Η Κοινωνική Μηχανική (Social Engineering) για όσους πιθανότατα δεν γνωρίζουν αναφέρεται σε μία μέθοδο επίθεσης και βιομηχανικής κατασκοπίας, κατά την οποία δεν χρησιμοποιούνται τεχνικά μέσα. Με απλά λόγια είναι μια επίθεση που συνήθως χρησιμεύει σε hackers για να αποκτήσουν πρόσβαση σε δίκτυα μεγάλων εταιρειών ή να στοχεύσουν μεμονωμένα άτομα, ανάλογα με το σκοπό της επίθεσης.
Σκοπός αυτού του άρθρου είναι να αναδείξει τη σημαντικότητα της προστασίας δεδομένων στο διαδίκτυο και την άμεση σχέση με την κοινωνική μηχανική. Ένα παράδειγμα επίθεσης κοινωνικής μηχανικής περιλαμβάνει τον επιτιθέμενο, το θύμα και την αξιοποίηση της πληροφορίας. Φανταστείτε ότι έχετε δημοσιεύσει στο facebook κάποιους αγαπημένους προορισμούς και μέρη τα οποία έχετε επισκεφτεί, μιλώντας με θαυμασμό. Ένας επιτιθέμενος ο οποίος σας έχει βάλει ως στόχο θα μπορούσε να εκμεταλλευτεί αυτήν την πληροφορία να σας καλέσει στο τηλέφωνο (εύρεση μέσω καταλόγου ή ακόμα και από το ίδιο το facebook ή με την αποστολή e-mail). Στη συνέχεια ο επιτιθέμενος σας ζητάει να του δώσετε προσωπικά σας στοιχεία, με την δικαιολογία ότι έχετε κερδίσει ένα χρηματικό ποσό από κλήρωση που έγινε για τους πελάτες του ξενοδοχείου Χ, στο οποίο είχατε διαμείνει το διάστημα που είχατε επισκεφτεί τα μέρη που περιγράφετε στο προφίλ σας. Πιθανότατα εσείς θα τον εμπιστευτείτε αφού διαθέτει τόσες πληροφορίες για εσάς, και θα του δώσετε στοιχεία ταυτότητας και ίσως και τραπεζικό λογαριασμό. Το επόμενο βήμα θα είναι να τηλεφωνήσει στην τράπεζά σας και να προσποιηθεί ότι είστε εσείς, υποστηρίζοντας ότι μπλόκαρε τον ηλεκτρονικό λογαριασμό που χρησιμοποιούσε για τις online πληρωμές και ότι θα χρειαστεί νέο κωδικό. Τα στοιχεία που θα του ζητήσει η τράπεζα είναι ήδη στα χέρια του και το αίτημα προχώρα. Με αυτόν τον τρόπο είναι πολύ εύκολο να χάσετε χρήματα και να μην αντιληφθείτε το γεγονός καθόλου, τουλάχιστον όχι στην αρχή.
Είναι ένα από τα πολλά παραδείγματα, τα οποία όμως συμβαίνουν στην πραγματικότητα και οι περισσότεροι από εμάς δεν γνωρίζουμε τους κινδύνους που διατρέχουμε από την υπερέκθεση των προσωπικών μας στοιχείων. Ακόμη μεγαλύτερος είναι ο κίνδυνος για τις επιχειρήσεις, αν μάλιστα σκεφτούμε την αύξηση της χρήσης του Linkedin, το οποίο είναι ένα κοινωνικό δίκτυο, αποκλειστικά σχεδιασμένο για επαγγελματίες. Πολλοί από τους χρήστες δημοσιεύουν ολόκληρο το βιογραφικό τους και πολλές φορές το μοιράζονται με άτομα που δεν γνωρίζουν. Οι τρόποι εκμετάλλευσης αυτών των πληροφοριών είναι άπειροι και μπορούν να οδηγήσουν στην παραβίαση της περιμετρικής ασφάλειας μιας εταιρείας και να θέσουν σε κίνδυνο ευαίσθητα δεδομένα και την επιχειρηματική συνέχεια.
Βαβούσης Κωνσταντίνος