Social engineering: Ψάρεμα θυμάτων μέσω κινητών

Μία νέα μέθοδο που χρησιμοποιούν πλέον οι χάκερ για να εξαπατήσουν θύματα κινητών τηλεφώνων παρουσίασε η εταιρεία Symantec. Μερικές από τις πιο αποτελεσματικές απάτες γίνονται συχνά με τον πιο απλό τρόπο, όπου μας παρουσιάζεται για παράδειγμα ένας αξιωματικός της αστυνομίας να ζητά να του παραδώσουμε τα κλειδιά του αυτοκινήτου μας.

Ο μέσος άνθρωπος στον δρόμο πιθανότατα θα του τα παραδώσει χωρίς δεύτερη σκέψη ή αμφιβολία. Η απάτη αυτή χαρακτηρίζεται από δύο σημαντικά στοιχεία που την κάνουν και ιδιαίτερα αληθοφανή.

Αυτά δεν είναι άλλα από την απλότητα αλλά και το γεγονός ότι οι άνθρωποι συνήθως εμπιστεύονται ανθρώπους που δηλώνουν αξιωματικοί της αστυνομίας ή άλλης δημόσιας αρχής.

Με τον ίδιο πλέον τρόπο δρουν και οι κυβερνοεγκληματίες σήμερα.

Τον τελευταίο καιρό, σύμφωνα με μελέτες της Symantec, έχει παρατηρηθεί και αύξηση σε έναν συγκεκριμένο τύπο επίθεσης μέσω phishing με στόχο τους χρήστες κινητών τηλεφώνων. Ο απώτερος σκοπός είναι τελικά η πρόσβαση στον λογαριασμό e-mail του θύματος.

Η επίθεση κοινωνικής μηχανικής (social engineering) είναι πολύ πειστική και οι χρήστες πέφτουν με ευκολία στην παγίδα. Για να επιτύχει η επίθεση, θα πρέπει οι χάκερ να γνωρίζουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου και τον αριθμό του κινητού τους τηλεφώνου, δεδομένα που τελικά μπορούν να ληφθούν χωρίς μεγάλες προσπάθειες.

Οι επιτιθέμενοι κάνουν χρήση της δυνατότητας ανάκτησης κωδικού πρόσβασης, που παρέχεται από πολλούς e-mail providers και έτσι τους «βοηθούν» να αποκτήσουν πρόσβαση στους λογαριασμούς τους, μεταξύ άλλων επιλογών, με έναν κωδικό επαλήθευσης που λαμβάνουν στο κινητό τους τηλέφωνο (άρα τους ζητείται και ο αριθμός κλήσης).

Η πλειονότητα των περιπτώσεων που καταγράφηκε από τη Symantec αφορά χρήστες Gmail, Hotmail και Yahoo Mail.

Η σημαντική αλλαγή είναι ότι οι χάκερ προσπαθούν να συλλέξουν πληροφορίες σχετικά με τα θύματά τους όχι πια μαζικά, αλλά σε συγκεκριμένα άτομα. Αυτή η απλή αλλά αποτελεσματική μέθοδος επίθεσης είναι πιο οικονομική από τις παραδοσιακές spear-phishing επιθέσεις, όπου ένας εισβολέας πρέπει να καταχωρίσει ένα domain και να δημιουργήσει μια ιστοσελίδα phishing.

Στην περίπτωση αυτήν, το μόνο κόστος που βαρύνει τους χάκερ είναι το μήνυμα SMS, ενώ ως μέθοδος είναι και πολύ δύσκολα ανιχνεύσιμη καθώς πρέπει να γίνει από ειδικό λογισμικό για κινητά τηλέφωνα ή από τον εκάστοτε πάροχο κινητής τηλεφωνίας.

Θα πρέπει, λοιπόν, να είμαστε καχύποπτοι προς τα μηνύματα SMS που ζητούν κωδικούς επαλήθευσης, ειδικά αν δεν τους έχουμε ζητήσει οι ίδιοι.

Μαρίνα Μποκάτου

πηγή: Η Εφημερίδα των Συντακτών