Κοινωνική μηχανική και κοινωνικά δίκτυα...

[ledia25]

Η Κοινωνική Μηχανική (Social Engineering) για όσους πιθανότατα δεν γνωρίζουν αναφέρεται σε μία μέθοδο επίθεσης και βιομηχανικής κατασκοπίας, κατά την οποία δεν χρησιμοποιούνται τεχνικά μέσα. Με απλά λόγια είναι μια επίθεση που συνήθως χρησιμεύει σε hackers για να αποκτήσουν πρόσβαση σε δίκτυα μεγάλων εταιρειών ή να στοχεύσουν μεμονωμένα άτομα, ανάλογα με το σκοπό της επίθεσης.

Σκοπός αυτού του άρθρου είναι να αναδείξει τη σημαντικότητα της προστασίας δεδομένων στο διαδίκτυο και την άμεση σχέση με την κοινωνική μηχανική.

 

Ενα παράδειγμα επίθεσης κοινωνικής μηχανικής περιλαμβάνει τον επιτιθέμενο, το θύμα και την αξιοποίηση της πληροφορίας. Φανταστείτε ότι έχετε δημοσιεύσει στο facebook κάποιους αγαπημένους προορισμούς και μέρη τα οποία έχετε επισκεφτεί, μιλώντας με θαυμασμό. Ένας επιτιθέμενος ο οποίος σας έχει βάλει ως στόχο θα μπορούσε να εκμεταλλευτεί αυτήν την πληροφορία να σας καλέσει στο τηλέφωνο (εύρεση μέσω καταλόγου ή ακόμα και από το ίδιο το facebook ή με την αποστολή e-mail). Στη συνέχεια ο επιτιθέμενος σας ζητάει να του δώσετε προσωπικά σας στοιχεία, με την δικαιολογία ότι έχετε κερδίσει ένα χρηματικό ποσό από κλήρωση που έγινε για τους πελάτες του ξενοδοχείου Χ, στο οποίο είχατε διαμείνει το διάστημα που είχατε επισκεφτεί τα μέρη που περιγράφετε στο προφίλ σας. Πιθανότατα εσείς θα τον εμπιστευτείτε αφού διαθέτει τόσες πληροφορίες για εσάς, και θα του δώσετε στοιχεία ταυτότητας και ίσως και τραπεζικό λογαριασμό. Το επόμενο βήμα θα είναι να τηλεφωνήσει στην τράπεζά σας και να προσποιηθεί ότι είστε εσείς, υποστηρίζοντας ότι μπλόκαρε τον ηλεκτρονικό λογαριασμό που χρησιμοποιούσε για τις online πληρωμές και ότι θα χρειαστεί νέο κωδικό. Τα στοιχεία που θα του ζητήσει η τράπεζα είναι ήδη στα χέρια του και το αίτημα προχώρα. Με αυτόν τον τρόπο είναι πολύ εύκολο να χάσετε χρήματα και να μην αντιληφθείτε το γεγονός καθόλου, τουλάχιστον όχι στην αρχή.

 

Είναι ένα από τα πολλά παραδείγματα, τα οποία όμως συμβαίνουν στην πραγματικότητα και οι περισσότεροι από εμάς δεν γνωρίζουμε τους κινδύνους που διατρέχουμε από την υπερέκθεση των προσωπικών μας στοιχείων. Ακόμη μεγαλύτερος είναι ο κίνδυνος για τις επιχειρήσεις, αν μάλιστα σκεφτούμε την αύξηση της χρήσης του Linkedin, το οποίο είναι ένα κοινωνικό δίκτυο, αποκλειστικά σχεδιασμένο για επαγγελματίες. Πολλοί από τους χρήστες δημοσιεύουν ολόκληρο το βιογραφικό τους και πολλές φορές το μοιράζονται με άτομα που δεν γνωρίζουν. Οι τρόποι εκμετάλλευσης αυτών των πληροφοριών είναι άπειροι και μπορούν να οδηγήσουν στην παραβίαση της περιμετρικής ασφάλειας μιας εταιρείας και να θέσουν σε κίνδυνο ευαίσθητα δεδομένα και την επιχειρηματική συνέχεια.

[NiKoS WSN]

Πρώτον είναι πάρα πολύ ωραίο αυτό το κείμενο και πραγματικά το διάβασα με θαυμασμό καθώς δεν ήξερα τίποτα, δεύτερον θα ήταν καλύτερο να το έβαζες στο φόρουμ ειδήσεις και τρίτον αν δεν το έγραψες εσύ μπορείς να μου πεις την πηγή από όπου το βρήκες ....

 

edit

 

το βρήκα και στο site σου/εταιρίας σου αλλά και πάλι μπορεί να είναι παρμένο από μία συγκεκριμένη πηγή

[EyeofOne]

Πρώτον είναι πάρα πολύ ωραίο αυτό το κείμενο και πραγματικά το διάβασα με θαυμασμό καθώς δεν ήξερα τίποτα, δεύτερον θα ήταν καλύτερο να το έβαζες στο φόρουμ ειδήσεις και τρίτον αν δεν το έγραψες εσύ μπορείς να μου πεις την πηγή από όπου το βρήκες ....

 

edit

 

το βρήκα και στο site σου/εταιρίας σου αλλά και πάλι μπορεί να είναι παρμένο από μία συγκεκριμένη πηγή

 

 

αν σε ενδιαφέρουν τα περί της κοινωνικής μηχανικής να διαβάσεις το "Κέβιν Μιτνικ Η τέχνη της απάτης"...

στα αγγλικά έχει τίτλο "The Art of Deception: Controlling the Human Element of Security"

[lexmark]

+1 στον από πάνω!

[Gi0]

Απο τις καλυτερες πηγες για το social engineering

http://www.social-engineer.org/ και το προσφατο βιβλιο που εβγαλαν λιγες βδομαδες πριν

http://www.amazon.com/Social-Engineering-Art-Human-Hacking/dp/0470639539

 

..και ενα blog post που ειχα κανει επι του θεματος

[NiKoS WSN]

αν σε ενδιαφέρουν τα περί της κοινωνικής μηχανικής να διαβάσεις το "Κέβιν Μιτνικ Η τέχνη της απάτης"...

στα αγγλικά έχει τίτλο "The Art of Deception: Controlling the Human Element of Security"

 

Το βρήκα και μάλλον θα το αγοράσω να το διαβάσω έχουμε κριτικές για το βιβλίο; και βασίκα θα μπορώ να το διαβάσω (14χρονών)

[Gi0]

Το βρήκα και μάλλον θα το αγοράσω να το διαβάσω έχουμε κριτικές για το βιβλίο; και βασίκα θα μπορώ να το διαβάσω (14χρονών)

Nαι θα μπορεις ανετα.Δεν χρειαζεται να εχεις καποιες συγκεκριμενες γνωσεις για να το παρακολουθησεις.

[ntaryl]

Δαγκωτο <<Η τεχνη της Απατης >>

[Cromb]

Δηλαδή εσείς πιστεύετε σοβαρά οτι αν κάποιος ξέρει τα στοιχεία μου και τον αριθμό λογαριασμού μου η τράπεζα θα του στείλει τους κωδικούς της online συναλλαγής μου και θα μου κλέψει λεφτά?

[lexmark]

Δεν πιστεύουμε σε κάτι που δεν έχει γίνει ποτέ

 

Ωραίο άρθρο Gi0. Βάλε και κανένα like για εμάς που βαριόμαστε να γράφουμε σχόλια!!

[andreasl]

Έριξα μια ματιά στα links και μου τράβηξε την προσοχή η περίπτωση της πίτσας. Παρόμοια περίπτωση μου είχε τύχει με το plus4u.gr που ήθελα να στείλω ένα δώρο και να πληρώσω με την πιστωτική μου. Αυτοί δεν πραγματοποιούσαν την πληρωμή αν δεν τους έστελνα πρώτα στο φαξ φωτοτυπία της ταυτότητας μου. Τους πήρα τηλέφωνο και τους ρώτησα πως είναι δυνατόν να ψωνίζω παντού χωρίς πρόβλημα και αυτοί να ζητάνε τέτοια προσωπικά δεδομένα. Μου απάντησαν κάτι αδιευκρίνιστα περί πολιτικής της εταιρείας, δεν ξέρουμε, δεν είδαμε κλπ. Εν τέλει -επειδή είχε καθυστερήσει το πράμα- το πήρα το δώρο στο σπίτι μου με αντικαταβολή και το έστειλα μόνος μου, αλλά δε νομίζω ότι θα ξαναψώνιζα ποτέ από αυτούς.

 

Δεν πρόκειται για κανονικό φακέλωμα που ελοχεύει κινδύνους ανάλογα σε ποιανού τα χέρια θα βρεθούν τα δεδομένα;

[SOWHAT]

Αυτό εμένα μου κάνει με ΩΜΗ μηχανική... ^_^

[NiKoS WSN]

Ωραία με πείσατε όποτε μπορέσω θα πάω να το αγοράσω το βιβλιαράκι...