Η Κοινωνική Μηχανική (ΚΜ) (Social Engineering) είναι ένα σύνολο μεθόδων που χρησιμοποιούνται σε διάφορα επίπεδα και στοχεύουν σε μεμονωμένα άτομα, ομάδες ατόμων, οργανισμούς ή κράτη.
Όταν ο στόχος είναι μεμονωμένα άτομα ο σκοπός είναι η εξαπάτηση, η αποκάλυψη ευαίσθητων πληροφοριών ή η εκτέλεση ενεργειών που θέτουν σε κίνδυνο την ασφάλεια και την περιουσία τους.
Οι μέθοδοι της ΚΜ απευθύνονται και σε μεγάλες πληθυσμιακές ομάδες με απώτερο στόχο να επηρεαστούν συγκεκριμένες κοινωνικές συμπεριφορές σε μεγάλη κλίμακα.
Στις περιπτώσεις αυτές τις περισσότερες φορές οι διεργασίες αναλαμβάνονται από κυβερνήσεις, από μέσα ενημέρωσης, δεξαμενές σκέψης (think tank) ή ιδιωτικές ομάδες, προκειμένου να παραχθούν τα επιθυμητά αποτελέσματα για έναν πληθυσμιακό στόχο.
Η ΚΜ που αφορά στη διαχείριση κοινωνικών αλλαγών και στη ρύθμιση συμπεριφορών μιας κοινωνίας εμπίπτει περισσότερο στο πεδίο έρευνας των Κοινωνικών και Πολιτικών Επιστημών.
Ο όρος ΚΜ χρησιμοποιήθηκε για πρώτη φορά από τον Ολλανδό βιομήχανο J.C. Van Marken σε ένα δοκίμιο το 1894. Η ιδέα ήταν ότι οι σύγχρονοι εργοδότες χρειάζονταν τη βοήθεια ειδικών για την αντιμετώπιση των ανθρώπινων προκλήσεων, όπως ακριβώς χρειάζονταν τεχνική εμπειρογνωμοσύνη με παραδοσιακούς μηχανικούς για την αντιμετώπιση μη ανθρώπινων προκλήσεων (υλικά, μηχανές, διαδικασίες).
“Social engineering” ήταν και ο τίτλος ενός μικρού περιοδικού το 1899 καθώς και το 1909 ήταν ο τίτλος ενός βιβλίου του πρώην εκδότη του περιοδικού, William H. Tolman.
Στη δεκαετία του 1920 η κυβέρνηση της Σοβιετικής Ένωσης ξεκίνησε μια εκστρατεία για να αλλάξει ριζικά τη συμπεριφορά και τα ιδανικά των Σοβιετικών πολιτών, να αντικαταστήσει τα παλιά κοινωνικά πλαίσια της Ρωσικής Αυτοκρατορίας με μια νέα σοβιετική κουλτούρα και να αναπτύξει τον Νέο Σοβιετικό άνθρωπο. Οικομισάριοι έγιναν πράκτορες της ΚΜ (Kort, M. G. 2019 “The Soviet Colossus History and Aftermath”).
Η ΚΜ βασίζεται κυρίως στην ψυχολογία και στην ανθρώπινη συμπεριφορά και όχι στην τεχνογνωσία. Είναι πράγματι μια σοβαρή απειλή στον τομέα ασφάλειας της πληροφορικής αφού εκμεταλλεύεται την ψυχολογία και τη συμπεριφορά των ανθρώπων.
Η ΚΜ στην Πληροφορική:
Αν και αυτή η μορφή απάτης υπήρχε πάντα, έχει εξελιχθεί σημαντικά με τις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ) (ICT). Σε αυτό το νέο πλαίσιο οι τεχνικές ΚΜ στην Πληροφορική μπορούν να εξεταστούν από δύο διαφορετικές οπτικές γωνίες:
1. Χρησιμοποίηση με ποικίλους τρόπους μιας χειραγώγησης για να αποκτηθεί η πρόσβαση σε ένα σύστημα πληροφορικής το οποίο είναι και ο πραγματικός στόχος του δράστη. Παράδειγμα η πλαστοπροσωπία ενός σημαντικού πελάτη μέσω μιας τηλεφωνικής κλήσης με σκοπό να παρασύρει τον στόχο να περιηγηθεί σε έναν κακόβουλο ιστότοπο ώστε να «μολυνθεί» ο σταθμός εργασίας του.
2. Η χρήση τεχνολογιών πληροφορικής ως υποστήριξη τεχνικών ψυχολογικής χειραγώγησης για την επίτευξη ενός στόχου εκτός του πεδίου της πληροφορικής, π.χ. απόκτηση τραπεζικών διαπιστευτηρίων μέσω επίθεσης «ψαρέματος» (phishing) για να κλαπούν στη συνέχεια τα χρήματα του στόχου.
Η αυξανόμενη χρήση τεχνολογιών πληροφορικής έχει φυσικά οδηγήσει σε αύξηση της χρήσης τέτοιων τεχνικών, καθώς και στον συνδυασμό τους, σε τέτοιο σημείο που οι περισσότερες επιθέσεις στον κυβερνοχώρο σήμερα περιλαμβάνουν κάποια μορφή ΚΜ.
Οι πιο γνωστές τεχνικές εξαπάτησης της ΚM είναι: Οι προφάσεις (pretexting), το δόλωμα (baiting), το quid pro quo «κάτι για κάτι», η ουρά (tailgating) και το ηλεκτρονικό ψάρεμα (phishing) βασίζονται επίσης στην KM.
Προφάσεις (pretexting): Αυτή η τεχνική περιλαμβάνει τη χρήση μιας πρόφασης- μιας ψευδούς αιτιολόγησης για μια συγκεκριμένη πορεία δράσης – ώστε ο δράστης κερδίζοντας την εμπιστοσύνη του θύματος να μπορεί να το εξαπατήσει. Παράδειγμα: ο εισβολέας ισχυρίζεται ότι εργάζεται για υποστήριξη Υπολογιστικών Συστημάτων (IT) και ζητά τον κωδικό πρόσβασης του στόχου για λόγους συντήρησης.
Θα πρέπει να υπάρχουν κατάλληλες διαδικασίες αναγνώρισης και επαλήθευσης ταυτότητας για την παράκαμψη τέτοιων επιθέσεων.
Δόλωμα (baiting): Το δόλωμα περιλαμβάνει την παρακίνηση του θύματος να εκτελέσει μια συγκεκριμένη εργασία παρέχοντας εύκολη πρόσβαση σε κάτι που θέλει το θύμα. Παράδειγμα: μια μονάδα flash USB μολυσμένη με ένα keylogger (καταγραφή πληκτρολόγησης) και με την ένδειξη “Οι ιδιωτικές μου φωτογραφίες”.
Υπάρχουν πολλές μέθοδοι keylogging, οι οποίες μπορεί να είναι βασισμένες στο υλικό (hardware) και το λογισμικό (software) του υπολογιστή ή ακόμα και να στηρίζονται στην ακουστική ανάλυση.
Πολιτικές ασφαλείας, όπως το κλείδωμα μη εξουσιοδοτημένου λογισμικού και υλικού θα αποτρέψουν τις περισσότερες προσπάθειες, αν και θα πρέπει επίσης να υπενθυμιστεί στο προσωπικό ενός φορέα να μην εμπιστεύεται άγνωστες πηγές.
Ψάρεμα: Η λέξη στην Αγγλική αποτελεί παραφθορά της λέξης fishing (ψάρεμα). Ο επίδοξος εισβολέας στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου όπου εμφανίζεται ως κάποια νόμιμη εταιρεία (τράπεζα, μεταφορική κ.λπ.) ή κάποιο φυσικό πρόσωπο και ζητάει από το υποψήφιο θύμα να στείλει προσωπικά ή άλλα στοιχεία σε συγκεκριμένη διεύθυνση e-mail ή σε κάποιον πλαστό ιστότοπο.
Συχνά έχει στήσει μία ιστοσελίδα στο Διαδίκτυο που μοιάζει με τη σελίδα κάποιου άλλου οργανισμού και εκεί καλείται ο χρήστης να δώσει κάποια στοιχεία του.
Αντάλλαγμα: Το Quid Pro Quo, “κάτι για κάτι” στα λατινικά, περιλαμβάνει ένα αίτημα για πληροφορίες με μια αποζημίωση ή αντάλλαγμα.
Παράδειγμα: ο εισβολέας- δράστης ζητά τον κωδικό πρόσβασης του θύματος ισχυριζόμενος ότι είναι ερευνητής που κάνει ένα πείραμα, με αντάλλαγμα χρήματα. Οι επιθέσεις Quid pro quo είναι σχετικά εύκολο να εντοπιστούν δεδομένης της ασύμμετρης αξίας των πληροφοριών σε σύγκριση με την αποζημίωση.
Σε αυτές τις περιπτώσεις το καλύτερο αντίμετρο παραμένει η ακεραιότητα και η ικανότητα του θύματος να αναγνωρίζει, να αγνοεί και να αναφέρει.
Ουρά: Μια επίθεση tailgating είναι μια παραβίαση της ασφάλειας όπου ένας μη εξουσιοδοτημένος παράγοντας αποκτά πρόσβαση σε μια ελεγχόμενη περιοχή ακολουθώντας στενά κάποιον με νόμιμα διαπιστευτήρια πρόσβασης.
Αυτός ο τύπος επίθεσης στοχεύει στα μέτρα φυσικής ασφάλειας ενός οργανισμού και εκμεταλλεύεται την ανθρώπινη συμπεριφορά και όχι τις ψηφιακές ευπάθειες.
Παράδειγμα: Ένας εισβολέας μπορεί να παρουσιαστεί ως άτομο παράδοσης ή πωλητής, ζητώντας πρόσβαση ενώ φέρνει προμήθειες, δέματα, γεύματα ή άλλα αντικείμενα. Οι εισβολείς μπορεί να ζητήσουν να χρησιμοποιήσουν το φορητό υπολογιστή ή το smartphone ενός υπαλλήλου, ισχυριζόμενοι ότι η μπαταρία της συσκευής τους είναι νεκρή, επιτρέποντάς τους να εγκαταστήσουν επιβλαβές λογισμικό ή να αντιγράψουν διαπιστευτήρια.
Είναι σημαντικό για τους οργανισμούς να επενδύουν όχι μόνον σε τεχνικές κυβερνοασφάλειας, αλλά και να ευαισθητοποιούνται στην ενημέρωση και εκπαίδευση του προσωπικού για τις τακτικές και τις επιθέσεις της ΚΜ και την αντιμετώπισή τους. Επίσης να τηρούνται στους οργανισμούς τα πρωτόκολλα ασφαλείας.
Η κυβερνοεπίθεση στο πλαίσιο της ΚΜ είναι πράγματι μια σοβαρή απειλή στον τομέα της πληροφορικής. Εκμεταλλεύεται την ψυχολογία και τη συμπεριφορά των ανθρώπων, αντί να βασίζεται αποκλειστικά στην τεχνολογική γνώση και εμπειρία.
Η ενημέρωση και η εκπαίδευση είναι κρίσιμοι παράγοντες στην αντιμετώπιση επιθέσεων. Οι Οργανισμοί πρέπει να εφαρμόζουν αξιόπιστα πρωτόκολλα ασφαλείας, να διεξάγουν τακτική εκπαίδευση για τους εργαζομένους και να παρακολουθούν τις τελευταίες τεχνικές που χρησιμοποιούνται από κακόβουλους δράστες.
Νεότερες έρευνες που έχουν γίνει επί του θέματος έχουν δείξει ότι η ΚΜ θα είναι μια από τις πιο εξέχουσες προκλήσεις της επόμενης δεκαετίας δεδομένης και της χρήσης της Τεχνητής Νοημοσύνης. Θα είναι πολύ σημαντική για τους οργανισμούς και τις χώρες, λόγω του αντίκτυπου και στη γεωπολιτική.
Οι επιθέσεις ΚΜ έχουν αυξηθεί σε ένταση και αριθμό, ενισχύοντας την ανάγκη για νέες τεχνικές ανίχνευσης και εκπαιδευτικά προγράμματα για την ασφάλεια στον κυβερνοχώρο.
Ο Οργανισμός της Ευρωπαϊκής Ένωσης (ΕΕ) για την Κυβερνοασφάλεια (European Union Agency forCybersecurity), ο ENISA, είναι ο οργανισμός της ΕΕ που αποσκοπεί να διασφαλίσει υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την ΕΕ.
Η Ιωάννα Δ. Μαλαγαρδή είναι δρ. Υπολογιστικής Γλωσσολογίας – ιστορικός