος Ίππος. Αρκεί το θύμα να το ει-
σαγάγει στον υπολογιστή του και τα υπό-
λοιπα θα τα αναλάβει το κακόβουλο λογι-
σμικό που θα εγκατασταθεί κάτω από τη
μύτη του.
Quid pro quo
Στα Λατινικά, σημαίνει «κάτι για κάτι άλ-
λο». Το σκεπτικό είναι απλό: Δώσε σε κά-
ποιον κάτι που έχει ανάγκη για να του
αποσπάσεις κάτι πολύ πιο σημαντικό,
π.χ., τον κωδικό του υπολογιστή του. Στην
πιο απλή περίπτωση, κάποιος καλεί τυχαί-
ους εσωτερικούς αριθμούς σε μία εται-
ρεία, παριστάνοντας τον τεχνικό που καλεί για
να λύσει κάποιο πρόβλημα. Μόλις βρει έναν
υπάλληλο που αντιμετωπίζει κάποιο πρόβλημα,
του το λύνει, ενώ παράλληλα τον ωθεί να του
δώσει πρόσβαση στον υπολογιστή του. Το δεύ-
τερο παράδειγμα με τη γραμματέα περιέχει μία
μορφή quid pro quo σε συνδυασμό με pretexting.
Tailgating
H πιο απλή και τυπική τεχνική για να αποκτήσει
κάποιος μη εξουσιοδοτημένη πρόσβαση σε ένα
μέρος με αυτόματο σύστημα ασφαλείας. Απλώς
ακολουθεί έναν εξουσιοδοτημένο και ανυποψία-
στο υπάλληλο έως την πόρτα με το σύστημα
ασφαλείας και μπαίνει μαζί του. Ο υπάλληλος
μπορεί από ευγένεια να του κρατήσει την πόρτα
ανοικτή χωρίς καν να ρωτήσει ποιος είναι ή, αν
τον ρωτήσει, μπορεί να πιστέψει την ιστορία
που θα του πει ο επιτιθέμενος για να του ανοί-
ξει την πόρτα.
Βασικές Τεχνικές Κοινωνικής Μηχανικής