Οι τεχνολογικές απειλές που έχουν προκύψει κατά τη διάρκεια των ετών έχουν ακολουθήσει ένα παρόμοιο μοτίβο: Οι επίδοξοι χάκερ βρίσκουν τρόπο να παραβιάσουν ένα σύστημα για να αποκτήσουν πρόσβαση σε πολύτιμες πληροφορίες και δεδομένα. Σε απάντηση οι διαχειριστές συστημάτων και οι επαγγελματίες σε θέματα ασφάλειας αναπτύσσουν νέες μεθόδους ανίχνευσης και πρόληψης.
Οι επιτιθέμενοι βρίσκουν έπειτα νέους τρόπους να παραβιάσουν τα συστήματα και να αποφύγουν την ανίχνευση και οι διαχειριστές συστημάτων και οι επαγγελματίες σε θέματα ασφάλειας αναπτύσσουν πάλι νέες μεθόδους ανίχνευσης και πρόληψης και αυτό αποτελεί έναν φαύλο κύκλο.
Με τις επιθέσεις και εισβολές να γίνονται ολοένα πιο επιθετικές, γεννάται η ανάγκη για έμφαση στις συνεπείς αξιολογήσεις, τα προληπτικά μέτρα, και τη διαχείριση ασφάλειας πληροφοριών. Έτσι, οι ομάδες ΙΤ για να βρουν νέους τρόπους να γίνουν περισσότερο αποτελεσματικές με λιγότερους πόρους, ανακαλύπτουν νέους τρόπους ώστε να επαναχρησιμοποιηθεί η υποδομή κεντρικών υπολογιστών.
Ένας από τους συνηθέστερους τρόπους προστασίας των εταιριών είναι να προσλαμβάνουν χάκερ για να δουλέψουν για εκείνους.
Σε συνέδριο που πραγματοποιήθηκε με θέμα την απειλή από τους χάκερ, ένας επαγγελματίας χάκερ που εργάζεται για μια μεγάλη εταιρία της Silicon Valley δήλωσε στο Business Insider ότι ο ευκολότερος τρόπος για να διεισδύσει στο σύστημα του πελάτη είναι να τον εξαπατήσει ώστε να κάνει κλικ πάνω σε έναν μολυσμένο σύνδεσμο ενός φαινομενικά αθώου αδιάβαστου email.
Με αυτόν τον τρόπο ο επιτιθέμενος έχει τη δυνατότητα να αποκτήσει προσωπικές πληροφορίες για τον πελάτη όπως username, κωδικό αλλά και άλλες πληροφορίες που θα του εξασφαλίσουν πρόσβαση στο σύστημα.
Η τακτική αυτή, γνωστή ως «phishing», κοινώς το ψάρεμα, μπορεί να πραγματοποιηθεί ακόμα και από ερασιτέχνες. Επομένως, αν χρησιμοποιηθεί από έναν επαγγελματία, το «ψάρεμα» μπορεί να γίνει ένα εξαιρετικά επικίνδυνο εργαλείο.
Σε αντίθεση με τους εγκληματίες που στέλνουν email με το γνωστό σε όλους μήνυμα «Συγχαρητήρια κερδίσατε 1 εκατομμύριο ευρώ», οι εξελιγμένοι χάκερ αφιερώνουν πολύ χρόνο στο να μάθουν ό,τι περισσότερο μπορούν για τον στόχο τους προκειμένου να δημιουργήσει ένα email ή μια ολόκληρη περσόνα, η οποία θα φανεί αυθεντική και θα κάνει το θύμα να μην υποπτευθεί τίποτα.
Πώς λοιπόν γίνεται η όλη διαδικασία;
Ο εμπειρογνώμονας της Silicon Valley περιγράφει το σενάριο στο οποίο θα ψάχνει για τα τρωτά σημεία της ασφάλειας των πληροφοριών σε μια μεγάλη αεροπορική εταιρία.
Αρχικά, θα «χτενίσει» το LinkedIn για να βρει το κατάλληλο θύμα, κατά προτίμηση έναν άνθρωπο που δεν θα γνωρίζει πολλά από τεχνολογία, όπως έναν υπάλληλο του οποίου το πόστο δεν έχει να κάνει με την τεχνολογία, ή κάποιον νεοσύλλεκτο υπάλληλο που δεν θα ήταν σε θέση να αναγνωρίσει ένα άτυπο email.
Στη συνέχεια, ο επιτιθέμενος θα προσπαθήσει να μαντέψει το email του θύματος δοκιμάζοντας μια μορφή τυπικής επαγγελματικής διεύθυνσης όπως για παράδειγμα «όνομα θύματος@ όνομα εταιρίας.com» και θα αρχίσει να στέλνει μηνύματα μέχρι να βρει τη σωστή.
Αφού αποκτήσει τη διεύθυνση email του θύματος, ο χάκερ αρχίζει να κατασκοπεύει τα social media του θύματος για να μάθει όσες περισσότερες πληροφορίες μπορεί γι’ αυτό, όπως για παράδειγμα την προϋπηρεσία του, τους φίλους του, τα ενδιαφέροντά του κοκ.
Με αυτόν τον τρόπο θα μπορέσει να εξατομικεύσει το ψεύτικο email που θα στείλει, το οποίο μπορεί να περιέχει ακόμα και φωτογραφία ενός από τους φίλους του θύματος, για να το κάνει να φανεί όσο το δυνατό πιο οικείο και πειστικό.
Ο χάκερ της Silicon Valley δήλωσε πως την προηγούμενη εβδομάδα κατάφερε να παραδώσει τους κωδικούς πρόσβασης μιας ολόκληρης επιχείρησης μέσα από μια επιτυχημένη απόπειρα «ψαρέματος». Προσέθεσε επίσης πως η τακτική αυτή είναι εντελώς παράνομη όταν γίνεται εκτός των πλαισίων μιας εταιρίας.
sofokleousin
