ΘΕΜΑΤΙΚΗ ΠΕΡΙΟΧΗ: Ασφάλεια Πληροφοριακών Συστημάτων ΛΕΞΕΙΣ ΚΛΕΙΔΙΑ: social engineering, μέσα κοινωνικής δικτύωσης, επίθεση, μέθοδοι αποτροπής (4)(SEAs) on Social Media

ΣΧΟΛΗ ΘΕΤΙΚΩΝ ΕΠΙΣΤΗΜΩΝ

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Επιθέσεις κοινωνικής μηχανικής σε κοινωνικά δίκτυα:

παρούσα κατάσταση, ταξινόμηση επιθέσεων και μέθοδοι προστασίας

Βιλελμίνη Ε. Φραγκουλοπούλου

Επιβλέπουσες: Αφροδίτη Τσαλγατίδου, Aναπληρώτρια Καθηγήτρια Ελένη Κουτρούλη, Διδάκτωρ Πληροφορικής, Ερευνήτρια

ΑΘΗΝΑ

ΣΕΠΤΕΜΒΡΙΟΣ 2019

ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Επιθέσεις κοινωνικής μηχανικής σε κοινωνικά δίκτυα: παρούσα κατάσταση, ταξινόμηση επιθέσεων και μέθοδοι προστασίας

Βιλελμίνη Ε. Φραγκουλοπούλου Α.Μ.: 1115201300194

ΕΠΙΒΛΕΠΟΥΣΕΣ: Αφροδίτη Τσαλγατίδου, Aναπληρώτρια Καθηγήτρια Ελένη Κουτρούλη, Διδάκτωρ Πληροφορικής, Ερευνήτρια

μηχανής (ΕΚΜ) στα Μέσα Κοινωνικής Δικτύωσης. Αρχικά, παρουσιάζονται μερικά από τα βασικότερα είδη επιθέσεων κοινωνικής μηχανής μαζί με σχετικά παραδείγματα. Στη συνέχεια, αποτυπώνονται 3 βασικές τους ταξινομήσεις και η διαφορετική προσέγγιση που η κάθε μια χρησιμοποιεί ώστε να ταξινομήσει τις επιθέσεις. Χρησιμοποιήθηκαν δύο από αυτές τις ταξινομήσεις για να παρουσιαστεί μια λεπτομερή ανάλυση των επιθέσεων κοινωνικής μηχανής. Προχωρώντας, μελετώνται τα βασικά είδη επιθέσεων κοινωνικής μηχανής στα Μέσα Κοινωνικής Δικτύωσης και πώς αυτές οι επιθέσεις χρησιμοποιούν τα συγκεκριμένα μέσα για την εξαπόλυσή τους. Στη συνέχεια, παρουσιάζονται οι μέθοδοι προστασίας ενάντια τέτοιων επιθέσεων που μπορούν να ακολουθηθούν τόσο από οργανισμούς/επιχειρήσεις όσο και από τους ίδιους τους χρήστες. Τέλος, αναλύονται πιο συγκεκριμένα οι μέθοδοι προστασίας από επιθέσεις κοινωνικής μηχανής στα μέσα κοινωνικής δικτύωσης.

ΘΕΜΑΤΙΚΗ ΠΕΡΙΟΧΗ: Ασφάλεια Πληροφοριακών Συστημάτων

ΛΕΞΕΙΣ ΚΛΕΙΔΙΑ: social engineering, μέσα κοινωνικής δικτύωσης, επίθεση, μέθοδοι αποτροπής

(SEAs) on Social Media. Initially, some of the basic types of SEAs are presented along with related examples. We then present three basic classifications of SEAs and the different approach each one of them uses to classify the attacks. We use two of these classifications to present a detailed analysis of SEAs. Furthermore, the main types of SEAs on Social Media are studied, along with the specific means used by these attacks in order to be launched. Then, the methods of protection against such attacks that can be followed by both organizations / businesses and the users themselves are presented. Finally, additional methods of protecting against SEAs in social media are analyzed in detail.

Αφιερώνω την συγκεκριμένη εργασία στην οικογένεια μου, εξ αίματος και μη, και ιδιαίτερα στους γονείς μου, Βέτα και Βαγγέλη και στους παππούδες μου, Βιλελμίνη και Χρήστο, οι οποίοι είναι πάντα δίπλα μου και με στηρίζουν σε κάθε μου προσπάθεια.

Για τη διεκπεραίωση της παρούσας Πτυχιακής Εργασίας, θα ήθελα καταρχάς να ευχαριστήσω τις επιβλέπουσες, Αν. Καθ. Αφροδίτη Τσαλγατίδου και Δρ. Ελένη Κουτρούλη, για την πολύτιμη βοήθεια και συμμετοχή τους στην ολοκλήρωση αυτής της εργασίας. Μου επέτρεψαν να αναπτύξω το συγκεκριμένο θέμα ακούγοντας τις προτάσεις μου και κατευθύνοντάς με προς τη σωστή κατεύθυνση όποτε έκριναν πως το χρειάζομαι. Τέλος, θα ήθελα να ευχαριστήσω την οικογένεια μου, εξ αίματος και μη, που είναι πάντα δίπλα μου και με στηρίζουν σε κάθε μου προσπάθεια.

ΠΡΟΛΟΓΟΣ ... 12

1. ΕΙΣΑΓΩΓΗ ... 13

2. ΕΙΔΗ ΕΠΙΘΕΣΕΩΝ ΚΟΙΝΩΝΙΚΗΣ ΜΗΧΑΝΗΣ ... 15

2.1 Phishing ... 15

2.2 Baiting ... 15

2.3 Shoulder Surfing ... 16

2.4 Reverse επίθεση κοινωνικής μηχανής ... 17

2.5 Dumpster Diving ... 18

2.6 Pretexting ... 19

2.7 Cross Site Request Forgery (CSRF) ... 20

2.8 Malware ... 21

2.9 Search Engine Poisoning (SEP) ... 22

2.10 Tailgating ... 22

3. ΤΑΞΙΝΟΜΗΣΕΙΣ ΤΩΝ ΕΠΙΘΕΣΕΩΝ ΚΟΙΝΩΝΙΚΗΣ ΜΗΧΑΝΗΣ ... 24

3.1 Υπάρχουσες ταξινομήσεις ... 24

3.1.1 Φυσικές, Κοινωνικές, Τεχνικές και Κοινωνικοτεχνικές επιθέσεις ... 25

3.1.2 Ενορχήστρωση, Εκμετάλλευση, Εκτέλεση ... 26

3.1.3 Ταξινόμηση Ivaturi και Janczewski ... 28

3.2 Βασικά είδη Social Engineering attacks με βάση την ταξινόμηση Ivaturi και Janczewski ... 29

3.2.1 Pretexting – Πρόσωπο-με-Πρόσωπο επίθεση ... 29

3.2.2 Reverse Social Engineering Attack – Πρόσωπο-με-Πρόσωπο επίθεση ... 30

3.2.3 Tailgating – Πρόσωπο-με-Πρόσωπο επίθεση ... 30 3.2.4 Πρόσωπο-με-Πρόσωπο μέσω μηνύματος – Πρόσωπο-με-Πρόσωπο μέσω τεχνολογικών μέσων 31

3.2.5 Πρόσωπο-με-Πρόσωπο μέσω φωνής – Πρόσωπο-με-Πρόσωπο μέσω τεχνολογικών μέσων 33

Mouton et al... 36

3.3.2 Ενδεικτική Παρουσίαση Συγκεκριμένου Σεναρίου Επίθεσης μέσω του Πλαισίου Περιγραφής Επιθέσεων των Mouton et al. ... 37

4. ΑΝΑΛΥΣΗ ΒΑΣΙΚΩΝ SOCIAL ENGINEERING ATTACKS ΣΤΑ ΜΕΣΑ ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣ ... 40

4.1 Επίθεση Reverse Social Engineering ... 40

4.1.1 Περιγραφή ... 40

4.1.2 Παράδειγμα ... 41

4.2 Phishing ... 41

4.2.1 Περιγραφή ... 41

4.2.2 Παράδειγμα ... 42

4.3 Shoulder Surfing ... 42

4.3.1 Περιγραφή ... 42

4.3.2 Παράδειγμα ... 42

4.4 Dumpster Diving ... 42

4.4.1 Περιγραφή ... 42

4.4.2 Παράδειγμα ... 43

5. ΜΕΘΟΔΟΙ ΠΡΟΣΤΑΣΙΑΣ... 44

5.1 Μέθοδοι Προστασίας από Social Engineering Attacks ... 44

5.1.1 Επιβεβαίωση της πηγής (ενέργειες των χρηστών) ... 44

5.1.2 Επιβεβαίωση αίσθησης ανάγκης (ενέργειες των χρηστών) ... 44

5.1.3 Προσοχή στα μη ζητηθέντα μηνύματα (ενέργειες των χρηστών)... 44

5.1.4 Αποφυγή κατεβάσματος άγνωστων αρχείων (ενέργειες των χρηστών) ... 45

5.1.5 Προσοχή στις προσφορές και στα βραβεία (ενέργειες των χρηστών) ... 45

5.1.6 Προσοχή στους κωδικούς/προσωπικές πληροφορίες (ενέργειες των χρηστών)... 45

5.1.7 Φίλτρα Spam (ενέργειες των χρηστών και των επιχειρήσεων/οργανισμών) ... 45 5.1.8 Συντήρηση συσκευών και Ενημέρωση Λογισμικού (ενέργειες των χρηστών και των

5.1.14 Παρακολούθηση λογαριασμών (ενέργειες των χρηστών) ... 47

5.1.15 Απαγόρευση Tailgating στους χώρους εργασίας (ενέργειες των χρηστών και των επιχειρήσεων/οργανισμών) ... 47

5.2 Μέθοδοι Προστασίας από Social Engineering Attacks στα Μέσα Κοινωνικής Δικτύωσης .... 47

5.2.1 Μέθοδοι οργανισμών/επιχειρήσεων ... 48

5.2.2 Μέθοδοι που θα δυσχεράνουν Reverse επιθέσεις κοινωνικής μηχανής μέσω Μέσων Κοινωνικής Δικτύωσης ... 50

5.2.3 Συμβουλευτικό Σύστημα για Προστασία έναντι επιθέσεων κοινωνικής μηχανής στα Κοινωνικά Δίκτυα 51 6. ΣΥΜΠΕΡΑΣΜΑΤΑ ... 55

ΠΙΝΑΚΑΣ ΟΡΟΛΟΓΙΑΣ ... 56

ΣΥΝΤΜΗΣΕΙΣ – ΑΡΚΤΙΚΟΛΕΞΑ – ΑΚΡΩΝΥΜΙΑ ... 57

ΑΝΑΦΟΡΕΣ ... 58

Εικόνα 2: Επίθεση Baiting, [21]. ... 16

Εικόνα 3: Επίθεση Shoulder Surfing, [22]. ... 17

Εικόνα 4: Επίθεση Dumpster Diving, [23]. ... 19

Εικόνα 5: Επίθεση Pretexting, [24]. ... 20

Εικόνα 6: Επίθεση CSRF, [25]. ... 21

Εικόνα 7: Επίθεση Malware, [26]. ... 22

Εικόνα 8: Επίθεση Tailgating, [27]. ... 23

Εικόνα 9: Ενορχήστρωση, Εκμετάλλευση, Εκτέλεση. ... 28

Εικόνα 10: Η ταξινόμηση των Ivaturi και Janczweski, [5]. ... 29

Εικόνα 11: Ανάλυση επιθέσεων κοινωνικής μηχανής με βάση τους πυλώνες[11]. ... 36

Εικόνα 12: Πλαίσιο επίθεσης κοινωνικής μηχανής, [11]... 37

Εικόνα 13: Περιγραφή Ημιαυτόματου Συμβουλευτικού Συστήματος, [29]. ... 54

Πίνακας 1: Φυσικές, Τεχνικές, Κοινωνικές και Κοινωνικοτεχνικές Επιθέσεις, [3]. ... 26 Πίνακας 2: Ανάλυση βασικών επιθέσεων κοινωνικής μηχανής. ... 36

Η συγκεκριμένη πτυχιακή εργασία διενεργήθηκε στα πλαίσια της ολοκλήρωσης των υποχρεώσεών μου για την απόκτηση του πτυχίου μου. Αναπτύχθηκε στην Αθήνα, το 2019.

Θα ήθελα να ευχαριστήσω τις επιβλέπουσές μου, κυρία Αφροδίτη Τσαλγατίδου και κυρία Ελένη Κουτρούλη που δέχτηκαν να εκπονήσω τη συγκεκριμένη εργασία στο πλαίσιο της αποφυγής απάτης στα πληροφοριακά συστήματα που σχετίζεται άμεσα με την παρούσα θέση εργασίας μου και που μου πρότειναν ένα τόσο σχετικό και ενδιαφέρον θέμα. Θα ήθελα να τις ευχαριστήσω επίσης για τη συνεχή βοήθεια και καθοδήγησή τους σε αυτή μου την προσπάθεια.

1. ΕΙΣΑΓΩΓΗ

Στην πραγματικότητα του 2019, η τεχνολογία έχει κατακλείσει κάθε πτυχή της ζωής μας.

Από την επαγγελματική μας ζωή μέχρι την προσωπική, από το πρωί έως το βράδυ και από τον τρόπο που μετακινούμαστε μέχρι και τον τρόπο που επικοινωνούμε, η τεχνολογία παίζει πάντα κάποιο ρόλο, άλλοτε μικρό και άλλοτε μεγάλο.

Αδιαμφισβήτητα, τα οφέλη της είναι πολλά. Πράγματα όπως η αυτοματοποίηση τετριμμένων εργασιών, η επιτάχυνση δύσκολων υπολογισμών ή η συμβολή της στις επιστήμες την καθιστούν πλέον αναπόσπαστο κομμάτι της ανθρώπινης ζωής.

Δυστυχώς όμως, μαζί με την εξάπλωση της τεχνολογίας και των αδιαμφισβήτητων προτερημάτων που φέρει, αναπτύχθηκε παράλληλα ένας άλλος τομέας: αυτός του ηλεκτρονικού εγκλήματος. Είναι λοιπόν πλέον υποχρέωση του ανθρώπου να κυβερνά την τεχνολογική εξέλιξη και να μην κυβερνάται από αυτήν. Οφείλουμε να προστατευόμαστε απέναντι στους κινδύνους που η χρήση τεχνολογικών μέσων παρουσιάζει και να αποφεύγουμε την αλόγιστη χρήση τους.

Η συγκεκριμένη εργασία εξετάζει αναλυτικά έναν τομέα του ηλεκτρονικού εγκλήματος, τις επιθέσεις κοινωνικής μηχανής και αποσκοπεί στην πληρέστερη κατανόησή και αντιμετώπισή τους μέσα από τη συστηματική ανάλυση των επιθέσεων αυτών και την παρουσίαση των μέτρων αντιμετώπισής τους, με ιδιαίτερη έμφαση στις επιθέσεις κοινωνικής μηχανής μέσω κοινωνικών δικτύων. Ως επιθέσεις κοινωνικής μηχανής χαρακτηρίζονται οι επιθέσεις οι οποίες δεν στοχεύουν σε κάποια αδυναμία του συστήματος αλλά έχουν ως κεντρικό άξονα την παραπλάνηση και εκμετάλλευση του χρήστη. Ο θύτης αποσκοπεί στο να καταφέρει χειραγωγήσει το χρήστη/θύμα ώστε να του αποκαλύψει, άθελά του, πληροφορίες οι οποίες χαρακτηρίζονται ως ευαίσθητες όπως είναι πχ ο κωδικός πρόσβασής του ή ο αριθμός της πιστωτικής του κάρτας. Οι επιθέσεις αυτές είναι εξαιρετικά δύσκολο να αποφευχθούν καθώς βασίζονται στην ευπιστία της ανθρώπινης φύσης και στον τρόπο που οι άνθρωποι λειτουργούν και αλληλοεπιδρούν, φαινόμενο εξαιρετικά περίπλοκο και απρόβλεπτο. Δεν μπορούν να αντιμετωπιστούν με τη χρήση λογισμικού, αντιθέτως στηρίζονται στο βαθμό εκπαίδευσης του ατόμου. Επιπροσθέτως, όσο τα μέτρα αντιμετώπισης επιθέσεων που στοχεύουν σε αδυναμίες του συστήματος βελτιώνονται, τόσο οι επιθέσεις που στοχεύουν στον ανθρώπινο παράγονται πληθαίνουν. Υπάρχουν πολλά είδη επιθέσεων κοινωνικής μηχανής [1], [2], [3], [4], [5], τα γνωστότερα από τα οποία παρουσιάζονται παρακάτω. Στο κεφάλαιο 3 εξετάζονται κάποιες ταξινομήσεις των επιθέσεων αυτών με βάση συγκεκριμένες μελέτες που έχουν γίνει καθώς και η χρήση δύο από αυτές τις ταξινομήσεις για την ανάλυση των γνωστών επιθέσεων κοινωνικής μηχανής.

Παράλληλα, η ανάπτυξη της τεχνολογίας, έφερε και την δημιουργία και ανάπτυξη των μέσων κοινωνικής δικτύωσης. Τα μέσα κοινωνικής δικτύωσης έχουν πλέον διαδοθεί ευρέως και χρησιμοποιούνται από μεγάλο αριθμό χρηστών ανά τον κόσμο. Μέρος της απήχησης τους οφείλεται στο γεγονός ότι διευκολύνουν την επικοινωνία μεταξύ των ανθρώπων. Ταυτόχρονα όμως, έχει αποτελέσει έδαφος για την εξάπλωση κακόβουλων διαδικασιών. Πολλοί χρήστες, κρυμμένοι πίσω από την ανωνυμία που τα μέσα κοινωνικής δικτύωσης προσφέρουν, εκμεταλλεύονται την ευπιστία ή την άγνοια άλλων χρηστών και εξαπολύουν επιθέσεις κοινωνικής μηχανής, οι οποίες αναλύονται στο κεφάλαιο 4.

Τέλος, βασικό σημείο της παρούσας εργασίας αποτελεί το κεφάλαιο 5 που εξετάζει τους τρόπους προστασίας από επιθέσεις κοινωνικής μηχανής. Το κεφάλαιο έχει αναλυθεί σε δύο βασικούς άξονες. Ο πρώτος εξετάζει γενικούς τρόπους προστασίας από επιθέσεις

κοινωνικής μηχανής. Ο δεύτερος, επικεντρώνεται στους τρόπους προστασίας από επιθέσεις κοινωνικής μηχανής που εξαπολύονται μέσω μέσων κοινωνικής δικτύωσης.

2. ΕΙΔΗ ΕΠΙΘΕΣΕΩΝ ΚΟΙΝΩΝΙΚΗΣ ΜΗΧΑΝΗΣ

2.1 Phishing

Αποτελεί ίσως την πιο συνηθισμένη μορφή επίθεσης κοινωνικής μηχανής. Ο θύτης έχει ως στόχο να καταφέρει τον χρήστη να πατήσει ένα σύνδεσμο ή να κατεβάσει κάποιο λογισμικό. Μέσω αυτού μπορεί να συλλέξει προσωπικές πληροφορίες για τον χρήστη (κωδικούς, προσωπικά δεδομένα και άλλα) ή να αποκτήσει πρόσβαση στο σύστημα του χρήστη και να το χειρίζεται εξ αποστάσεως. Συνήθως ο θύτης δημιουργεί στο θύμα του μια αίσθηση επείγουσας ανάγκης ώστε να τον πείσει να πατήσει το σύνδεσμο ή να κατεβάσει το λογισμικό.

Χαρακτηριστικό παράδειγμα: Ένας χρήστης λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να έχει έρθει από την τράπεζα του. Το μήνυμα ηλεκτρονικού ταχυδρομείου τον ενημερώνει πως ο κωδικός του θα λήξει μέσα στα επόμενα λεπτά (αίσθηση επείγουσας ανάγκης) και τον παρακινεί να πατήσει ένα σύνδεσμο για να μεταφερθεί στο περιβάλλον της τράπεζας και να αλλάξει κωδικό, αλλιώς θα κλειδωθεί ο λογαριασμός του. Ο χρήστης πατάει στον ψεύτικο σύνδεσμο της τράπεζας, εισάγει το όνομα χρήστη του και τον κωδικό του για να εισέλθει στο σύστημα και πλέον ο θύτης έχει τα στοιχεία τραπέζης του χρήστη.

Εικόνα 1: Επίθεση Phishing, [20].

2.2 Baiting

Παρουσιάζει αρκετές ομοιότητες με το phishing. Βασική τους διαφορά είναι ότι ο χρήστης παρακινείται να πατήσει στον σύνδεσμο ή να κατεβάσει το λογισμικό όχι μέσω της δημιουργίας μιας αίσθησης επείγουσας ανάγκης, αλλά μέσω της υπόσχεσης της παροχής μιας δωρεάν υπηρεσίας ή ενός αγαθού.

Χαρακτηριστικό παράδειγμα: Ένας χρήστης λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου από έναν ιστότοπο με ταινίες. Τον ενημερώνει πως αν κατεβάσει το συγκεκριμένο λογισμικό θα λάβει ένα κουπόνι αξίας 50$ για να αγοράσει ταινίες

διαλέγοντας από μια μεγάλη συλλογή. Ο χρήστης κατεβάζει το λογισμικό, το οποίο επιτρέπει στον θύτη να αποκτήσει πρόσβαση στο τερματικό του χρήστη.

Άλλα παραδείγματα αυτής της επίθεσης που εκμεταλλεύονται την περιέργεια ή την απληστία ενός χρήστη είναι η παρουσίαση της ευκαιρίας να χρησιμοποιήσει κάποιος δωρεάν ένα usb μη ασφαλούς προέλευσης ή να ανοίξουν εμπιστευτικά αρχεία, όπως παραστατικά παρουσιάζεται στην Εικόνα 2.

Εικόνα 2: Επίθεση Baiting, [21].

2.3 Shoulder Surfing

Η συγκεκριμένη επίθεση είναι εξαιρετικά απλή στην εφαρμογή της. Αρκεί ο θύτης να στέκεται πίσω από τον χρήστη την στιγμή που εισάγει τα προσωπικά του δεδομένα σε μια εφαρμογή και να τα καταγράψει.

Χαρακτηριστικό παράδειγμα: Ο χρήστης βρίσκεται σε μια καφετέρια. Καθώς πίνει τον καφέ του, αποφασίζει να ανοίξει τον φορητό υπολογιστή του και να μπει στον τραπεζικό του λογαριασμό για να ελέγξει το υπόλοιπό του. Δίπλα του στέκεται ο θύτης, ο οποίος προσποιείται πως διαβάζει ένα βιβλίο ενώ στην πραγματικότητα καταγράφει νοητά τα στοιχεία που εισάγει ο χρήστης στο τραπεζικό σύστημα. Ο χρήστης πίνει τον καφέ του και αποχωρεί, χωρίς να γνωρίζει πως κάποιος άλλος μόλις απέκτησε πρόσβαση στον τραπεζικό του λογαριασμό.

Εικόνα 3: Επίθεση Shoulder Surfing, [22].

2.4 Reverse επίθεση κοινωνικής μηχανής

Σε αυτό το είδος επίθεσης ο θύτης καταφέρνει το θύμα να τον προσεγγίσει, και δεν προσεγγίζει ο ίδιος το θύμα, [12]. Έτσι το θύμα τον εμπιστεύεται γρηγορότερα και σε πολύ μεγαλύτερο βαθμό, αφού εκείνο επιδίωξε την επικοινωνία (ή τουλάχιστον έτσι πιστεύει). Αφού η επίθεση στεφθεί με επιτυχία, δηλαδή το θύμα έρθει σε επικοινωνία με τον θύτη και αφού ο θύτης κερδίσει την εμπιστοσύνη του θύματος, μπορεί εν ακολουθία να εκτελέσει με πολύ μεγαλύτερη επιτυχία κάποιου άλλου είδους επίθεση όπως πχ phishing, στέλνοντας στο θύμα ένα κακόβουλο λογισμικό. Μπορεί αυτού του είδους η επίθεση να φαντάζει πιο δύσκολη καθώς ο θύτης περιμένει το θύμα να επικοινωνήσει πρώτο μαζί του και ίσως κάτι τέτοιο να μην γίνει ποτέ, αλλά του δίνει ένα μεγάλο πλεονέκτημα: το θύμα θα τον εμπιστευτεί πολύ ευκολότερα εφόσον ήταν εκείνο που ξεκίνησε την επικοινωνία. Αυτό το είδος επίθεσης είναι εξαιρετικά δημοφιλές στα μέσα κοινωνικής δικτύωσης, τα οποία προσφέρουν το τέλειο υπέδαφος για την εξαπόλυση τέτοιων απειλών. Οι θύτες εκμεταλλεύονται την έμφυτη περιέργεια της ανθρώπινης φύσης και βασίζονται σε αυτό για να χτίσουν μια «προσωπικότητα» που θα κινήσει την περιέργεια του θύματος. Επιπλέον, οι θύτες έχουν άμεση πρόσβαση σε εκατομμύρια ανθρώπους από όλο τον κόσμο.

Χαρακτηριστικό παράδειγμα: Ο θύτης φτιάχνει ένα νέο, ψεύτικο λογαριασμό σε κάποιο μέσο κοινωνικής δικτύωσης. Στη συνέχεια, κάνει αιτήματα φιλίας σε πολλούς φίλους του χρήστη. Αφού αποδεχτούν το αίτημά του αρκετοί, αρχίζει να σχολιάζει ή να κάνει like σε κοινοποιήσεις των φίλων του θύματος. Το θύμα, βλέποντας πως έχουν πολλούς κοινούς φίλους και πως ο θύτης συνομιλεί με τους φίλους του θύματος, αποφασίζει να του στείλει αίτημα φιλίας μαζί με ένα μήνυμα για να τον γνωρίσει, υποθέτοντας εσφαλμένα πως έχουν κοινούς γνωστούς φίλους. Σε αυτό το παράδειγμα ο θύτης εκμεταλλεύεται στο έπακρο την περιέργεια της ανθρώπινης φύσης και την ανάγκη του θύματος για ένταξη στο κοινωνικό σύνολο. Ο ίδιος ο θύτης δεν κάνει πολλές κινήσεις, απλά στήνει την «παγίδα» και περιμένει. Μόλις το θύμα επικοινωνήσει με τον θύτη, αρχίζει η δεύτερη φάση αυτής της επίθεσης. Συνήθως ο θύτης κερδίζει ακόμα περισσότερο την εμπιστοσύνη του θύματος και μόλις οι συνθήκες το επιτρέψουν και το έδαφος έχει προετοιμαστεί κατάλληλα, εξαπολύει κάποιας άλλης μορφής επίθεση όπως παραδείγματος χάριν μια επίθεση phishing, παρακινώντας το θύμα να πατήσει σε κάποιο κακόβουλο σύνδεσμο.

2.5 Dumpster Diving

Σε αυτό το είδος επίθεσης, ο θύτης μαζεύει κυριολεκτικά από τα σκουπίδια παλιές μονάδες αποθήκευσης που έχουν πεταχτεί όπως παλιούς σκληρούς δίσκους, CDs, κινητά κτλ. με σκοπό να συλλέξει από εκεί πολύτιμες πληροφορίες.

Χαρακτηριστικό παράδειγμα: Ο χρήστης πετάει στα σκουπίδια τον χαλασμένο του σκληρό δίσκο στον οποίο μεταξύ άλλων αποθήκευε τους κωδικούς του για διάφορες πλατφόρμες. Ο θύτης μαζεύει τον δίσκο από τα σκουπίδια, τον επιδιορθώνει και αποκτά πρόσβαση στους κωδικούς του χρήστη.

Εικόνα 4: Επίθεση Dumpster Diving, [23].

2.6 Pretexting

Σε μια επίθεση pretexting, ο θύτης καταστρώνει ένα εξαιρετικά έξυπνο σενάριο με σκοπό να πείσει το θύμα να του μεταφέρει προσωπικές του πληροφορίες. Συνήθως ο θύτης προσποιείται πως χρειάζεται τις πληροφορίες του θύματος για να επιβεβαιώσει την ταυτότητά του.

Χαρακτηριστικό παράδειγμα: Ο θύτης τηλεφωνεί στο θύμα προσποιούμενος πως καλεί από την τράπεζα του θύματος και θέλει να τον ενημερώσει για μια πρόσφατη περίεργη κίνηση ενός μεγάλου ποσού από το λογαριασμό του. Προτού του αποκαλύψει όμως τις εμπιστευτικές πληροφορίες, του ζητά τον αριθμό ταυτότητάς του και τον κωδικό πρόσβασής του στο τραπεζικό του λογαριασμό για να επιβεβαιώσει την ταυτότητά του.

Έτσι ο θύτης αποκτά πρόσβαση σε προσωπικά δεδομένα του θύματος.

Εικόνα 5: Επίθεση Pretexting, [24].

2.7 Cross Site Request Forgery (CSRF)

CSRF, [6], ονομάζεται η επίθεση κατά την οποία ο browser του χρήστη εξαπατάται στο να εκτελέσει μια ενέργεια σε έναν ιστότοπο στον οποίο ο χρήστης έχει ήδη εισέλθει με το όνομα χρήστη του και τον κωδικό του. Συνήθως εξαπολύεται μέσω ενός μηνύματος ηλεκτρονικού ταχυδρομείου στο οποίο ο χρήστης εξαπατάται με σκοπό να πατήσει σε κάποιον κακόβουλο σύνδεσμο. Μέσω του συνδέσμου αυτού εξαπατάται ο browser του χρήστη και εκτελεί μια κακόβουλη ενέργεια και καθώς ο χρήστης είναι ήδη συνδεδεμένος στο σύστημα είναι αδύνατο να διαχωριστεί ένα νόμιμο αίτημα από ένα πλαστό.

Χαρακτηριστικό παράδειγμα: Ο θύτης στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου στο χρήστη που περιέχει μια εικόνα. Μια εικόνα είναι ένα HTML στοιχείο πίσω από το οποίο κρύβεται ένα κομμάτι κακόβουλου κώδικα. Μόλις το θύμα ανοίξει το μήνυμα ηλεκτρονικού ταχυδρομείου, ο κώδικας πίσω από την εικόνα εκτελείται με αποτέλεσμα ο Browser του θύματος να εκτελέσει μια κακόβουλη ενέργεια, μη γνωρίζοντας ότι είναι πλαστή.

Εικόνα 6: Επίθεση CSRF, [25].

2.8 Malware

Μια επίθεση malware, [7], [8], είναι μια επίθεση κατά την οποία ο θύτης, χρησιμοποιώντας διάφορα μέσα, καταφέρνει το θύμα να εκτελέσει μια ενέργεια και να κατεβάσει ένα κακόβουλο λογισμικό (malware). Μόλις το λογισμικό κατέβει, μολύνει τον υπολογιστή του θύματος και μπορεί να εκτελέσει ενέργειες στον υπολογιστή του θύματος χωρίς τη συγκατάθεση του.

Χαρακτηριστικό παράδειγμα: Μπορεί να χρησιμοποιηθεί σε συνδυασμό με κάποια άλλη επίθεση για παράδειγμα baiting. Το θύμα λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου και με διάφορα τεχνάσματα πείθεται να κατεβάσει κάποιο κακόβουλο λογισμικό το οποίο μολύνει τον υπολογιστή του.

Εικόνα 7: Επίθεση Malware, [26].

2.9 Search Engine Poisoning (SEP)

Σε μια επίθεση SEP, [9], [10], ο θύτης χτίζει έναν κακόβουλο ιστότοπο και χρησιμοποιώντας τεχνικές SEO (search engine optimization) καταφέρνει να εμφανίζεται σε υψηλή θέση στα αποτελέσματα αναζήτησης. Συνήθως εμφανίζονται σε πολύ δημοφιλείς αναζητήσεις. Μέσω αυτού του κακόβουλου ιστότοπου, ο θύτης εξαπολύει κάποια άλλη μορφή επίθεσης όπως για παράδειγμα μία επίθεση Malware.

Χαρακτηριστικό παράδειγμα: Λίγες εβδομάδες πριν το Halloween ο θύτης επιλέγει να χτίσει ένα ψεύτικο ιστότοπο που πουλάει στολές. Χρησιμοποιώντας διάφορες τακτικές, ο θύτης καταφέρνει ο ιστότοπός του να εμφανίζεται υψηλά στα αποτελέσματα των μηχανών αναζητήσεως σχετικά με το Halloween. Μόλις κάποιο θύμα πατήσει στον σύνδεσμο για να πλοηγηθεί στον ιστότοπο, κατεβάζει αυτόματα κάποιο malware που μολύνει τον υπολογιστή του.

2.10 Tailgating

Σε μια επίθεση tailgating, ο θύτης αποκτά πρόσβαση σε κάποια προστατευμένη περιοχή μιας εταιρείας η οποία ελέγχεται από ηλεκτρονικά μέσα απλά ακολουθώντας ένα άτομο που έχει νόμιμη πρόσβαση.

Χαρακτηριστικό παράδειγμα: Ο θύτης θέλει να εισέλθει σε μία προστατευμένη περιοχή

Εικόνα 8: Επίθεση Tailgating, [27].

3. ΤΑΞΙΝΟΜΗΣΕΙΣ ΤΩΝ ΕΠΙΘΕΣΕΩΝ ΚΟΙΝΩΝΙΚΗΣ ΜΗΧΑΝΗΣ

Στην ενότητα αυτή επιχειρούμε μια λεπτομερή μελέτη και ανάλυση των διαφόρων τύπων επιθέσεων κοινωνικής μηχανής και των επιμέρους συστατικών τους.

Συγκεκριμένα, παρουσιάζουμε διάφορες εργασίες ταξινόμησης των επιθέσεων κοινωνικής μηχανής που είναι διαθέσιμες στη βιβλιογραφία (ενότητα 3.1), χρησιμοποιούμε μία από αυτές τις ταξινομήσεις για την αναλυτική παρουσίαση των διάφορων επιθέσεων κοινωνικής μηχανής (ενότητα 3.2) και προχωράμε στην παρουσίαση μιας λεπτομερούς ανάλυσης των επιθέσεων αυτών σε συγκεκριμένα συστατικά / χαρακτηριστικά και στην μελέτη διαφόρων επιθέσεων ως προς τα χαρακτηριστικά αυτά (ενότητα 3.3).

3.1 Υπάρχουσες ταξινομήσεις

Οι επιθέσεις που έχουν ως στόχο τα ηλεκτρονικά συστήματα στοχεύουν στην εκμετάλλευση των αδύναμων σημείων τους. Είναι προφανές πως ένα σύστημα που δεν έχει αδύναμα σημεία θεωρείται άτρωτο. Φυσικά, αυτή είναι μια εξιδανικευμένη περίπτωση και ένα τέτοιο ηλεκτρονικό σύστημα δεν υπάρχει και δεν γίνεται να υπάρξει.

Παρόλα αυτά, υπάρχουν πολλές μέθοδοι προστασίας των συστημάτων από εξωτερικές επιθέσεις. Για να αναπτυχθούν όμως μέθοδοι προστασίας, πρέπει οι επιθέσεις να ταξινομηθούν ώστε να μπορούν να αναλυθούν με βάση βασικά στοιχεία που τις χαρακτηρίζουν. Εάν οι επιθέσεις αναλυθούν και κατηγοριοποιηθούν, τότε είναι πιο εύκολο να εντοπιστεί στην κάθε κατηγορία σε ποιο αδύναμο σημείο του συστήματος στοχεύει ο επιτιθέμενος. Μόλις αυτά τα αδύναμα σημεία εντοπιστούν, μπορούν και να αναπτυχθούν μέθοδοι προστασίας τους.

Οι επιθέσεις κοινωνικής μηχανής, παρουσιάζουν μία επιπλέον δυσκολία: είναι πιο δύσκολο να ταξινομηθούν καθώς ως στόχο δεν έχουν τις «κατασκευαστικές» αδυναμίες του συστήματος οι οποίες είναι σχετικά πιο εύκολο να θωρακιστούν, αλλά τον ανθρώπινο παράγοντα, ο οποίος είναι δύσκολο να ταξινομηθεί και να προβλεφθεί. Οι ανθρώπινες αντιδράσεις δεν υπακούν σε κάποιο μοντέλο ούτε ακολουθούν κάποια νόρμα. Επειδή ακριβώς ο ανθρώπινος παράγοντας είναι τόσο πολύπλευρος, είναι εξαιρετικά δύσκολο να αναπτυχθούν μέθοδοι πρόβλεψης της ανθρώπινης συμπεριφοράς.

Ωστόσο, έχουν γίνει κάποιες προσπάθειες ταξινόμησης των επιθέσεων κοινωνικής μηχανής, τρεις από τις οποίες παρουσιάζονται παρακάτω. Οι αντίστοιχες εργασίες αντιμετωπίζουν το θέμα της ταξινόμησης είτε ως κατηγοριοποίηση των διαφόρων επιθέσεων κοινωνικής μηχανής [3], [5], είτε ως ανάλυση των επιθέσεων σε επιμέρους στάδια ή συστατικά, [4]. Η πρώτη ταξινόμηση που αναλύεται είναι αυτή των Krombholz et al. [3], στην οποία οι επιθέσεις ταξινομούνται με βάση την προσέγγιση που χρησιμοποιούν οι θύτες για την επίθεση: φυσική, κοινωνική, τεχνική και κοινωνικοτεχνική. Στη συνέχεια, η δεύτερη ταξινόμηση είναι αυτή των Heartfield και

επιθέσεις που γίνονται Πρόσωπο-με-Πρόσωπο και τις επιθέσεις που γίνονται Πρόσωπο-με-Πρόσωπο μέσω τεχνολογικών μέσων.

3.1.1 Φυσικές, Κοινωνικές, Τεχνικές και Κοινωνικοτεχνικές επιθέσεις

Σύμφωνα με τους Krombholz et al.[3], οι επιθέσεις κοινωνικής μηχανής μπορούν να ταξινομηθούν με βάση την προσέγγιση που χρησιμοποιούν οι θύτες: φυσική, κοινωνική, τεχνική και κοινωνικοτεχνική.

Ως επίθεση φυσικής προσέγγισης χαρακτηρίζεται μια επίθεση στην οποία ο θύτης πραγματοποιεί κάποιου είδους φυσική ενέργεια προκειμένου να συλλέξει πληροφορίες σχετικά με το θύμα. Σε αυτού του είδους την επίθεση ο θύτης δεν κρύβεται πίσω από την ανωνυμία ενός ηλεκτρονικού υπολογιστή αλλά βγαίνει έξω, στον φυσικό κόσμο, προκειμένου να αποκτήσει πρόσβαση σε πληροφορίες που υπάρχουν εύκολα διαθέσιμες. Για παράδειγμα, εάν ο θύτης αποκτήσει πρόσβαση στα γραφεία μίας εταιρείας και καταφέρει να συλλέξει πληροφορίες μέσω εγγράφων, σημειώσεων ή ξεκλείδωτων υπολογιστών μπορεί με βάση τα στοιχεία που συγκέντρωσε να σχεδιάσει μια πολύ επιτυχημένη επίθεση. Η επίθεση dumpster diving θεωρείται επίσης μια μορφή φυσικής επίθεσης.

Ως επίθεση κοινωνικής προσέγγισης χαρακτηρίζεται μία επίθεση στην οποία ο θύτης χρησιμοποιεί κάποιου είδους κοινωνική ή ψυχολογική μέθοδο ώστε να καταφέρει το θύμα του να του αποκαλύψει προσωπικές του πληροφορίες. Σε τέτοιου είδους επιθέσεις, ο θύτης στηρίζεται σε κάποια βασικά χαρακτηριστικά την ανθρώπινης φύσης που είναι κοινά σε όλους τους ανθρώπους όπως είναι για παράδειγμα η απληστία.

Όπως περιεγράφηκε και παραπάνω, σε μία επίθεση baiting αυτό που τελικά καθιστά την επίθεση επιτυχημένη είναι η στιγμή που ο χρήστης κατεβάζει ένα κακόβουλο λογισμικό παρακινούμενος από την ψευδή υπόσχεση της απόκτησης ενός αγαθού. Εδώ ο θύτης ήξερε πώς ένα μεγάλο ποσοστό ανθρώπων θα εκτελέσει μία απλή ενέργεια αν του παρουσιαστεί μια πιθανή ανταμοιβή. Ένα άλλο ανθρώπινο χαρακτηριστικό που οι θύτες εκμεταλλεύονται πολύ συχνά είναι η ανθρώπινη περιέργεια. Στις επιθέσεις reverse social engineering (RSE), είναι εξαιρετικά ενδιαφέρον να παρατηρηθεί πώς το ίδιο το θύμα είναι αυτό που έρχεται σε επαφή με τον θύτη. Κάτι τέτοιο φανερώνει πως η επίθεση έχει χτιστεί τόσο σωστά και έχει εκμεταλλευτεί τόσο τέλεια τα ανθρώπινα χαρακτηριστικά που το ίδιο το θύμα όχι μόνο δεν αποφεύγει την επίθεση αλλά έλκεται από αυτήν σε τέτοιο σημείο που πέφτει μόνο του στην παγίδα. Είναι τελικά εντυπωσιακό το πως οι θύτες εκμεταλλεύονται την ανθρώπινη συμπεριφορά στις επιθέσεις κοινωνικής προσέγγισης.

Ως επίθεση τεχνικής προσέγγισης χαρακτηρίζεται η επίθεση η οποία γίνεται κυρίως μέσω του διαδικτύου. Οι θύτες χρησιμοποιούν τις μηχανές αναζήτησης για να συλλέξουν πληροφορίες για μελλοντικά τους θύματα. Το εντυπωσιακό είναι πώς οι περισσότεροι άνθρωποι δεν γνωρίζουν πως παρέχουν αυτού του είδους τις πληροφορίες απλόχερα σε ανθρώπους που πιθανόν να θέλουν να τους εκμεταλλευτούν. Επιπλέον, ένα εξαιρετικό μέσο για τη συλλογή προσωπικών δεδομένων αποτελούν τα μέσα κοινωνικής δικτύωσης. Μέσω αυτών, οι χρήστες, όχι μόνο δεν προσπαθούν να αποκρύψουν τις προσωπικές τους πληροφορίες, αλλά τις προσφέρουν απλόχερα σε πιθανούς θύτες. Ειδικά ένας χρήστης που έχει τα προφίλ του στα μέσα κοινωνικής δικτύωσης ελεύθερα και προσβάσιμα από όλους βρίσκεται σε πολύ επικίνδυνη θέση.

Τέλος υπάρχει και η κοινωνικοτεχνική επίθεση, η οποία αποτελεί ένα συνδυασμό της τεχνικής και κοινωνικής επίθεσης ή και όλων των παραπάνω. Είναι ίσως η ισχυρότερη μορφή επίθεσης αφού παρέχει ένα συνδυασμό πολλών τύπων επιθέσεων.

Πίνακας 1: Φυσικές, Τεχνικές, Κοινωνικές και Κοινωνικοτεχνικές Επιθέσεις, [3].

Ο Πίνακας 1:, αναδεικνύει επιθέσεις που αναλύουν οι Krombholz et al.[3], σε 3 άξονες:

το κανάλι το οποίο χρησιμοποιεί ο θύτης για την εξαπόλυσή τους (πχ μήνυμα ηλεκτρονικού ταχυδρομείου, τηλέφωνο κ.α.), τον τύπο του θύτη (άνθρωπος ή λογισμικό) και τον τύπο της επίθεσης που αποτελεί και τον κορμό της ταξινόμησής τους

Εκμετάλλευση και Εκτέλεση. Οι επιστήμονες που ανέπτυξαν τη συγκεκριμένη ταξινόμηση το έκαναν με σκοπό να βοηθήσουν την αντιμετώπιση των επιθέσεων.

Ενορχήστρωση: Στη διάρκεια της ενορχήστρωσης υπάρχουν κάποιες παράμετροι που είναι εξαιρετικά σημαντικές και αφορούν την κατάστρωση της επίθεσης. Πρώτον, πολύ σημαντικό είναι το πώς επιλέγεται το θύμα. Είναι εξαιρετικής σημασίας το κατά πόσο ένα θύμα επιλέγεται τυχαία ή με βάση κάποια συγκεκριμένο χαρακτηριστικό του. Αυτό μπορεί να αποτελέσει σημαντικό στοιχείο στην αντιμετώπιση μιας επίθεσης. Επιπλέον, είναι σημαντικό να αναλυθεί ο τρόπος με τον οποίο η επίθεση φτάνει στο θύμα. Μέσω αυτού, μπορούν να εντοπιστούν τα μέσα και οι πλατφόρμες που ο θύτης χρησιμοποιεί για να προσεγγίσει τα θύματα του. Κατ’ επέκταση, μπορούν οι συγκεκριμένες πλατφόρμες να προστατευθούν καλύτερα ή να χαρακτηριστούν ως «αδύναμες» και επομένως οι χρήστες να βρίσκονται σε επιφυλακή. Τέλος, βασικό στοιχείο είναι το κατά πόσο η επίθεση είναι αυτόματη ή όχι. Είναι τόσο σημαντικό γιατί αν μια επίθεση είναι αυτοματοποιημένη είναι ευκολότερο να εντοπιστούν βασικά της χαρακτηριστικά και να προβλεφθούν μελλοντικές επιθέσεις με μεγάλη ακρίβεια. Από την άλλη, αν μια επίθεση δεν είναι αυτοματοποιημένη, σίγουρα στοχεύει σε συγκεκριμένες αδυναμίες του θύματος στον οποίο απευθύνεται.

Εκμετάλλευση: Βασικό στοιχείο στην επιτυχία της επίθεσης είναι η εκμετάλλευση και παραπλάνηση του χρήστη. Τί είναι όμως αυτό που τελικά εξαπατά τον χρήστη; Είναι κάποια συμπεριφορά του συστήματος ή απλά η όψη του; Με την απάντηση αυτών των ερωτημάτων και την ανάλυση των αντίστοιχων απαντήσεων μπορεί να αναπτυχθεί κάποιος μηχανισμός που να συντελέσει στον εντοπισμό των στοιχείων που συμβάλλουν στην εξαπάτηση του χρήστη και συνεπώς να τα αντιμετωπίσει με μεγαλύτερη ακρίβεια και επιτυχία. Ένας άλλος σημαντικός παράγοντας της εκμετάλλευσης είναι το κατά πόσο ο θύτης εκμεταλλεύεται απλά μια πλατφόρμα ή/και αλλάζει μέρος του κώδικά της για να εξαπατήσει τον χρήστη. Είναι προφανές πως ένα σύστημα που έχει υποστεί εσωτερικές αλλαγές για την εξαπάτηση χρηστών θα χρειαστεί εντελώς διαφορετική μέθοδο αντιμετώπισης από ένα άλλο, που απλά χρησιμοποιείται σαν μέσο, ως έχει και χωρίς αλλαγές, για την εξαπόλυση επίθεσης.

Εκτέλεση: Η στιγμή της εκτέλεσης της επίθεσης είναι ίσως η πιο κρίσιμη στιγμή όλου του σχεδίου. Για την αποφυγή της επίθεσης, έχει αξία να διερευνηθεί το κατά πόσο η επίθεση πετυχαίνει την εξαπάτηση σε ένα μόνο βήμα, ή χρειάζονται περισσότερες ενέργειες προκειμένου να πετύχει. Όσο περισσότερα βήματα έχει μια επίθεση, τόσο πιο εύκολο είναι να εντοπιστεί. Επιπλέον, είναι πιο εύκολο να αποφευχθεί, καθώς αρκεί να αποτραπεί έστω και μία από τις ενέργειες που πρέπει να εκτελέσει ο χρήστης προκειμένου η επίθεση να στεφθεί με επιτυχία. Τέλος, είναι σημαντικό να εξεταστεί το κατά πόσο η επίθεση είναι επίμονη ή όχι. Όσο πιο πολύ επιμένει μια επίθεση και προσπαθεί να εξαπατήσει τον χρήστη, τόσο μεγαλύτερες πιθανότητες έχει να επιτύχει.

Από την άλλη, όσο πιο πολύ αναπτύσσεται και επιμένει μια επίθεση, τόσο πιο εύκολο είναι να αναλυθούν τα βήματα της, να προβλεφθεί και τελικά να παρεμποδιστεί.

Εικόνα 9: Ενορχήστρωση, Εκμετάλλευση, Εκτέλεση.

3.1.3 Ταξινόμηση Ivaturi και Janczewski

Οι Ivaturi και Janczewski [5], πρότειναν μια διαφορετικής μορφής ταξινόμηση.

Υποστήριξαν πως παρόλο που κάθε επίθεση αποτελείται από τρία στάδια (φάση προετοιμασίας της επίθεσης, φάση επίθεσης και φάση μετά την επίθεση) το στάδιο που έχει τη μεγαλύτερη αξία να αναλυθεί και να ταξινομηθεί για τις επιθέσεις κοινωνικής μηχανής είναι εκείνο που αφορά την ίδια την επίθεση καθώς τα άλλα δύο στάδια είναι παρόμοια σε όλων των ειδών τις επιθέσεις. Αναλύουν λοιπόν το στάδιο της επίθεσης σε δύο βασικές κατηγορίες: τις επιθέσεις που γίνονται Πρόσωπο-με-Πρόσωπο και τις επιθέσεις που γίνονται Πρόσωπο-με-Πρόσωπο μέσω τεχνολογικών μέσων.

Πρόσωπο-με-Πρόσωπο: Ως επιθέσεις κοινωνικής μηχανής πρόσωπο-με-πρόσωπο χαρακτηρίζονται οι επιθέσεις όπου θύτης και θύμα έχουν άμεση ή προσωπική αλληλεπίδραση. Ο θύτης χρησιμοποιεί εξαιρετικές μεθόδους παραπλάνησης και αποπροσανατολισμού του θύματος με σκοπό να εκμεταλλευτεί την ευπιστία και την εμπιστοσύνη που του δείχνει το θύμα.

Πρόσωπο-με-Πρόσωπο μέσω τεχνολογικών μέσων: Οι Ivaturi και Janczewski εντάσσουν σε αυτήν την κατηγορία όλες τις επιθέσεις κοινωνικής μηχανής που δεν περιλαμβάνουν την άμεση, φυσική παρουσία του θύτη. Η όλο και μεγαλύτερη ανάπτυξη της τεχνολογίας και των ηλεκτρονικών μέσων όπως είναι οι ηλεκτρονικοί υπολογιστές και τα κινητά τηλέφωνα έδωσε στους θύτες εξαιρετικές ευκαιρίες προσέγγισης και εξαπάτησης των θυμάτων τους. Οι επιθέσεις που εξαπολύονται μέσω κάποιου μέσου

3.2 Βασικά είδη Social Engineering attacks με βάση την ταξινόμηση Ivaturi και Janczewski

Παρακάτω παρουσιάζονται αναλυτικά κάποια βασικά είδη Social Engineering attacks που οι Ivaturi και Janczewski [5], παρουσίασαν στην ταξινόμησή τους. Έχουν κατηγοριοποιηθεί με βάση τη συγκεκριμένη ταξινόμηση η οποία παρουσιάζεται σχηματικά στην Εικόνα 10.

Εικόνα 10: Η ταξινόμηση των Ivaturi και Janczweski, [5].

3.2.1 Pretexting – Πρόσωπο-με-Πρόσωπο επίθεση

Οι Ivaturi και Janczewski [5], κατατάσσουν το pretexting στις επιθέσεις πρόσωπο-με- πρόσωπο. Βασικό χαρακτηριστικό αυτής της επίθεσης είναι ότι ο θύτης προσποιείται πως είναι κάποιος άλλος και προσπαθεί να δημιουργήσει ψευδείς συνθήκες κάτω από τις οποίες να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες. Για το λόγο αυτό κατατάσσεται στις επιθέσεις πρόσωπο-με-πρόσωπο. Απαιτεί εκτεταμένη έρευνα από την πλευρά του θύτη για να μπορέσει να λειτουργήσει σωστά. Για παράδειγμα, ο θύτης

πρέπει να ανακαλύψει εκ των προτέρων πληροφορίες για το θύμα του και για τον τρόπο που δίδεται η πρόσβαση σε ευαίσθητες πληροφορίες στο θύμα ώστε να μπορέσει να εκμεταλλευτεί τις συνθήκες. Τέτοιες πληροφορίες μπορεί να είναι που δουλεύει το θύμα, σε ποιόν όροφο, τι ώρα φτάνει συνήθως στο γραφείο κά.

3.2.2 Reverse Social Engineering Attack – Πρόσωπο-με-Πρόσωπο επίθεση

Και αυτή η επίθεση κατηγοριοποιείται στις επιθέσεις πρόσωπο-με-πρόσωπο. Ο θύτης παρουσιάζεται στο θύμα ως ένα πρόσωπο με υψηλή εξουσία και το επηρεάζει ώστε να θέσει εκείνο πολλές ερωτήσεις αντί για τον θύτη. Συνήθως αποτελούνται από τρία στάδια: σαμποτάζ, διαφήμιση και βοήθεια. Κατά το στάδιο του σαμποτάζ ο θύτης καταστρέφει ένα μέρος του δικτύου της οργάνωσης στην οποία ανήκει ο θύτης. Στη συνέχεια, διαφημίζει τον εαυτό του ως το κατάλληλο άτομο για να επιλύσει αποτελεσματικά και άμεσα το πρόβλημα που έχει παρουσιαστεί. Τέλος, επιλύει το πρόβλημα που εξαρχής αυτός δημιούργησε και ζητά από το θύμα να συνδεθεί στο δίκτυο για επιβεβαίωση παίρνοντας έτσι αυτό για το οποίο ενορχήστρωσε την όλη επίθεση. Η επίθεση αυτή είναι εξαιρετικά πανούργα γιατί παρόλο που ο θύτης έρχεται σε επαφή πρόσωπο-με-πρόσωπο με το θύμα, είναι εξαρχής ένα άτομο υπεράνω πάσης υποψίας αφού εκείνος βοήθησε ώστε να αποφευχθεί η επίθεση.

3.2.3 Tailgating – Πρόσωπο-με-Πρόσωπο επίθεση

Οι Ivaturi και Janczewski [5], κατατάσσουν την επίθεση tailgating, η οποία έχει περιγραφεί στην παράγραφο 2.10, στις επιθέσεις πρόσωπο-με-πρόσωπο καθώς σε αυτές ο θύτης απλά ακολουθεί το θύμα το οποίο έχει πρόσβαση σε μια ασφαλή περιοχή στην οποία ο θύτης δεν θα μπορούσε να μπει από μόνος του.

Σύμφωνα με την Ταξινόμηση των Ivaturi και Janczewski [5], οι επιθέσεις πρόσωπο-με- πρόσωπο έχουν ως βασικό κοινό τους χαρακτηριστικό πως ο θύτης κατασκευάζει μια περσόνα βασισμένη στην επίθεση που ετοιμάζει και αντλώντας πληροφορίες από το περιβάλλον του θύματος ενορχηστρώνει γύρω της μια παραπλανητική ιστορία με σκοπό να εξαπατήσει το θύμα του. Οι άνθρωποι πέφτουν θύματα τέτοιου είδους επιθέσεων γιατί οι επιθέσεις αυτές βασίζονται στο να εκμεταλλευτούν ανθρώπινα συναισθήματα όπως είναι η απληστία, η εμπάθεια ή ο φόβος.

Για να συντηρηθεί αυτή η εικόνα της περσόνας που έχει χτίσει ο θύτης, πρέπει ο ίδιος να είναι κατάλληλα προετοιμασμένος ώστε να ξέρει καλά τον «ρόλο» του και να βρίσκεται σε θέση να απαντήσει σε πιθανές ερωτήσεις του θύματος. Για να γίνει αυτό και για να διευκολύνει τη θέση του, ο θύτης συνήθως επιλέγει να χρησιμοποιεί όρους που χρησιμοποιούνται μεταξύ των υπαλλήλων μιας εταιρείας και είτε επινοεί μία περσόνα, είτε προσποιείται πως είναι μια είδη υπάρχουσα περσόνα. Στη σύγχρονη εποχή, οι επιθέσεις τέτοιου είδους διευκολύνονται σε μεγάλο βαθμό λόγω της ελεύθερης διακίνησης της πληροφορίας αλλά κυρίως λόγω της ύπαρξης των μέσων κοινωνικής

3.2.4 Πρόσωπο-με-Πρόσωπο μέσω μηνύματος – Πρόσωπο-με-Πρόσωπο μέσω τεχνολογικών μέσων

Οι επιθέσεις πρόσωπο-με-πρόσωπο μέσω μηνύματος περιλαμβάνουν όλες τις επιθέσεις που χρησιμοποιούν κάποιο μέσο ανταλλαγής μηνυμάτων για την εγκαθίδρυσή τους και την επικοινωνία με το θύμα. Τα μηνύματα αυτά μπορεί να μεταδίδονται μέσω του διαδικτύου όπως πχ μηνύματα ηλεκτρονικού ταχυδρομείου, SMS, μηνύματα chat αλλά μπορούν ακόμα και να χρησιμοποιούν παραδοσιακές μορφές επικοινωνίας όπως είναι οι εφημερίδες, τα περιοδικά ή η αλληλογραφία μέσω ταχυδρομείου. Τέτοιου είδους επιθέσεις είναι το Phishing, το SMSishing και το CSRF.

Phishing:

To phishing είναι μια επίθεση η οποία, όπως περιγράφηκε στην παράγραφο 2.1, κυρίως εξαπολύεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου και περιλαμβάνει την απόκτηση ευαίσθητων πληροφοριών από τον θύτη ο οποίος παριστάνει μια οντότητα υψηλής αξιοπιστίας (όπως για παράδειγμα είναι ο υπάλληλος μιας τράπεζας). Ο τρόπος με τον οποίο λειτουργεί είναι η αποστολή ενός μεγάλου αριθμού μηνυμάτων ηλεκτρονικού ταχυδρομείου σε τυχαίους παραλήπτες με την ελπίδα πως κάποιοι θα πέσουν θύματα της πλεκτάνης. Τα μηνύματα ηλεκτρονικού ταχυδρομείου αυτά έχουν τη μορφή μιας επίσημης αποστολής και περιλαμβάνουν συνήθως κάποιο σύνδεσμο σε κάποιον ιστότοπο μέσω του οποίου το θύμα καλείται να κάνει μια ενέργεια. Μέσω αυτής της ενέργειας γίνεται και η υποκλοπή πληροφοριών.

SMSishing:

Η επίθεση αυτή μοιάζει κατά πολύ με το phishing, με μόνη διαφορά πως η επίθεση εξαπολύεται από τον θύτη όχι μέσω μηνύματος ηλεκτρονικού ταχυδρομείου αλλά μέσω SMS.

CSRF:

Σε αυτού του είδους την επίθεση, η οποία έχει ήδη αναλυθεί στην παράγραφο 2.7, ο θύτης παραπλανά τον browser του θύματος ώστε να εκτελέσει ορισμένες ανεπιθύμητες ενέργειες χωρίς να χρειαστεί να τις κάνει το ίδιο το θύμα. Σε αυτού του είδους την επίθεση ο θύτης εκμεταλλεύεται την αδυναμία του συστήματος που δεν μπορεί να διαχωρίσει τις αιτήσεις που προέρχονται από πραγματικούς χρήστες από τις κακόβουλες αιτήσεις. Τέτοιου είδους επιθέσεις συμβαίνουν όταν ο χρήστης έχει ήδη εισέλθει σε κάποιον ιστότοπο. Ο τρόπος που αυτή η επίθεση εκτυλίσσεται έχει ως εξής:

ο θύτης στέλνει στο θύμα ένα μήνυμα ηλεκτρονικού ταχυδρομείου που δεν μοιάζει ύποπτο αλλά περιέχει ένα κομμάτι κακόβουλου κώδικα που παίρνει τη μορφή κάποιου κοινού HTML στοιχείου (όπως για παράδειγμα μία εικόνα). Για να στεφθεί η επίθεση με επιτυχία αρκεί το θύμα απλά να ανοίξει το μήνυμα ηλεκτρονικού ταχυδρομείου που έχει λάβει και ο browser του αυτόματα θα εκτελέσει το HTML στοιχείο χωρίς να χρειαστεί κάποιου είδους επιβεβαίωση αφού ο χρήστης έχει ήδη εισέλθει στον ιστότοπο.

Malware:

Η επίθεση malware, η οποία έχει περιγραφεί στην παράγραφο 2.8, θεωρείται μια από τις πιο αποτελεσματικές επιθέσεις και συνεπώς έχει και τα μεγαλύτερα ποσοστά επιτυχίας σε σχέση με τις άλλες επιθέσεις. Αυτό οφείλεται στο γεγονός ότι αυτού του είδους οι επιθέσεις είναι πολύ επίμονες και άκρως διαβρωτικές. Χρησιμοποιεί ένα συνδυασμό ψυχολογικών και τεχνολογικών τεχνασμάτων και πολλές φορές δεν γίνεται καν αντιληπτή. Ένας παράγοντας που συντελεί στην τεράστια επιτυχίας αυτής της επίθεσης είναι η πληθώρα των μέσων που μπορεί ένας θύτης να χρησιμοποιήσει ώστε