Με την ευρύτερη έννοια, κάθε είδους χειραγώγηση που σχετίζεται με τη συμπεριφορική ψυχολογία μπορεί να θεωρηθεί κοινωνική μηχανική. Ωστόσο, η έννοια δεν συνδέεται πάντοτε με εγκληματικές ή δόλιες δραστηριότητες. Για την ακρίβεια, η κοινωνική μηχανική εφαρμόζεται και ερευνάται εκτενώς σε διάφορα πλαίσια, σε τομείς όπως οι κοινωνικές επιστήμες, η ψυχολογία και το μάρκετινγκ.
Όταν πρόκειται για την ασφάλεια στον κυβερνοχώρο, η κοινωνική μηχανική εφαρμόζεται με απώτερους σκοπούς και αφορά ένα σύνολο κακόβουλων δραστηριοτήτων που προσπαθούν να χειραγωγήσουν τους ανθρώπους, έτσι ώστε να προβούν σε λάθος κινήσεις, όπως να δώσουν προσωπικές ή εμπιστευτικές πληροφορίες που μπορούν αργότερα να χρησιμοποιηθούν εναντίον τους ή εναντίον της εταιρείας τους. Η πλαστοπροσωπία είναι συνήθης συνέπεια αυτού του είδους επιθέσεων και σε πολλές περιπτώσεις επιφέρει σημαντικές οικονομικές ζημίες.
Η κοινωνική μηχανική παρουσιάζεται συχνά ως απειλή στον κυβερνοχώρο, αλλά η έννοια υπάρχει εδώ και πολύ καιρό, και ο όρος μπορεί επίσης να χρησιμοποιηθεί για απάτες του πραγματικού κόσμου, οι οποίες συνήθως περιλαμβάνουν την αντιποίηση των αρχών ή των ειδικών πληροφορικής. Ωστόσο, με την εμφάνιση του διαδικτύου οι χάκερ κατάφεραν να πραγματοποιούν πολύ ευκολότερα επιθέσεις χειραγώγησης σε ευρύτερη κλίμακα και, δυστυχώς, αυτές οι κακόβουλες δραστηριότητες παρατηρούνται και στα κρυπτονομίσματα.
Πώς λειτουργεί;
Κάθε τεχνική κοινωνικής μηχανικής βασίζεται στις αδυναμίες της ψυχολογίας του ανθρώπου. Οι απατεώνες εκμεταλλεύονται τα συναισθήματα για να χειραγωγούν και να εξαπατούν τα θύματά τους. Ο φόβος, η απληστία, η περιέργεια, ακόμη και η προθυμία των ανθρώπων να βοηθούν τους άλλους, στρέφονται εναντίον τους με διάφορους τρόπους. Από τους διάφορους τύπους κακόβουλης κοινωνικής μηχανικής, το ηλεκτρονικό "ψάρεμα" είναι σίγουρα ένα από τα πιο συνηθισμένα και γνωστά παραδείγματα.
Ηλεκτρονικό "ψάρεμα"
Τα email ηλεκτρονικού "ψαρέματος" συχνά μιμούνται την αλληλογραφία από μια νόμιμη εταιρεία, όπως μια αλυσίδα καταστημάτων εθνικής τράπεζας, ένα αξιόπιστο ηλεκτρονικό κατάστημα ή έναν πάροχο email. Σε ορισμένες περιπτώσεις, αυτά τα παραπλανητικά email προειδοποιούν τους χρήστες ότι ο λογαριασμός τους είτε πρέπει να ενημερωθεί είτε έχει ασυνήθιστη δραστηριότητα και τους ζητάνε να παράσχουν προσωπικές πληροφορίες για να επιβεβαιώσουν την ταυτότητά τους και να τακτοποιήσουν τους λογαριασμούς τους. Επειδή φοβούνται, μερικοί άνθρωποι κάνουν αμέσως κλικ στους συνδέσμους και μεταφέρονται σε έναν ψεύτικο ιστότοπο για να παράσχουν τα απαιτούμενα στοιχεία. Σε αυτό το σημείο, οι πληροφορίες περνούν στους χάκερ.
Λογισμικό εκφοβισμού (Scareware)
Για τη διάδοση του λογισμικού εκφοβισμού (Scareware) εφαρμόζονται επίσης τεχνικές κοινωνικής μηχανικής. Όπως υποδηλώνει και το όνομά του, το scareware είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να εκφοβίζει και να σοκάρει τους χρήστες. Συνήθως περιλαμβάνει τη δημιουργία ψεύτικων προειδοποιήσεων που προσπαθούν να εξαπατήσουν τα θύματα, έτσι ώστε αυτά να εγκαταστήσουν ένα ψεύτικο λογισμικό που μοιάζει νόμιμο ή να αποκτήσουν πρόσβαση σε έναν ιστότοπο που θα προσβάλει το σύστημά τους. Μια τεχνική τέτοιου είδους βασίζεται συχνά στον φόβο των χρηστών ότι το σύστημά τους έχει παραβιαστεί και τους πείθει να κάνουν κλικ σε ένα διαφημιστικό μπάνερ ή αναδυόμενο παράθυρο. Τα μηνύματα συνήθως περιλαμβάνουν το εξής: "Το σύστημά σας έχει μολυνθεί, κάντε κλικ εδώ για καθαρισμό".
Δόλωμα
Το δόλωμα είναι άλλη μια μέθοδος κοινωνικής μηχανικής που δημιουργεί προβλήματα σε πολλούς απρόσεκτους χρήστες. Περιλαμβάνει τη χρήση δολωμάτων για να δελεάσει τα θύματα χρησιμοποιώντας την απληστία ή την περιέργειά τους. Για παράδειγμα, οι απατεώνες μπορεί να δημιουργήσουν έναν ιστότοπο που προσφέρει δωρεάν προϊόντα, όπως αρχεία μουσικής, βίντεο ή βιβλία. Αλλά για να έχουν πρόσβαση σε αυτά τα αρχεία, οι χρήστες πρέπει να δημιουργήσουν έναν λογαριασμό, παρέχοντας τα προσωπικά τους στοιχεία. Σε ορισμένες περιπτώσεις, δεν απαιτείται λογαριασμός, επειδή τα αρχεία μολύνονται άμεσα από κακόβουλο λογισμικό που διεισδύει στο σύστημα του υπολογιστή του θύματος και συλλέγει τα ευαίσθητα δεδομένα του.
Οι απάτες δολώματος μπορούν επίσης να χρησιμοποιηθούν στον πραγματικό κόσμο μέσω της χρήσης USB και εξωτερικών σκληρών δίσκων. Οι απατεώνες ίσως αφήνουν σκόπιμα σε δημόσιο χώρο μολυσμένες συσκευές, έτσι ώστε κάθε άτομο που έχει την περιέργεια να τις περιεργαστεί και να ψάξει το περιεχόμενο, να μολύνει τον δικό του προσωπικό υπολογιστή.
Κοινωνική μηχανική και κρυπτονομίσματα
Η απληστία μπορεί να είναι αρκετά επικίνδυνη όσον αφορά τις χρηματοοικονομικές αγορές, με αποτέλεσμα οι επενδυτές να είναι ιδιαίτερα ευάλωτοι σε επιθέσεις ηλεκτρονικού "ψαρέματος", σε σχέδια Ponzi ή απάτες πυραμίδων καθώς και σε άλλους τύπους απάτης. Στον χώρο του blockchain, ο ενθουσιασμός που προκαλούν τα κρυπτονομίσματα προσελκύει πολλούς νέους χρήστες στον χώρο σε σχετικά σύντομο χρονικό διάστημα (ιδίως κατά τη διάρκεια μιας ανατιμητικής αγοράς).
Παρόλο που πολλοί δεν κατανοούν πλήρως τον τρόπο με τον οποίο λειτουργούν τα κρυπτονομίσματα, συχνά μαθαίνουν για τις δυνατότητες αυτών των αγορών όσον αφορά τα κέρδη και τελικά επενδύουν χωρίς να κάνουν την κατάλληλη έρευνα. Η κοινωνική μηχανική είναι εξαιρετικά επικίνδυνη για τους αρχάριους, καθώς συχνά παγιδεύονται από την απληστία ή τον φόβο τους.
Από τη μια πλευρά, η λαχτάρα για γρήγορα κέρδη και εύκολο χρήμα οδηγεί τελικά τους νέους χρήστες να κυνηγούν ψεύτικες υποσχέσεις για δώρα και airdrop. Από την άλλη, ο φόβος παραβίασης των προσωπικών τους αρχείων μπορεί να αναγκάσει τους χρήστες να πληρώσουν λύτρα. Σε κάποιες περιπτώσεις, δεν γίνεται πραγματική μόλυνση από ransomware και οι χρήστες εξαπατώνται από ψεύτικη προειδοποίηση ή μήνυμα που δημιουργήθηκε από χάκερ.
Πώς γίνεται η πρόληψη επιθέσεων κοινωνικής μηχανικής
Όπως αναφέρθηκε, οι απάτες κοινωνικής μηχανικής πετυχαίνουν επειδή επικαλούνται την ανθρώπινη φύση. Συνήθως χρησιμοποιούν τον φόβο ως κίνητρο, προτρέποντας τους χρήστες να αναλάβουν άμεση δράση για να προστατεύσουν τον εαυτό τους (ή το σύστημά τους) από μια ανύπαρκτη απειλή. Οι επιθέσεις βασίζονται επίσης στην απληστία των ανθρώπων, παρασύροντας τα θύματα σε διάφορους τύπους επενδυτικών απατών. Επομένως, είναι σημαντικό να θυμάστε ότι αν μια προσφορά φαίνεται πολύ καλή για να είναι αληθινή, μάλλον είναι.
Παρόλο που ορισμένοι απατεώνες είναι επιδέξιοι, άλλοι εισβολείς κάνουν εμφανή λάθη. Ορισμένα email ηλεκτρονικού "ψαρέματος", ακόμη και τα μπάνερ λογισμικού εκφοβισμού, συχνά περιέχουν συντακτικά λάθη ή ορθογραφικά λάθη και είναι αποτελεσματικά μόνο εναντίον όσων δεν δίνουν αρκετή προσοχή στη γραμματική και την ορθογραφία - γι' αυτό να είστε προσεχτικοί.
Για να μην πέσετε θύμα επιθέσεων κοινωνικής μηχανικής, θα πρέπει να λάβετε υπόψη σας τα ακόλουθα μέτρα ασφαλείας:
Ενημερωθείτε και ενημερώστε τους φίλους και την οικογένειά σας. Ενημερώστε τους για τις κοινές περιπτώσεις κακόβουλης κοινωνικής μηχανικής και ενημερώστε τους για τις βασικές γενικές αρχές ασφαλείας.
Να προσέχετε τα συνημμένα αρχεία και τους συνδέσμους email. Μην κάνετε κλικ σε διαφημίσεις και ιστότοπους άγνωστης προέλευσης.
Εγκαταστήστε ένα αξιόπιστο πρόγραμμα προστασίας από ιούς και διατηρήστε τις εφαρμογές λογισμικού και το λειτουργικό σας σύστημα ενημερωμένα.
Χρησιμοποιήστε λύσεις ελέγχου ταυτότητας πολλών παραγόντων όποτε μπορείτε, για να προστατεύετε τα διαπιστευτήρια του email σας και άλλα προσωπικά δεδομένα. Διαμορφώστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) στον λογαριασμό σας στην Binance.
Όσον αφορά τις επιχειρήσεις: Εξετάστε το ενδεχόμενο να εκπαιδεύσετε το προσωπικό σας ώστε να εντοπίζει και να αποτρέπει τις επιθέσεις ηλεκτρονικού "ψαρέματος" και τις απάτες κοινωνικής μηχανικής.
Συμπεράσματα
Οι εγκληματίες του κυβερνοχώρου αναζητούν συνεχώς νέους τρόπους για να εξαπατούν τους χρήστες, με στόχο να κλέψουν τα κεφάλαια και τις ευαίσθητες πληροφορίες τους, γι' αυτό είναι πολύ σημαντικό να ενημερώνεστε και να ενημερώνετε τους γύρους σας. Το διαδίκτυο είναι ένας παράδεισος για απάτες αυτού του είδους και εμφανίζονται αρκετά συχνά στον χώρο των κρυπτονομισμάτων. Να είστε προσεχτικοί και να παραμένετε σε εγρήγορση για να μην πέσετε θύμα παγίδων κοινωνικής μηχανικής.
Επιπλέον, όποιος αποφασίσει να πραγματοποιεί συναλλαγές ή να επενδύσει σε κρυπτονομίσματα, θα πρέπει να κάνει έγκαιρη έρευνα και να βεβαιωθεί ότι γνωρίζει καλά τόσο τις αγορές όσο και τους μηχανισμούς λειτουργίας της τεχνολογίας blockchain.