Σχολή Θετικών Επιστημών και Τεχνολογίας
Πληροφορική
Πτυχιακή Εργασία
Κοινωνική Μηχανική (Social Engineering): Τεχνικές χειραγώγησης ατόμων για την απόσπαση πληροφορίας μέσω υπολογιστικών
συστημάτων
Βασίλειος Αναγνωστόπουλος
Επιβλέπων καθηγητής: Κωνσταντίνος Πατσάκης
Πάτρα, Ιούνιος 2021
Η παρούσα εργασία αποτελεί πνευματική ιδιοκτησία του φοιτητή («συγγραφέας/δημιουργός») που την εκπόνησε. Στο πλαίσιο της πολιτικής ανοικτής πρόσβασης ο συγγραφέας/δημιουργός εκχωρεί στο ΕΑΠ, μη αποκλειστική άδεια χρήσης του δικαιώματος αναπαραγωγής, προσαρμογής, δημόσιου δανεισμού, παρουσίασης στο κοινό και ψηφιακής διάχυσής τους διεθνώς, σε ηλεκτρονική μορφή και σε οποιοδήποτε μέσο, για διδακτικούς και ερευνητικούς σκοπούς, άνευ ανταλλάγματος και για όλο το χρόνο διάρκειας των δικαιωμάτων πνευματικής ιδιοκτησίας. Η ανοικτή πρόσβαση στο πλήρες κείμενο για μελέτη και ανάγνωση δεν σημαίνει καθ’ οιονδήποτε τρόπο παραχώρηση δικαιωμάτων διανοητικής ιδιοκτησίας του συγγραφέα/δημιουργού ούτε επιτρέπει την αναπαραγωγή, αναδημοσίευση, αντιγραφή, αποθήκευση, πώληση, εμπορική χρήση, μετάδοση, διανομή, έκδοση, εκτέλεση, «μεταφόρτωση» (downloading), «ανάρτηση»
(uploading), μετάφραση, τροποποίηση με οποιονδήποτε τρόπο, τμηματικά ή περιληπτικά της εργασίας, χωρίς
Κοινωνική Μηχανική (Social Engineering): Τεχνικές χειραγώγησης ατόμων για την απόσπαση πληροφορίας μέσω υπολογιστικών
συστημάτων
Βασίλειος Αναγνωστόπουλος
Επιτροπή Επίβλεψης Πτυχιακής Εργασίας Επιβλέπων Καθηγητής:
Ευάγγελος Σακκόπουλος Καθηγητής ΕΑΠ
Συν-Επιβλέπων Καθηγητής:
Ιωάννης Μαυρίδης Καθηγητής ΕΑΠ
Πάτρα, Ιούνιος 2021
Με την παρούσα εργασία θα ήθελα πρωτίστως να ευχαριστήσω τον καθηγητή μου στο ΕΑΠ και επιβλέπον της παρούσας εργασίας κ Πατσάκη Κωνσταντίνο, για την έμπνευση που μου ενεφύσησε για την ασφάλεια των υπολογιστών, ανοίγοντάς μου λεωφόρους γνώσεων, αχαρτογράφητους σε εμένα.
Δεν θα μπορούσα βέβαια μέσα από αυτό το κομμάτι των ευχαριστιών, να παραλείψω την οικογένεια μου και ιδιαίτερα τη σύζυγό μου Μαρία Ευαγγελία Γλεντζέ, για την αμέριστη συμπαράσταση και κατανόηση που έδειξε, σε όλη τη χρονική περίοδο φοιτήσεως μου στο ΕΑΠ, επιστέγασμα της οποίας είναι η εκπόνηση της παρούσας Πτυχιακής εργασίας.
Περίληψη
Η Κοινωνική Μηχανική ή Social Engineering όπως έχει επικρατήσει στη διεθνή βιβλιογραφία, είναι μια νέα «Επιστήμη» της Ασφάλειας Υπολογιστών, που αναπτύσσεται με σκοπό την χειραγώγηση ατόμων, προκειμένου να αποσπαστούν εμπιστευτικές πληροφορίες οι οποίες είναι απαραίτητες για την πρόσβαση σε υπολογιστικά συστήματα.
Η ιδιάζουσα αυτή τεχνική απόσπασης πληροφορίας, σε πολλά σημεία της ξεφεύγει από τον ακριβή ορισμό, της προσπάθειας εισόδου σε περιοχή μη εξουσιοδοτημένης πρόσβασης εκμεταλλευόμενοι κενά ασφαλείας, αφού οι τεχνικές που χρησιμοποιούνται, αγγίζουν περισσότερο τα όρια της ψυχολογική καθυπόταξης και υποκίνησης μέσω χειραγώγησης.
Στην παρούσα εργασία θα αναπτύξουμε τον τρόπο λειτουργίας της Κοινωνικής Μηχανικής καθώς και τις τεχνικές που ευρέως χρησιμοποιούνται.
Η ανάγκη της ανάπτυξης μεθόδων Κοινωνικής Μηχανικής και εργαλείων που την υποστηρίζουν, βασίστηκε στην εξερεύνηση νέων τρόπων διείσδυσης, αφού τα σύγχρονα μέσα προστασία αναπτύχθηκαν και τελειοποιήθηκαν σε πολύ μεγάλο βαθμό και έγιναν σχεδόν αδύνατα να παρακαμφθούν.
Θα παρουσιάσουμε τα εργαλεία που χρησιμοποιούν οι επίδοξοι Κοινωνικοί Μηχανικοί, με έμφαση στα εργαλεία που βασίζονται στο λογισμικό. Μέσα από την παρουσίαση αυτών των εργαλείων θα αναδειχτεί και η ιδιαιτερότητα της Κοινωνικής Μηχανικής, όταν εφαρμόζεται εναντίον υπολογιστικών συστήματα και ειδικότερα εναντίων των χειριστών αυτών.
Για την ακρίβεια, η ουσία και η επιτυχία της Κοινωνικής Μηχανικής βασίζεται στις ανθρώπινες αδυναμίες των χειριστών των συστημάτων αυτών, στην παραπλάνηση και εξαπάτηση τους, προκειμένου να τους αποσπάσουν την πληροφορία και κατ’ επέκταση την πρόσβαση.
Τέλος με την βοήθεια Εικονικού Εργαστηρίου θα προσομοιάσουμε τις τεχνικές και την μεθοδολογία, όπως αυτή αναφέρεται στην διεθνή βιβλιογραφία, ώστε να εξάγουμε ασφαλή συμπεράσματα για τους τρόπους θωράκισης των δυνητικών στόχων της Κοινωνικής Μηχανικής.
Λέξεις – Κλειδιά
Κοινωνική Μηχανική, Ασφάλεια Υπολογιστών, Λογισμικό Ασφαλείας, Διείσδυση, μη εξουσιοδοτημένη Πρόσβαση, Προστασία Υπολογιστών
Social Engineering: Manipulation techniques for extracting information through Computer Systems
Vasileios Anagnostopoulos
Abstract
Social Engineering is a new "Science" of Computer Security, developed for the purpose of manipulation, in order to extract confidential information that is necessary to access computer systems.
This peculiar technique of extracting information, in many parts of it, goes beyond the definition of trying to get access by exploiting security gaps. Social Engineering techniques are moved to the limit of psychological subjugation and stimulation through manipulation..
In this study we will see the ways and how the Social Engineering operating, as well as the techniques that are widely used.
We will present the tools are used by aspiring Social Engineers with an emphasis on software-based tools.
The presentation of those tools will highlight the uniqueness of Social Engineering when applied against computer systems and in particular against the users of them.
The success of Social Engineering is based on the human weaknesses of the users of those systems, their deception and deception, in order to extract information and get access to them.
Finally, constructing a Virtual Laboratory, we will simulate the techniques and methodology, as it is mentioned in the international literature, in order to take conclusions about the ways and how to shielding our computer Systems.
Keywords
Social Engineering, Computer Security, hacking, user weaknesses
Περιεχόμενα
Περίληψη... v
Abstract ... vi
Περιεχόμενα ... vii
Κατάλογος Εικόνων / Σχημάτων ... ix
Κατάλογος Πινάκων ... xiii
Συντομογραφίες & Ακρωνύμια ... xiv
1. Εισαγωγή ... 1
1.1 Κυβερνοασφάλεια και Κυβερνοέγκλημα ... 2
1.1.1 Κυβερνοεγκληματίες ... 2
1.1.2 Απειλές από Ενδεχόμενη Κυβερνοεπίθεση... 4
1.2 Τι είναι η Κοινωνική Μηχανική ... 6
1.2.1 Πως δουλεύει η Κοινωνική Μηχανική ... 9
1.2.2 Η «Πυραμίδα» της Κοινωνικής Μηχανικής ... 12
1.2.3 Χαρακτηριστικά του Κυβερνοχώρου που Εκμεταλλεύεται η Κοινωνική Μηχανική ... 13
1.3 Επιπτώσεις από την μη Εξουσιοδοτημένη Απόσπαση Πληροφορίας ... 15
1.3.1 Οικονομικές Επιπτώσεις ... 19
1.3.2 Απώλεια Εμπιστοσύνης ... 21
2. Είδη Επιθέσεων Κοινωνικής Μηχανικής ... 23
2.1 Επιθέσεις μέσω υπολογιστικών συστημάτων ... 23
2.1.1 Η μέθοδος phishing attack (επίθεση ψαρέματος) ... 23
2.1.2 Η μέθοδος Pharming/DNS cache poisoning ... 25
2.1.3 Η μέθοδος Typosquatting/URL hijacking ... 26
2.1.4 Η μέθοδος Clickjacking ... 26
2.1.5 Η μέθοδος Scareware ... 26
2.2 Επιθέσεις που στοχεύουν απευθείας στον άνθρωπο ... 26
2.2.1 Επίθεση Piggybacking ... 27
2.2.2 Επίθεση Impersonating ... 28
2.2.3 Επίθεση Eavesdropping ... 28
2.2.4 Επίθεση Reverse social engineering ... 28
2.2.5 Επίθεση Dumpster diving ... 29
2.3 Είδη συνημμένων αρχείων σε κακόβουλες επιθέσεις ... 29
3. Διαθέσιμα Εργαλεία Κοινωνικής Μηχανικής ... 30
3.1 Τα εργαλεία που υποστηρίζουν επιθέσεις Phishing ... 34
3.1.1 Spear-Phishing Attack από τα εργαλεία SET ... 35
3.2 Εργαλεία που υποστηρίζουν επιθέσεις Pharming/DNS cache poisoning για τη δημιουργίας κακόβουλων ιστοσελίδων ... 44
3.2.1 Credential Harvester Attack Method από τα εργαλεία SET ... 45
3.2.2 Το εργαλείο κλωνοποίησης ιστοσελίδων Shellphish ... 50
3.3 Τεχνικές απόκρυψης κακόβουλων αρχείων και συνδέσμων (link) σε επιθέσεις clickjacking ... 53
3.3.1 Δημιουργία κακόβουλου κώδικα με αυτοματοποιημένο τρόπο ... 54
3.3.2 Τρόποι απόκρυψης κακόβουλών εκτελέσιμων αρχείων ... 60
3.3.3 Απόκρυψη κακόβουλών συνδέσμων URL με τη χρήση του εργαλείου
MaskPhish ... 67
3.3.4 Απόκρυψη (stealth) κακόβουλών εκτελέσιμων αρχείων με τη χρήση του εργαλείου Shellter ... 70
3.4 Άλλα εργαλεία Κοινωνικής Μηχανικής... 73
3.4.1 Εργαλεία Συλλογής Πληροφοριών OSINT ... 73
3.4.2 Εξερευνώντας το δίκτυο με την εφαρμογή NMap ... 75
3.4.3 Το εργαλείο Maltego ... 84
3.4.4 Το εργαλείο OSIF (Open Source Information Facebook) ... 87
3.5 Εργαλεία Μη εξουσιοδοτημένης εισόδου σε τοπικά δίκτυα ... 90
3.5.1 Το εργαλείο Wifiphisher ... 93
4. Άμυνα εναντίον επιθέσεων Κοινωνικής Μηχανικής ... 98
4.1 Αναγνώριση ύποπτου μηνύματος ηλεκτρονικής Αλληλογραφίας ... 98
4.2 Ανάλυση Επικεφαλίδων (Header) υπόπτου email ... 99
4.2.1 Εμφάνιση Επικεφαλίδων μηνύματος ηλεκτρονικού ταχυδρομείου ... 101
4.2.2 Η διαδικασία καταγραφής δεδομένων στις επικεφαλίδες ηλεκτρονικής αλληλογραφίας ... 103
4.2.3 Εξέταση επικεφαλίδων για τον εντοπισμό ύποπτων μηνυμάτων ... 104
4.2.4 Το εργαλείο Google Message Header Analyzer ... 108
4.3 Ανάλυση διεύθυνσης URL υπόπτων ιστοσελίδων ... 109
4.3.1 Ο σωστός τρόπος ανάγνωσης ενός URL ... 110
4.3.2 Μέθοδοι αποκάλυψης κακόβουλων URL ελέγχοντας τον κώδικα HTML .... 112
4.3.3 Μέθοδοι αποκάλυψης κακόβουλων URL που εμφανίζονται σε συντομευμένη μορφή ... 117
4.3.4 Μέθοδοι αποκάλυψης κακόβουλων URL που εμφανίζουν αναδυόμενη ετικέτα όταν ο δείκτης του ποντικιού τοποθετηθεί σε αυτές ... 119
4.4 Τα εργαλεία oletools εναντίων επιθέσεων μέσω αρχείων VBA ... 121
4.4.1 Επίθεση Κοινωνικής Μηχανικής δια μέσου αρχείων VBA ... 121
4.4.2 Εξέταση αρχείων VBA με τα εργαλεία Oletool ... 123
5. Συμπεράσματα ... 128
5.1 Ο άνθρωπος ως ο πιο αδύναμος κρίκος της Ασφάλειας ... 128
5.2 Ψηφιακά εργαλεία Κοινωνικής Μηχανικής ... 129
6. Επίλογος ... 131
Βιβλιογραφία ... 132
Παράρτημα Α: Εγκατάσταση Εργαστηρίου Δοκιμών σε Εικονική Μηχανή ... 134
Κατάλογος Εικόνων / Σχημάτων
Εικόνα 1- 1 Κυβερνοεγκληματίες ... 3
Εικόνα 1- 2 Κοινωνική Μηχανική: Η τέχνη της χειραγώγησης ... 7
Εικόνα 1- 3 Ποσοστά επιθέσεων phishinh σε επιχειρήσεις σε όλον τον κόσμο ... 16
Εικόνα 1- 4 Συνέπειες από επιτυχημένες επιθέσεις phishing ... 16
Εικόνα 1- 5 Γνωστοί οργανισμοί που δέχθηκαν επιθέσεις phishing ... 16
Εικόνα 1- 6 Οι 5 ευρέως χρησιμοποιούμενοι τίτλοι θέματος στα κακόβουλα μηνύματα .. 17
Εικόνα 1- 7 Στατιστικό διάγραμμά της αύξησης των επιθέσεων phishing σε ιστοσελίδες 18 Εικόνα 2- 8 Η χρήση ηλεκτρονικής αλληλογραφίας ως μέσο επιθέσεων Κοινωνικής Μηχανικής ... 24
Εικόνα 2- 9 Η μέθοδος phishing attack ... 25
Εικόνα 2- 10 Επιθέσεις μέσω τηλεφωνικών συνδιαλέξεων ... 27
Εικόνα 3- 11 Η διαμονή Kali Linux ... 30
Εικόνα 3- 12 Τα εργαλεία SET στη διανομή Kali Linux ... 32
Εικόνα 3- 13 Κλήση των εργαλείων SE μέσω τερματικού ... 32
Εικόνα 3- 14 Η αρχική οθόνη επιλογών των εργαλείων SET... 33
Εικόνα 3- 15 To menu Social Engineering στο SE Toolkit ... 34
Εικόνα 3- 16 Επίθεση Spear-Phishing από τη συλλογή SEToolkit ... 35
Εικόνα 3- 17 Οι επιλογές του είδους αρχείου που θα χρησιμοποιηθούν στην επίθεση ... 36
Εικόνα 3- 18 Επιλογές απομακρυσμένης πρόσβασης... 37
Εικόνα 3- 19 Ορισμός των παραμέτρων σύνδεσης του επιτιθέμενου ... 37
Εικόνα 3- 20 Εγκατάσταση του προγράμματος sendmail ... 38
Εικόνα 3- 21 Ενεργοποίηση sendmail από το αρχείο διαμόρφωσης ... 38
Εικόνα 3- 22 Επεξεργασία του αρχείου διαμόρφωσης με τον επεξεργαστή κειμένου nano ... 38
Εικόνα 3- 23 Επιλογή μετονομασίας του τίτλου του κακόβουλου εγγράφου ... 39
Εικόνα 3- 24 Μετονομασία του κακόβουλου αρχείου... 39
Εικόνα 3- 25 Δυνατότητα ομαδική ή ατομικής κακόβουλης αλληλογραφίας ... 39
Εικόνα 3- 26 Επιλογή θέματος του κακόβουλου email ... 40
Εικόνα 3- 27 Τα πρότυπα θέματα email ... 41
Εικόνα 3- 28 Θέμα κακόβουλου email στην Ελληνική γλώσσα ... 41
Εικόνα 3- 29 Το κείμενο της ηλεκτρονικής αλληλογραφίας ... 41
Εικόνα 3- 30 Επιλογές αποστολής κακόβουλου email ... 42
Εικόνα 3- 31 Εντοπισμός Κακόβουλης ενέργειες από την πλατφόρμα gmail ... 43
Εικόνα 3- 32 Χρήση ανοιχτού διακομιστή SMTP ... 44
Εικόνα 3- 33 Η μέθοδος Credential Harvester Attack ... 45
Εικόνα 3- 34 Κλωνοποίηση ιστοσελίδας ... 46
Εικόνα 3- 35 Η προτροπή για την IP address του επιτιθέμενου ... 46
Εικόνα 3- 36 Οι προεγκατεστημένες ιστοσελίδες των SET ... 46
Εικόνα 3- 37 Διαδικασία Κλωνοποίησης της ιστοσελίδας Google ... 47
Εικόνα 3- 38 Η κλωνοποιημένη αρχική ιστοσελίδα της Google ... 47
Εικόνα 3- 39 Καταγραφή δεδομένων από το SET ... 48
Εικόνα 3- 40 Υποκλοπή των κωδικών ... 48
Εικόνα 3- 41 Η κλωνοποιημένη ιστοσελίδα του twitter ... 49
Εικόνα 3- 42 Διαδικασία κλωνοποίησης της σελίδας του Facebook ... 49
Εικόνα 3- 43 Η κλωνοποιημένη σελίδα του Facebook και η απώλεια των δεδομένων ... 50
Εικόνα 3- 44 Αναφορά καταγραφής δεδομένων της εφαρμογής SET ... 50
Εικόνα 3- 45 Το εργαλείο ShellPhish ... 51
Εικόνα 3- 46 Δημιουργία ψεύτικής σελίδας εισόδου στο Instagram ... 51
Εικόνα 3- 47 Η ψεύτικη σελίδα εισόδου του Instagram ... 52
Εικόνα 3- 48 Έλεγχος συνδέσμου sellphish με το εργαλείο virtualTotal ... 53
Εικόνα 3- 49 Οδηγίες χρήσης του εργαλείου msfvenom ... 55
Εικόνα 3- 50 Ορίσματα του εργαλείου msfvenom ... 55
Εικόνα 3- 51 Διαθέσιμα payload... 56
Εικόνα 3- 52 Το payload windows/metepreter/reverse_tcp ... 56
Εικόνα 3- 53 Το εργαλείο msf payload creator στην διανομή Kali Linux ... 57
Εικόνα 3- 54 Οι επιλογές του εργαλείου msf payload creator ... 58
Εικόνα 3- 55 Παραγωγή κακόβουλου εκτελέσιμου αρχείου ... 58
Εικόνα 3- 56 Η θέση των κακόβουλων εκτελέσιμων αρχείων ... 59
Εικόνα 3- 57 Η κονσόλα msfconsole ... 59
Εικόνα 3- 58 Εκτέλεση exploit/multi/handler ... 59
Εικόνα 3- 59 Ρυθμίσεις επιλογών στον handler ... 60
Εικόνα 3- 60 Εξέταση των εκτελέσιμων αρχείων με το εργαλείο VirusTotal ... 61
Εικόνα 3- 61 Ο κοινός φάκελος των υπό συμπίεση αρχείων ... 62
Εικόνα 3- 62 Μετατροπή εικόνας από jpg σε ico ... 63
Εικόνα 3- 63 Επιλογή των αρχείων με το winRAR ... 63
Εικόνα 3- 64 Οι ρυθμίσεις στο winRAR ... 64
Εικόνα 3- 65 Ρυθμίσεις drive στο WinRAR ... 64
Εικόνα 3- 66 Επιπλέον ρυθμίσεις στο winRAR ... 65
Εικόνα 3- 67 Φόρτωση εικονιδίου icon ... 65
Εικόνα 3- 68 Τελικές ρυθμίσεις ... 66
Εικόνα 3- 69 Σύνδεση με το μηχάνημα του θύματος ... 66
Εικόνα 3- 70 Πλήρης έλεγχος του υπολογιστή του θύματος ... 67
Εικόνα 3- 71 Αλλαγή όψης κακόβουλου εκτελέσιμου αρχείου... 67
Εικόνα 3- 72 Κλωνοποίηση της σελίδας εισόδου του Instagram ... 68
Εικόνα 3- 73 Το εργαλείο MaskPhish ... 68
Εικόνα 3- 74 Αρχικές ρυθμίσεις του εργαλείου MaskPhish ... 69
Εικόνα 3- 75 Επιπρόσθετες δυνατότητες του εργαλείου MaskPhish ... 69
Εικόνα 3- 76 Ο παραγόμενος αποκεκριμένος σύνδεσμος ... 69
Εικόνα 3- 77 Εγκατάσταση του εργαλείου shellter ... 70
Εικόνα 3- 78 Δημιουργία κακόβουλου εκτελέσιμου αρχείου ... 70
Εικόνα 3- 79 Αποτελέσματα επικινδυνότητας αρχείου EAPvirus.exe ... 71
Εικόνα 3- 80 Έναρξη του εργαλείου shellter ... 71
Εικόνα 3- 81 Διαδικασία stealth απόκρυψης ... 72
Εικόνα 3- 82 Εισαγωγή παραμέτρων διεύθυνσης και θύρας παραλαβής ... 72
Εικόνα 3- 83 Εξέταση του εξαγόμενου αποκεκριμένου εκτελέσιμου αρχείου ... 72
Εικόνα 3- 84 Το περιβάλλον εργασίας του Zenmap ... 76
Εικόνα 3- 85 Η σελίδα τεκμηρίωσης της εφαρμογής Nmap ... 78
Εικόνα 3- 88 Αναφορά Ασφαλείας για τα κενά τρωτότητας του kernel 2.6 ... 82
Εικόνα 3- 89 Αναζήτηση κωδικών εισόδου σε δρομολογητές TP-LINK ... 83
Εικόνα 3- 90 Ανίχνευση ευπαθούς υπολογιστή windows XP ... 83
Εικόνα 3- 91 Εγγραφή και είσοδο στο εργαλείο maltego ... 84
Εικόνα 3- 92 Επιλογές footprint στο εργαλείο maltego ... 85
Εικόνα 3- 93 Επιλογή της εταιρείας SANS ως στόχο του maltego ... 85
Εικόνα 3- 94 Τα αποτελέσματα της αναζήτησης ... 86
Εικόνα 3- 95 Αποκάλυψή σχέσεων σύνδεσης μεταξύ των στόχων ... 86
Εικόνα 3- 96 Το εργαλείο OSIF ... 88
Εικόνα 3- 97 Οι επιλογές του εργαλείου OSIF ... 88
Εικόνα 3- 98 Εισαγωγή διαπιστευτηρίων στο εργαλείο OSIF ... 89
Εικόνα 3- 99 Τα αποτελέσματα της επίθεσης με το εργαλείο OSIF... 89
Εικόνα 3- 100 Εντοπισμός της ύποπτης δραστηριότητας ... 90
Εικόνα 3- 101 Η δομή των εξωτερικών και εσωτερικών IP σε ένα δίκτυο ... 91
Εικόνα 3- 102 Το εργαλείο wifiphisher ... 93
Εικόνα 3- 103 Η οθόνη του χρήστη μετά την επίθεση με wifiphisher ... 94
Εικόνα 3- 104 Τα σενάρια επίθεσης με το εργαλείο wifiphisher ... 95
Εικόνα 3- 105 Επίθεση firmware upgrade ... 95
Εικόνα 3- 106 Το σενάριο Network Connection Manager ... 96
Εικόνα 3- 107 Το σενάριο Oauth login page ... 96
Εικόνα 3- 108 Το σενάριο Update Browser Plugin ... 97
Εικόνα 3- 109 Το αρχείο του κακόβουλο λογισμικό ... 97
Εικόνα 4- 110 Η τυπική εμφάνιση μηνύματος ηλεκτρονικής αλληλογραφίας ... 100
Εικόνα 4- 111 Εμφάνιση επικεφαλίδων μηνύματος σε Apple Mail ... 101
Εικόνα 4- 112 Εμφάνιση επικεφαλίδων μηνύματος σε Outlook Desktop Client ... 101
Εικόνα 4- 113 Εμφάνιση επικεφαλίδων μηνύματος σε Outlook Web Client ... 102
Εικόνα 4- 114 Εμφάνιση επικεφαλίδων μηνύματος σε GMAIL ... 102
Εικόνα 4- 115 Εμφάνιση επικεφαλίδων μηνύματος σε yahoo mail... 103
Εικόνα 4- 116 Γεωγραφικά αποτελέσματα αναζήτησης διεύθυνσης διακομιστή ... 107
Εικόνα 4- 117 Αποτελέσματα ανάλυσης επικεφαλίδων ύποπτου μηνύματος ... 108
Εικόνα 4- 118 Κακόβουλο email με λογότυπο του ΕΑΠ ... 113
Εικόνα 4- 119 Κλωνοποιημένη ιστοσελίδα εισόδου στο ΕΑΠ ... 114
Εικόνα 4- 120 Εξέταση κώδικα HTML κακόβουλου μηνύματος ... 115
Εικόνα 4- 121 Εξέταση κώδικα HTML ... 116
Εικόνα 4- 122 Αποκάλυψη του πραγματικού συνδέσμου σε κακόβουλο μήνυμα. ... 116
Εικόνα 4- 123 Χρήση εργαλείου συντόμευσης διευθύνσεων URL ... 117
Εικόνα 4- 124 Έλεγχος κώδικα HTML ... 118
Εικόνα 4- 125 Επαναφορά σύντομων διευθύνσεων στην αρχική τους μορφή ... 118
Εικόνα 4- 126 Αποκάλυψη πραγματικού συνδέσμου με τη χρήση του ποντικιού ... 119
Εικόνα 4- 127 παραπλανητική αναδυόμενη ετικέτα ... 120
Εικόνα 4- 128 Εξερεύνηση του κώδικα HTML ... 120
Εικόνα 4- 129 Επίθεση Κοινωνικής Μηχανικής μέσω μακροεντολών ... 122
Εικόνα 4- 130 Εξέταση του αρχείου word με το εργαλείο VirutTotal ... 123
Εικόνα 4- 131 Εντοπισμός ύποπτου αρχείου ... 124
Εικόνα 4- 132 Εκτέλεση του εργαλείου oleid ... 124
Εικόνα 4- 133 Αποτελέσματα εκτέλεσης του εργαλείου olevba ... 126
Εικόνα Π- 134 Πλατφόρμες που υποστηρίζονται από το VirtualBox ... 135
Εικόνα Π- 135 Ο οδηγός εγκατάστασης του VirtualBox ... 136
Εικόνα Π- 136 Οι προεκτάσεις (extensions) του VirtualBox ... 136
Εικόνα Π- 137 Εγκατάσταση Προεκτάσεων ... 137
Εικόνα Π- 138 Η διανομή Kali linux σε διαμορφωμένη για VirtualBox εγκατάσταση ... 137
Εικόνα Π- 139 Επιλογή του αρχείου .OVA για την εγκατάσταση του kali linux ... 138
Εικόνα Π- 140 Εγκατάσταση του λειτουργικού συστήματος kali linux ... 138
Εικόνα Π- 141 Ολοκλήρωση της Εγκατάστασης ... 139
Εικόνα Π- 142 Η πηγή προέλευσης του matasploitable ... 139
Εικόνα Π- 143 Δημιουργία νέας εικονικής μηχανής για το metasloitable2 ... 140
Εικόνα Π- 144 Επιλογή υπάρχοντα δίσκου ... 140
Εικόνα Π- 145 Εγκατάσταση του metasploitadbe2 σε εικονική μηχανή ... 141
Εικόνα Π -146 Η εικονική μηχανή TEST IE11 της Microsoft ... 141
Εικόνα Π- 147 Επιλογή MSEdge σε win 10 για την εικονική μηχανή virtualBox ... 142
Εικόνα Π- 148 Δημιουργία εικονικής μηχανής MSEdge - Win10 ... 142
Εικόνα Π- 149 Εγκατάσταση MSEdge - Win10 ... 142
Εικόνα Π- 150 Το περιβάλλον MSEdge - Win10 ... 143
Εικόνα Π- 151 Η τελική εικόνα του Εικονικού εργαστηρίου δοκιμών ασφαλείας ... 143
Εικόνα Π- 152 Ρυθμίσεις δικτύου ... 145
Σχήμα 1- 1 Θετικά Χαρακτηριστικά των Ανθρώπων ... 10
Σχήμα 1- 2 Η «πυραμίδα» της Κοινωνικής Μηχανικής ... 12
Σχήμα 1- 3 Τα χαρακτηριστικά του Κυβερνοχώρου ... 14
Σχήμα 2- 4 Παραπλανητικό Μήνυμα Ηλεκτρονικής Αλληλογραφίας ... 98
Σχήμα 4- 5 Η δενδροειδή ιεραρχία DSN ... 111
Σχήμα Π- 6 Το εικονικό δίκτυο ... 144
Κατάλογος Πινάκων
Πίνακας 1- 1 Η επί της εκατό (%) κατανομή επιθέσεων phishing για το έτος 2020 ... 18 Πίνακας 2- 2 Πίνακας ποσοστών εμφάνισης κακόβουλων συνημμένων αρχείων ... 29
Συντομογραφίες & Ακρωνύμια
ΕΑΠ Ελληνικό Ανοικτό Πανεπιστήμιο DNS Domain Name System
MSF Metasploit Framework OSINT Open Source Intelligent
SE Social Engineering (Κοινωνική Μηχανική) SET Social Engineering Toolset
SEToolkit Social Engineering Toolkit URL Uniform Resource Locator VBA Visual Basic for Applications
1. Εισαγωγή
Καθώς το λογισμικό ασφαλείας εξελίσσεται καθημερινά και θωρακίζει αποτελεσματικά τα υπολογιστικά συστήματα, οι επίδοξοι hackers1 προκειμένου να πετύχουν τους σκοπούς τους, έστρεψαν την προσοχή τους προς τον πιο ευπαθή κρίκο της ασφάλειας, τον άνθρωπο.
Διαπιστώνοντας ότι είναι πιο εύκολη και απαιτεί λιγότερους πόρους η παραπλάνηση του χειριστή ενός συστήματος, οι επίδοξοι hackers ανέπτυξαν νέες μεθόδους επιθέσεων, προκειμένου να αποσπάσουν ευαίσθητες πληροφορίες.
Οι επιθέσεις δεν βασίζονται πλέον μόνο σε ευπάθειες του λογισμικού ή σε κενά ασφαλείας, αλλά κατευθύνονται εναντίον ανθρωπίνων στόχων, ώστε μέσω αυτών, να κερδίσουν την πρόσβαση ή να εμφυτέψουν κακόβουλο λογισμικό στα συστήματα που αυτοί έχουν υπό την εποπτεία τους.
Μια νέα «επιστήμη», αυτής της κοινωνικής Μηχανικής, άρχισε να αναπτύσσεται σε αυτά τα πλαίσια. Μια επιστήμη που χαρακτηρίζεται από την ανάμιξη στοιχείων ψυχολογίας, υποκριτικής τέχνης και φυσικού ταλέντου σε συνδυασμό με προχωρημένες γνώσεις προγραμματισμού και τεχνικών hacking.
Στην παρούσα εργασία θα διερευνήσουμε τις πτυχές της Κοινωνικής Μηχανικής και θα εμβαθύνουμε στις τεχνικές της, όπως αυτές έχουν αναπτυχθεί τα τελευταία χρόνια, δίνοντας έμφαση στα τεχνικά εργαλεία που χρησιμοποιούνται.
Τα περισσότερα από αυτά τα εργαλεία βασίζονται στο λογισμικό. Όπως θα δούμε και στη συνέχεια, ολόκληρα λειτουργικά συστήματα, ως επί το πλείστων σε περιβάλλον Linux, έχουν δημιουργηθεί από τους ειδικούς στην ασφάλεια, προκειμένου να δοκιμάζουν τις αντοχές των υπολογιστικών συστημάτων σε κυβερνοεπιθέσεις και να ανακαλύπτουν τις αδυναμίες τους, ώστε να καλύψουν τα κενά.
1 Έχει επικρατήσει ως Hacker να ονομάζονται το άτομο που εισβάλει σε υπολογιστικά συστήματα εκμεταλλευόμενος τις εξειδικευμένες γνώσεις του και να πειραματίζεται με αυτά, μη έχοντας εξουσιοδότηση για την πρόσβαση. Αν οι πράξεις του είναι κακόβουλες τότε ονομάζεται craker. Παλαιότερα η λέξη είχε την έννοια του εφευρέτη ή αυτού που ασχολείται για να ανακαλύψει το πως λειτουργεί ένα σύστημα και να το βελτιώσει ή να το αλλάξει τροποποιώντας το.
Τις ίδιες τεχνικές και εργαλεία λογισμικού θα εφαρμόσουμε και στην παρούσα εργασία, σε προστατευμένο περιβάλλον, εγκαθιστώντας εικονικό εργαστήριο δοκιμών, όπως αυτό περιγράφεται στο Παράρτημα Α.
Ως περιβάλλον εργασίας επιλέχθηκε η διανομή Kali Linux2, η οποία χαρακτηρίζεται πλήρης για τους σκοπούς αυτούς. Τα περισσότερα και δημοφιλέστερα εργαλεία υπάρχουν εντός της διανομής και ένα μεγάλο δίκτυο βιβλιογραφίας καλύπτει το πεδίο που θα κινηθούμε.
1.1 Κυβερνοασφάλεια και Κυβερνοέγκλημα
Τον Δεκέμβριο το 2020 δημοσιεύτηκε από την Ελληνική Δημοκρατία «Η Εθνική Στρατηγική Κυβερνοασφάλειας 2020-2025» (Υπουργείο Ψηφιακής Διακυβέρνησης, 2020) η οποία βασίστηκε στις οδηγίες του Ευρωπαϊκού Οργανισμού ENISA3 (European Union Agency for Cybersecurity).
Από το παραπάνω έγγραφο θα αναφέρουμε τους βασικότερους ορισμούς που αφορούν την κυβερνοασφάλεια (Cybersecurity).
1.1.1 Κυβερνοεγκληματίες
Το κυβερνοέγκλημα (cybercrime), ως όρος, χρησιμοποιείται για να χαρακτηρίσει κάθε κακόβουλη ενέργεια η οποία αποσκοπεί στο να επιφέρει αντίκτυπο στις επιχειρησιακές λειτουργίες ενός οργανισμού.
Κατά συνέπεια, οι κυβερνοεγκληματίες, (Εικόνα 1- 1) ως παράγοντες απειλών, είναι ομάδες ή μεμονωμένα φυσικά πρόσωπα που χρησιμοποιούν την τεχνολογία για την τέλεση κακόβουλων ενεργειών μέσα στον κυβερνοχώρο4.
2 Είναι διανομή Linux που δημιουργήθηκε με κύριο σκοπό τη χρήση σε δοκιμές ασφαλείας υπολογιστικών συστημάτων. Συντηρείται και χρηματοδοτείται από την Offensive Security (https://www.offensive- security.com/)
3 https://www.enisa.europa.eu/
Εικόνα 1- 1 Κυβερνοεγκληματίες
Ειδική κατηγορία θεωρούνται οι επονομαζόμενοι script kiddies που χρησιμοποιούν εργαλεία ανεπτυγμένα από τρίτα μέρη ή/και άλλους παράγοντες απειλών (π.χ. hackers), οι οποίοι αποζητούν τη φήμη μέσω της πράξης τους ή την απόκτηση μικρών χρηματικών ποσών έναντι της μη αποκάλυψης προσωπικών δεδομένων (π.χ. προσωπικές φωτογραφίες) ή της αποκρυπτογράφησης συστημάτων (εφόσον έχουν αυτά μολυνθεί με κακόβουλο λογισμικό όπως ransonware5). Παρόλο που δύνανται να επηρεάσουν τη συνέχεια των επιχειρησιακών λειτουργιών, η διαφορά με τους υπόλοιπους έγκειται στη μη οργανωμένη φύση των επιθέσεών τους ή/και τη μη στοχοποίηση Φορέων.
Η κατηγορίας Τρίτα κράτη, περιλαμβάνει ομάδες οι οποίες είτε ανήκουν, είτε χρηματοδοτούνται από κράτη και αποσκοπούν, κατά βάση, στο να εξαπολύσουν επιθέσεις που θα επιφέρουν μεγάλο αντίκτυπο στην παροχή βασικών/ουσιωδών υπηρεσιών από Φορείς.
Αυτό-αποκαλούμενοι ακτιβιστές ή αντίστοιχες ομάδες που προβαίνουν σε κακόβουλες ενέργειες όπως επιθέσεις άρνησης υπηρεσιών, αλλοίωση ιστοσελίδων, επιθέσεις ή αντεπιθέσεις σε κράτη, κλπ. Στόχος των ακτιβιστών (συχνά αναφερόμενοι ως hacktivists) είναι η προώθηση κάποιας κοινωνικής αλλαγής ή πολιτικής ατζέντας ή αντεπίθεσης για την τόνωση του εθνικού φρονήματος.
Ο παράγοντας Εσωτερικές Απειλές αφορά σε υπαλλήλους οργανισμών που προβαίνουν, είτε εκούσια, είτε ακούσια, σε κακόβουλες ενέργειες. Λόγω της φύσης και του επιπέδου
5 Κακόβουλο λογισμικό που «κλειδώνει» την οθόνη ή κρυπτογραφεί τα δεδομένα που είναι αποθηκευμένα στις μονάδες αποθήκευσης χωρίς την έγκριση του χρήστη, με σκοπό τον εξαναγκασμό του σε ανταλλάγματα.
πρόσβασης σε συστήματα και πληροφορίες ενός Φορέα, καθώς και της προσέγγισης περιμετρικής ασφάλειας που υιοθετούν αρκετοί Φορείς, οι εσωτερικές απειλές αποτελούν τον μεγαλύτερο παράγοντα απειλών και έναν από τους πιο δύσκολους στην αναγνώριση και αντιμετώπισή τους.
1.1.2 Απειλές από Ενδεχόμενη Κυβερνοεπίθεση
Αντλώντας στοιχεία από μελέτη της ENISA (European Union Agency for Cybersecurity) στην έκθεσή της Threat Landscape Report 2018, 15 Top Cyberthreats and Trends (ENISA, 2019) εκθέτουμε παρακάτω τις κυριότερες απειλές από ενδεχόμενη κυβερνοεπίθεση.
Κακόβουλο λογισμικό (malicious software) το οποίο έχει σχεδιαστεί ειδικά για να προκαλέσει ζημιά ή να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα υπολογιστή. Περιλαμβάνει ιούς (viruses6), σκουλήκια (worms7), δούρειου ίππους (trojanhorses8) κ.λπ. Πρόκειται για απειλές που στοχεύουν απευθείας στο χρήστη μέσω εκμετάλλευσης αδυναμιών στους φυλλομετρητές (browsers), καθώς και στα συστήματα διαχείρισης περιεχομένου (content management systems). Κυριότερα είδη επιθέσεων αυτής της κατηγορίας αποτελούν τα browser exploits, drive-by downolads, watering hole attacks κ.α
Το Phishing ως απειλή περιλαμβάνει κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου ή τηλεφωνικές συνδιαλλαγές, οι οποίες αποσκοπούν στο να παραπλανήσουν τους χρήστες και να αποκαλύψουν εμπιστευτικές πληροφορίες.
Επιθέσεις που στοχεύουν σε διαδικτυακές εφαρμογές (web applications). Οι εν λόγω εφαρμογές λόγω της καθολικής χρήσης τους στην προσφορά περιεχομένου αποτελούν
6 Ένας ιός υπολογιστών (αγγλικά: Virus) είναι ένα κακόβουλο πρόγραμμα υπολογιστή, το οποίο μπορεί να αντιγραφεί χωρίς παρέμβαση του χρήστη και να "μολύνει" τον υπολογιστή χωρίς τη γνώση ή την άδεια του χρήστη του. (wikipedia, 2020)
7 Ένα σκουλήκι υπολογιστή (computer worm) είναι ένα αυτοαναπαραγόμενο και κακόβουλο πρόγραμμα υπολογιστή, το οποίο χρησιμοποιεί δίκτυο υπολογιστών για να στείλει αντίγραφα του εαυτού του σε άλλους κόμβους (υπολογιστές του δικτύου) και μπορεί να το πράξει χωρίς την παρέμβαση του χρήστη (wikipedia, 2020)
στόχο πολλαπλών ειδών επιθέσεων, με κυριότερες τα cross-site scripting (XSS), SQL injection, path traversal, local file inclusion κ.α.
Επιθέσεις με ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου τα οποία αναφέρονται και ως SPAM και περιλαμβάνουν την αποστολή ανεπιθύμητης αλληλογραφίας σε χρήστες.
Η εν λόγω αλληλογραφία χαρακτηρίζεται από το πολύ μικρό κόστος αποστολής των μηνυμάτων, την ενόχληση που προκαλεί στους χρήστες, αλλά και την εν δυνάμει μετεξέλιξη των μηνυμάτων σε απειλή phishing.
Επιθέσεις άρνησης υπηρεσίας (Denial of Service – DoS attacks) κατά τις οποίες μεγάλος όγκος διαδικτυακής κίνησης στοχεύει σε μια υπηρεσία, με σκοπό να καταστεί αδύνατο από τα συστήματα να εξυπηρετήσουν νόμιμα αιτήματα. Ουσιαστικά, εκμεταλλεύονται την πεπερασμένη χωρητικότητα συστημάτων και δικτύων, ώστε να καταστήσουν αδύνατη την παροχή υπηρεσιών (απώλεια διαθεσιμότητας).
Επιθέσεις κλοπής ταυτότητας χρήστη (identity theft) στις οποίες ο επιτιθέμενος αποκτά δεδομένα προσωπικού χαρακτήρα του χρήστη (κωδικούς passwords, Αριθμό Κοινωνικής Ασφάλειας social security numbers κ.α.), με αποτέλεσμα την ιδιοποίηση της ταυτότητας του χρήστη (impersonation).
Επιθέσεις παραβίασης προσωπικών δεδομένων οι οποίες αποσκοπούν στη διαρροή, αλλοίωση ή μη διαθεσιμότητα προσωπικών δεδομένων. Σύμφωνα με τον Κανονισμό της Ε.Ε. 2016/6799 (Ε.Ε, 2016), τέτοιου είδους επιθέσεις νοούνται ως παραβιάσεις δεδομένων προσωπικού χαρακτήρα οι οποίες χρήζουν άμεσης αντιμετώπισης.
Εσωτερικές Απειλές που προέρχονται από στελέχη Φορέων που εργάζονται ή εργάζονταν σε έναν Οργανισμό, καθώς και εξωτερικών συνεργατών, οι οποίοι κατέχουν εσωτερική πληροφόρηση σχετικά με τις πρακτικές ασφάλειας, τα υπολογιστικά συστήματα και τα δεδομένα του Οργανισμού.
Δίκτυα Botnets τα οποία αποτελούνται από υπολογιστικές συσκευές ανυποψίαστων χρηστών που έχουν μολυνθεί με κακόβουλο λογισμικό και ελέγχονται κεντρικά από κάποιον επιτιθέμενο, προκειμένου να χρησιμοποιηθούν ομαδικά στην αποστολή μηνυμάτων ανεπιθύμητης αλληλογραφίας, σε επιθέσεις άρνησης υπηρεσίας κλπ.
9 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού
χαρακτήρα
Φυσικές Απειλές που στοχεύουν στην καταστροφή ή αλλοίωση ή κλοπή εξοπλισμού, με απώτερο στόχο την διαρροή ή/και καταστροφή δεδομένων ή την άρνηση υπηρεσίας.
Διαρροή δεδομένων σε μη εξουσιοδοτημένους χρήστες. Τα δεδομένα μπορεί να περιλαμβάνουν οικονομικά στοιχεία, πατέντες, δεδομένα με κατοχυρωμένα πνευματικά δικαιώματα, πλάνα στρατηγικής ανάπτυξης κλπ.
Κακόβουλο λογισμικό λύτρων (ransomware) το οποίο κρυπτογραφεί τα δεδομένα του πληροφοριακού συστήματος, για την αποκρυπτογράφηση των οποίων ο επιτιθέμενος απαιτεί λύτρα (συνήθως σε μορφή κρυπτονομίσματος).
Ηλεκτρονική Κατασκοπία μέσω του κυβερνοχώρου, η οποία μπορεί να περιλαμβάνει χρήση εξειδικευμένων εργαλείων για την άντληση στοιχείων ή/και χρήση συνδυασμού των προαναφερθέντων απειλών. Συνήθως αυτή η μορφή επίθεσης αναφέρεται ως «στοχευμένη»
(λόγω του ότι οι επιτιθέμενοι έχουν πολύ συγκεκριμένους στόχους) με απώτερο στόχο την υποκλοπή ευαίσθητων, για τον οργανισμό, πληροφοριών.
Τεχνικές Cryptojacking που χρησιμοποιούν την υπολογιστική ισχύ του υπολογιστή του χρήστη με σκοπό την άντληση (mining) κρυπτονομισμάτων 10 (bitcoins).
1.2 Τι είναι η Κοινωνική Μηχανική
Η κοινωνική μηχανικής ως ορισμός εμπεριέχεται σε πολλούς τομείς. Δεν υπάρχει σαφής ορισμός και πολλές φορές εξαρτάται από την πηγή που αναζητάμε τον ορισμό.
Στο λεξικό της Οξφόρδης11 αναφέρεται ως «την προσπάθεια αλλαγής της κοινωνίας και την αντιμετώπιση κοινωνικών προβλημάτων σύμφωνα με πολιτικές πεποιθήσεις. Για παράδειγμα αλλάζοντας τον νόμο» (the attempt to change society and to deal with social problems according to particular political beliefs, for example by changing the law).
Ο παραπάνω ορισμός είναι προφανές ότι αναφέρεται στην πολιτική.
Στην γνωστή διαδικτυακή βάση γνώσεων wikipedia (wikipedia, 2020) θα βρούμε τον ορισμό της κοινωνικής μηχανικής διαχωρισμένο από την πολιτικής της ερμηνεία. Ενώ ως
10 Το Κρυπτονόμισμα είναι μία αποκεντρωμένη ηλεκτρονική μορφή χρήματοςη οποία βασίζεται πάνω στις αρχές της κρυπτογραφίας για την διασφάλιση του δικτύου και την επαλήθευση των συναλλαγών. Τα
πολιτική έννοια την αναφέρει ως «τα χρησιμοποιούμενα μέσα επιρροής συγκεκριμένων συμπεριφορών σε μεγάλη κλίμακα», στην έννοια που αποδίδει στην ασφάλεια υπολογιστών την ορίζει ως «απόκτηση εμπιστευτικών πληροφοριών με τη χειραγώγηση και/ή εξαπάτηση ανθρώπων και τεχνητής νοημοσύνης» (obtaining confidential information by manipulating and/or deceiving people and artificial intelligence).
Αναζητώντας σαφή ορισμό, καταλήξαμε στον ορισμό που αποδίδει η Kaspersky (www.kaspersky.com/, 2020) κατά την οποία «Κοινωνική μηχανική είναι η τεχνική χειραγώγησης η οποία εκμεταλλεύεται το ανθρώπινο λάθος για να αποκτήσει ιδιωτική πληροφορία και πρόσβαση. Αυτές οι απάτες τείνουν να δελεάσουν ανυποψίαστους χρήστες ώστε να εκθέσουν τα δεδομένα τους ή να διασπείρουν κακόβουλο λογισμικό εν αγνοία τους ή να δώσουν πρόσβαση σε εμπιστευτικά συστήματα. Οι επιθέσεις μπορούν να γίνουν είτε προσωπικά είτε μέσω διαδικτύου ή μέσω άλλων αλληλεπιδράσεων»
Ο παραπάνω ορισμός αποδίδει καλύτερα την έννοια της κοινωνικής μηχανικής στους τομείς που θα ασχοληθούμε.
Οι απάτες που βασίζονται στην Κοινωνική Μηχανική στοχεύουν στον τρόπο που σκέφτονται και αντιδρούν οι άνθρωποι. Όταν ένας επιτιθέμενος καταλάβει τι παρακινεί τις ενέργειες ενός χρήστη, μπορεί να τον εξαπατήσει και να τον χειραγωγήσει αποτελεσματικά (Εικόνα 1- 2).
Εικόνα 1- 2 Κοινωνική Μηχανική: Η τέχνη της χειραγώγησης
Επιπλέον, προσπαθούν να εκμεταλλευτούν την έλλειψη γνώσεων του χρήστη σε τεχνολογικά θέματα καθώς και την μειωμένη αντίληψή τους για την αξία των προσωπικών τους δεδομένων, όπως τηλεφωνικό αριθμό, διεύθυνση ηλεκτρονικού ταχυδρομείου κ.α. και πως αυτά μπορούν να γίνουν η κερκόπορτα της ασφάλειας.
Δεδομένου ότι οι περισσότερες εταιρείες και οργανισμοί προτιμούν την διαδικτυακή επικοινωνία, το πεδίο του διαδικτύου έγινε πρόσφορο για τέτοιου είδους απάτες.
Από την άλλη μεριά, αυτήν της καθημερινής μας ζωής, η Κοινωνική Μηχανικής δεν είναι απαραίτητα κάτι κακό ή κακόβουλο και πολλοί από εμάς πιθανόν να την έχουμε χρησιμοποιήσει ως εργαλείο της επαγγελματικής μας ενασχόλησης με σκοπό να βελτιώσουμε κάποιους τομείς της.
Μπορούμε να φέρουμε σαν παράδειγμα κάποιον πωλητή παπουτσιών. Δεν έχει σημασία το είδος του αντικειμένου, στο παράδειγμα μας παπούτσια, που θέλει να πουλήσει ο πωλητής, αλλά ο τρόπος που σκέφτεται και ο τρόπος αυτός εμπεριέχει πολλά στοιχεία Κοινωνικής Μηχανικής.
Η πρώτη του σκέψη λοιπόν θα αφορούσε την κατηγοριοποίηση των υποψηφίων αγοραστών των παπουτσιών του. Μια από τις βασικές κατηγορίες θα αφορούσε το γένος των πελατών του, άντρες ή γυναίκες σε συνδυασμό με την ηλικία τους. Στη συνέχεια θα αναζητούσε πληροφορίες για τους υποψήφιους πελάτες τους σε ότι αφορά τις προσωπικές τους προτιμήσεις, τις κοινωνικές δραστηριότητες, τον τόπο διαμονής τους, την οικογενειακή κατάσταση τους, την υγειονομική κατάσταση τους κα. Το σύνολο αυτών των πληροφοριών καταρτίζουν το προφίλ του πελάτη του.
Τώρα ο πωλητής με τα προσωπικά δεδομένα που συγκέντρωσε από την έρευνα του και κάνοντας χρήση της Κοινωνικής Μηχανικής, θα προτείνει στοχευμένα το κατάλληλο ζευγάρι παπουτσιών με πολύ μεγάλη πιθανότητας επιτυχής πώλησης, ακόμη και αν ο πελάτης του δεν χρειάζεται αυτό το προϊόν.
Ξέροντας όλες αυτές τις προσωπικές πληροφορίες ο πωλητής μας θα προτείνει ένα κομψό ζευγάρι γόβες στην κυρία Α, αφού έμαθε ότι ως σύζυγος βουλευτή παραβρίσκεται συχνά σε δεξιώσεις, λέγοντας της ότι τα ίδια παπούτσια φορούσε και η γνωστή τραγουδίστρια, εκμεταλλευόμενος την πληροφορία που συνέλεξε από το παρακείμενο κατάστημα
καλλιτέχνιδας. Παράλληλα θα της πουλήσει και ένα ζευγάρι ορθοπεδικές παντόφλες αφού έχει την πληροφορία από το ιατρικό κέντρο ότι η κυρία Α συχνά επισκέπτεται ορθοπεδικό ιατρό, λέγοντάς της ότι βοηθάνε στην αποκατάσταση ορθοπεδικών προβλημάτων.
Συνοδεύοντας την κυρία Α στην έξοδο του καταστήματος του, θα της προσφέρει και έναν κατάλογο με παιδικά υποδήματα, αφού εκμαίευσε από την ίδια ότι έχει 2 μικρά παιδιά.
Υπάρχει μια πληθώρα ατόμων που ανήκουν σε κρατικές υπηρεσίες, δημόσιους ή ιδιωτικούς οργανισμούς, αλλά και μεμονωμένα άτομα που χρησιμοποιεί την Κοινωνική Μηχανική καθημερινά, όπως ο πωλητής στο παράδειγμά μας, για να πετύχουν τους σκοπούς τους.
Παρόμοιες τεχνικές που βασίζονται στην Κοινωνική Μηχανική, χρησιμοποιούν οι υπηρεσίες εφαρμογής του νόμου, προκειμένου να αποσπάσουν πληροφορίες που θα τους οδηγήσουν στην καταστολή εγκληματών ή δικηγόροι που αγορεύουν σε δικαστικό ακροατήριο προκειμένου με τις ερωτήσεις τους να εξαναγκάσουν κάποιον μάρτυρα να αποκαλύψει την αλήθεια. Ακόμη και τα μικρά παιδιά, εν αγνοία τους, χρησιμοποιούν την Κοινωνική Μηχανική προκειμένου να χειραγωγήσουν τους γονείς τους.
Στο βιβλίο «Social Engineering The Science of Human Hacking», ο συγγραφέας του Christopher Hadnary (Hadnagy, Second Edition) ο οποίος θεωρείτε από τους ειδικούς της Κοινωνικής Μηχανικής, γράφει τον ορισμό της ως «οποιαδήποτε πράξη που επηρεάζει ένα άτομο να κάνει κάποια ενέργεια που μπορεί να είναι προς το συμφέρον του ή όχι», εξηγώντας ότι η γενική αυτή τοποθέτησή του είναι γιατί πιστεύει ότι η κοινωνική μηχανική δεν είναι πάντοτε αρνητική. (Watson, Mason, & Ackroyd, 2014) (Hadnagy, Second Edition) Ο ορισμός προφανώς εμπλέκει και τις κακόβουλες πράξεις. Αυτές τις ενέργειες θα αναπτύξουμε με την παρούσα εργασία, επικεντρώνοντας στα εργαλεία λογισμικού που χρησιμοποιούν οι κυβερνοεγκληματίες για να εφαρμόσουν αποδοτικά τις τεχνικές της κοινωνικής μηχανικής
1.2.1 Πως δουλεύει η Κοινωνική Μηχανική
Η έκφραση «Ο άνθρωπος είναι ο πιο αδύναμος κρίκος στην ασφάλεια» είναι μια έκφραση που ακούγεται συχνά στα fora της ασφάλειας υπολογιστών. Μετά το software και το hardware, οι επαγγελματίες του χώρου της ασφάλειας υπολογιστικών συστημάτων
καλούνται να προστατεύσουν έναντι των κακόβουλων επιθέσεων και το wetware12, δηλαδή τους χρήστες και διαχειριστές των πιο πάνω συστημάτων.
Η Κοινωνική Μηχανική λειτουργεί εκμεταλλευόμενη τα θετικά κοινωνικά χαρακτηριστικά και συμπεριφορές των ανθρώπων (Γκιώνης, 2014). Ας δούμε πως δουλεύουν αυτά προς όφελος των κοινωνικών μηχανικών. ( Σχήμα 1- 1)
Σχήμα 1- 1 Θετικά Χαρακτηριστικά των Ανθρώπων
• Οι άνθρωποι είναι εξυπηρετικοί. Σε ανεπτυγμένους Οργανισμούς και εταιρείες παρέχεται εκπαίδευση στο προσωπικό που απασχολούν, ώστε να γίνουν ευγενικοί και εξυπηρετικοί, με σκοπό οι πελάτες τους καθώς και οι συνεργαζόμενοι με αυτούς πάροχοι, να είναι ευχαριστημένοι. Η αξιολόγηση των υπαλλήλων σε μεγάλο βαθμό εξαρτάται από την ανατροφοδότηση (feedback) των πελατών που εξυπηρετούν και επομένως οι περισσότεροι επιθυμούν να φανούν χρήσιμοι. Αυτή η συμπεριφορά μπορεί να εκμεταλλευτεί με τη χρήση της Κοινωνικής Μηχανικής, αξιοποιώντας την προθυμία των υπαλλήλων ώστε να τους αποσπάσουν έντεχνα σημαντικές πληροφορίες.
• Οι άνθρωποι έχουν την τάση να εμπιστεύονται. Από την ανθρώπινη φύση πηγάζει και η τάση της εμπιστοσύνης προς τον συνάνθρωπο, μέχρι να αποδειχτεί ότι ήταν ανάξιοι αυτής της εμπιστοσύνης. Οι περισσότεροι από εμάς αποδεχόμαστε εύκολα και εμπιστευόμαστε την ταυτότητα ενός αγνώστου σε εμάς συνομιλητή, απλά και μόνο στη δήλωσή της. Αν αυτή η δήλωση ταυτότητας συνοδεύεται με κάποια αληθοφανή στοιχεία, που είτε δεν μπορούμε να διασταυρώσουμε είτε μας φαίνονται λογικά, τότε ο συνομιλητής έχει κερδίσει
Θετικά Κοινωνικά Χαρακτηριστικά
Οι άνθρωποι είναι εξυπηρετικοί
Οι άνθρωποι έχουν την τάση
να εμπιστεύονται.
Ο φόβος και το αίσθημα ευθύνης
Βρίσκουν εύκολες μεθόδους για
να παρακάμπτουν
τα εμπόδια
την εμπιστοσύνη μας και μαζί με αυτήν τη πρόσβαση σε πληροφορίες που ταυτίζονται με την ταυτότητα που έχει δηλώσει.
• Ο φόβος και το αίσθημα ευθύνης. Η ταυτοποίηση κάποιου ατόμου απαιτεί χρονοβόρες διαδικασίες, που πολλές φορές προκαλούν τον εκνευρισμό και την δυσανασχέτηση του ατόμου αυτού, είτε λόγω της αναμονής είτε λόγω της πίεσης του χρόνου που διαθέτει. Οι υπάλληλοί για να αποφύγουν τέτοιες δυσάρεστες καταστάσεις και επιπρόσθετα προβλήματα στην αξιολόγηση τους, συχνά αποφεύγουν να διεξάγουν περαιτέρω έρευνα ταυτότητας και αποδέχονται πλήρως τα δηλωθέντα στοιχεία χωρίς κάποιο σημαντικό αποδεικτικό στοιχείο. Ο φόβος να μη δημιουργήσουν πρόβλημα στον προϊστάμενο τους ή στην εταιρεία, τους οδηγεί σε λανθασμένες ενέργειες άμεσης διεκπεραίωσης, με πλήρη ή μερική κατάργηση της επαλήθευσης της ταυτότητας του εξυπηρετούμενου.
• Την προσπάθεια να βρίσκουν εύκολες μεθόδους για να παρακάμπτουν τα εμπόδια13. Η προσπάθεια πολλών υπαλλήλων για επίτευξη μεγαλύτερης αποδοτικότητας και χρονικού κέρδους, οδηγεί στην παράκαμψη των τακτικών ασφαλείας και των προκαθορισμένων πρωτοκόλλων. Άλλοι πάλι, μην έχοντας γνώση, βρίσκουν ανούσιες και περιττές αυτές τις τακτικές ασφαλείας, αναλογιζόμενοι ότι μια μικρή παράκαμψη που θα τους διευκολύνει, δεν θα γίνει ποτέ η αιτία ενός κενού ασφαλείας.
Η Κοινωνική Μηχανική σκοπεύει απευθείας στον άνθρωπο και βασίζεται σε ψυχολογικούς παράγοντες που επιδρούν κατασταλτικά σε αυτόν, μετατρέποντας τον σε υποχείριο κακόβουλων ενεργειών, εκμεταλλευόμενη τα ανθρώπινα χαρακτηριστικά.
Χαρακτηριστικό βήμα σε κάθε προσπάθεια απόσπασης πληροφορίας με χρήση της Κοινωνικής Μηχανικής είναι η απόκτηση της εμπιστοσύνης του θύματος. Κάθε επίθεση χτίζεται σε σχέσεις εμπιστοσύνης σε διάφορα επίπεδα, δίνοντας την εντύπωση στα θύματα ότι γνωρίζουν πολύ καλά τον επιτιθέμενο ακόμη κι αν δεν τον έχει συναντήσει ποτέ από κοντά.
Οι μέθοδοι που χρησιμοποιούνται προσαρμόζονται μοναδικά στο θύμα, βάσει της προσωπικότητας του ή των ελαττωμάτων του, τα οποία ο επιτιθέμενος έχει εντοπίσει κατόπιν εξονυχιστικής στοχοποιημένης έρευνας πάνω σε αυτό. Συνοπτικά θα μπορούσαμε να αναφέρουμε την περίπτωση άνδρα θύματος, ο οποίος απαντά σε τηλεφωνική κλήση και πίσω από την γραμμή συναντά μια ευγενική γυναικεία φωνή, με κάποια δόση ερωτική διάθεση στην συνομιλία τους. Αντίθετα, στην περίπτωση γυναίκας θύματος ο Κοινωνικός
13 Στην Αγγλική ορολογία το συναντάμε ως cut corners (άμβλυνση γωνιών), δηλαδή να κάνεις κάτι με τον ευκολότερο, φθηνότερο και γρηγορότερο τρόπο.