Όταν κυκλοφόρησε το Sophos Phish Threat τον Ιανουάριο, η εταιρεία είχε τονίσει τα εξής:

1. To email παραμένει ως μία από τις πλέον προβληματικές πηγές μόλυνσης, και
2. Είναι οι καθημερινοί, καλοπροαίρετοι άνθρωποι που συχνά επιτρέπουν σε μολυσμένα email να περάσουν στους οργανισμούς και στις εταιρείες που εργάζονται.

Το phishing είναι ένα πρόβλημα από τα παλιά, αλλά υπάρχουν νέες ιστορίες που συνεχίζουν να δείχνουν ότι οι άνθρωποι παραμένουν εύκολη λεία.

Νέες επιθέσεις, παλαιές τακτικές

Ένα πρόσφατο άρθρο στο Naked Security υπογράμμισε τις προσπάθειες των κακών να μολύνουν τη λεία τους χρησιμοποιώντας scams (απάτες) που σχετίζονταν με την εποχή της υποβολής φορολογικών δηλώσεων, με την Υπηρεσία Δημοσίων Εσόδων (IRS) των ΗΠΑ να προειδοποιεί για νέες επιθέσεις phishing μέσω ηλεκτρονικού ταχυδρομείου. Οι επιθέσεις έχουν στόχο τους επαγγελματίες στον φορολογικό τομέα, το προσωπικό στο τμήμα μισθοδοσίας, το προσωπικό στον τομέα του ανθρώπινου δυναμικού, τα σχολεία και απλούς φορολογούμενους πολίτες.

Σε μία άλλη απάτη, οι επιτιθέμενοι μόλυναν λίστες Amazon, με συνδέσμους που ανακατεύθυναν τα θύματα σε μία αρκετά πειστική ιστοσελίδα πληρωμής που έμοιαζε με εκείνη της εταιρείας Amazon.

Τώρα, έκαναν την εμφάνιση τους νέες αναφορές, ότι οι επιτιθέμενοι χρησιμοποιούν κακόβουλα συνημμένα αρχεία PDF στα μηνύματα ηλεκτρονικού ταχυδρομείου που δείχνουν να προέρχονται από το τμήμα ανθρώπινου δυναμικού της εταιρείας τους, καθώς και σε ψευδείς αιτήσεις φιλίας στο Facebook.

Το μέλος της ομάδας Microsoft Malware Protection Center, Alden Pornasdoro προειδοποίησε για τα κακόβουλα αρχεία PDF. Σε αντίθεση με άλλες εκστρατείες spam, έγραψε, τα εν λόγω συνημμένα αρχεία PDF, δεν περιέχουν malware ή κώδικα exploit. Αντίθετα, βασίζονται στην κοινωνική μηχανικοί για να οδηγήσουν τους ανθρώπους σε ιστοσελίδες phishing όπου καλούνται να αποκαλύψουν ευαίσθητες πληροφορίες.

Σε μία άλλη περίπτωση, το ZDNet αναφέρει ότι η αποστολή ενός ψεύτικου αιτήματος φιλίας σε κάποιον φίλο ήταν ο αποτελεσματικότερος τρόπος για να κάνει κάποιος κλικ σε έναν σύνδεσμο, ακόμα και όταν το μήνυμα ηλεκτρονικού ταχυδρομείου είχε σταλεί σε μία διεύθυνση email στην εργασία τους.

Σε εξομοίωση που πραγματοποιήθηκε από την MWR Infosecurity, το ένα τέταρτο των χρηστών που αξιολογήθηκαν, έκανε κλικ στον σύνδεσμο που οδηγούσε σε μία ψεύτικη σελίδα σύνδεσης (login), και περισσότεροι από τους μισούς χρήστες παρείχαν το username και το password τους. Οι τέσσερις από τους πέντε από αυτούς στην συνέχεια κατέβασαν το κακόβουλο αρχείο. Εντωμεταξύ, ένα ψεύτικο email που ισχυριζόταν ότι προερχόταν από το τμήμα Ανθρώπινου Δυναμικού που αναφερόταν σε ένα σύστημα αξιολόγησης επίσης αποδείχτηκε αποτελεσματικό.   

Επιτυχημένες επιθέσεις μέσω κοινωνικής μηχανικής

Οι πρόσφατες εξελίξεις δείχνουν ότι η αρχαία τεχνική της κοινωνικής μηχανικής ζει και βασιλεύει. Η κατανόηση είναι το πρώτο βήμα για την τοποθέτηση μίας καλύτερης άμυνας. Παλαιότερα, η Sophos είχε πει:

Η κοινωνική μηχανική είναι μία τεχνική χειραγώγησης ανθρώπων για να αναλάβουν συγκεκριμένη δράση προς όφελος του επιτιθέμενου. Ενδεχομένως να σκεφτείτε ότι μοιάζει με το έργο ενός επαγγελματία στην εξαπάτηση – και έχετε απόλυτο δίκιο. Από τη στιγμή που κοινωνική μηχανική χτυπάει τα θηράματα της σε αδυναμίες που έχουμε όλοι μας, μπορεί να είναι αρκετά αποτελεσματική. Χωρίς την κατάλληλα εκπαίδευση είναι πολύ δύσκολο να αποφευχθεί. Αν έχετε λάβει ποτέ κάποιο email phishing, τότε θα έχετε γνωρίσει την κοινωνική μηχανική στον χώρο εργασίας σας. Το σκέλος της κοινωνικής μηχανικής σε μία επίθεση phishing είναι το κρίσιμο πρώτο βήμα – να κάνει το θύμα να ανοίξει ένα παγιδευμένο συνημμένο ή να επισκεφτεί μία παγιδευμένη, κακόβουλη ιστοσελίδα.

Όπως επισημαίνεται, το phishing δεν μπορεί να λειτουργήσει εκτός και αν το πρώτο βήμα – η κοινωνική μηχανική- σας πείσει να αναλάβετε δράση.

Με στόχο να βοηθήσει στην αύξηση της ευαισθητοποίησης, προμηθευτές από τον χώρο της ασφάλειας προσφέρουν μία σειρά από προϊόντα και υπηρεσίες που μπορούν να χρησιμοποιήσουν οι εταιρείες για να ξεκινήσουν να κάνουν εξομοιώσεις – ουσιαστικά ασκήσεις phishing σας αυτές που γίνονται σε περίπτωση σεισμού ή φωτιάς – οι οποίες μπορούν να δείξουν στους υπαλλήλους πόσο εύκολα μπορούν να εξαπατηθούν από την κοινωνική μηχανική.

Για τους πελάτες της Sophos, το συγκεκριμένο προϊόν είναι το Phish Threat.

Πως λειτουργεί

Με το Phish Threat, οι χρήστες μπορούν να επιλέξουν τον τύπο της εκστρατείας, μπορούν να επιλέξουν ΄ένα ή περισσότερα αρθρώματα/ ενότητες κατάρτισης, να διαλέξουν ένα μήνυμα για την εξομοίωση phishing και να αποφασίσουν τους χρήστες που επιθυμούν να αξιολογηθούν. Στην συνέχεια, μία αναφορά τους γνωστοποιεί τον αριθμό των μηνυμάτων που στάλθηκαν, ποιος χρήστης έκανε κλικ, και εκείνους που πέρασαν από τις απαιτούμενες ενότητες ή αρθρώματα.

Τα προγράμματα ευαισθητοποίησης της ασφάλειας δεν είναι καινούρια, και ορισμένοι ειδικοί στον χώρο της ασφάλειας έχουν αμφισβητήσει την αποτελεσματικότητας, από την στιγμή που οι χρήστες συνεχίζουν να κάνουν τα ίδια λάθη.

Κατά την άποψη της Sophos, οι εξομοιώσεις κάνουν τα προγράμματα ευαισθητοποίησης περισσότερο αποτελεσματικά. Όσοι περισσότεροι χρήστες πιαστούν στο αγκίστρι του phishing κατά την διάρκεια της εξομοίωσης, τόσο πιο δύσκολο θα είναι να ξεχάσουν το μάθημα που πήραν. Ενδεχομένως και να μοιάζει με μία δήλωση που εξυπηρετεί όσους προσφέρουν τέτοια προγράμματα, ωστόσο οι αποδείξεις είναι οι ατελείωτες επικεφαλίδες των ειδήσεων.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.