Είναι η Κοινωνική Μηχανική μια Νέα Μορφή Επιθέσεων Μηδενικής Ημέρας (Zero-Day);

Το 2024, η πραγματικότητα έγινε πιο ανησυχητική, βρίσκοντας τους κυνερνοεγκληματίες πιο έτοιμους από ποτέ. Με την τεχνολογία να γίνεται ολοένα και πιο εξελιγμένη, δημιουργήθηκαν καινοτόμοι τρόποι εκμετάλλευσης μηχανημάτων, υπολογιστών αλλά και ανθρώπινων συμπεριφορών επεκτείνοντας τα όρια των παραβιάσεων ασφαλείας.

Βασιλική Κατσούλη
Cybersecurity Researcher

Γρηγόριος Μαλαμής
Information Security Officer

Ianus Technologies LTD      www.ianus-technologies.com 

Έτσι, παρά την συνεχή τεχνολογική πρόοδο και κατά συνέπεια την άνοδο των άμυνών και μέτρων που εφαρμόζονται στην κυβερνοασφάλεια, η επιφάνεια της επίθεσης (attack surface) που χρειάζεται να προστατεύσει ένας οργανισμός, δεν περιορίζεται μόνο σε τεχνολογικούς και φυσικούς παράγοντες, αλλά σε κάτι λιγότερο χειροπιαστό, την ανθρώπινη φύση. Το γεγονός αυτό, έρχονται να επιβεβαιώσουν στατιστικά, που για ακόμη ένα έτος, θέτουν την τακτική της κοινωνικής μηχανικής (γνωστή ως Social Engineering), σε τρομακτικά ψηλά επίπεδα, σημειώνοντας ανοδική πορεία, για συναπτά έτη. Αν οι κυβερνοεγκληματίες δεν καταφέρουν να εισχωρήσουν με τεχνικούς τρόπους μέσα σε ένα σύστημα, στοχεύουν στην πιο γνωστή και χρόνια έλλειψη, στην αδυναμία της ανθρώπινης φύσης.

Ανθρώπινο λάθος: Ο Αδύναμος Κρίκος

Όπως αναφέρθηκε και παραπάνω, παρά την πρόοδο στις τεχνολογικές άμυνες, οι ακούσιες ενέργειες των ατόμων —είτε από αμέλεια είτε από χειραγώγηση— συνεχίζουν να αποτελούν σημείο εκμετάλλευσης από κακόβουλους παράγοντες. Η κοινωνική μηχανική ευδοκιμεί βασισμένη σε αυτή την αδυναμία, μετατρέποντας ακόμη και τον πιο προσεκτικό υπάλληλο σε ένα πιθανό αγωγό παραβίασης. Η επιτυχία της κοινωνικής μηχανικής, μιας τεχνικής που χρησιμοποιείται για την εξαπάτηση ανθρώπων, οφείλεται κυρίως στο περιθώριο που αφήνει η ύπαρξη του ανθρώπινου λάθους. Όπως αναφέρει ο Mitnick στο «The Art of Deception», οι κακόβουλοι παράγοντες βασίζονται στην εμπιστοσύνη των ανθρώπων και στις συναισθηματικές αντιδράσεις τους για να πετύχουν τους στόχους τους. Αυτό ενισχύει την ιδέα ότι η δύναμη ενός οργανισμού εξαρτάται άμεσα από το προσωπικό του. Δεν είναι τυχαίο ότι, παρά την όποια σημαντική πρόοδο επιτυγχάνει η ανθρωπότητα, οι επιθέσεις phishing (τεχνική κοινωνικής μηχανικής) παραμένουν μια από τις πιο διαδεδομένες και αποτελεσματικές μεθόδους κυβερνοδιείσδυσης. Με τις επιθέσεις αυτές να καταφέρνουν να προσεγγίσουν ανθρώπους δημιουργώντας συναισθήματα ή μια έντονη ανάγκη για άμεση δράση, είτε για προσωπικό όφελος, είτε λόγω φαινομενικών οδηγιών από κάποιο ανώτερο στέλεχος.

Προηγμένες Τακτικές: AI, και Αυτοματοποίηση

Η ενσωμάτωση της τεχνητής νοημοσύνης (AI) στις τεχνικές αυτές έχει δημιουργήσει μια ψευδή αίσθηση αξιοπιστίας, κάνοντας τες πιο πειστικές και ρεαλιστικές από ποτέ, ενώ παράλληλα, καθιστά ευάλωτο ή πιθανό θύμα, οποιονδήποτε, ανεξαρτήτως εμπειρίας ή εκπαίδευσης. Οι επιτιθέμενοι δεν βασίζονται πλέον σε απλές μεθόδους. Η τεχνητή νοημοσύνη τους δίνει τη δυνατότητα να αυτοματοποιούν και να προσωποποιούν τις επιθέσεις τους σε επίπεδο άνευ προηγουμένου. Τα phishing emails, που κάποτε έμοιαζαν ύποπτα, είναι πλέον λεπτομερώς επεξεργασμένα, με κάθε μήνυμα να προσαρμόζεται για να προσομοιάζει ρεαλιστικά σενάρια.

Καθώς οι αλγόριθμοι της τεχνητής νοημοσύνης έχουν τη δυνατότητα να αναλύσουν τεράστιες ποσότητες δεδομένων, εντοπίζοντας πιθανούς στόχους και αδυναμίες, τα μηνύματα που αποστέλλονται είναι ειδικά προσαρμοσμένα στα θύματα, λαμβάνοντας υπόψη τον ρόλο εργασίας, την εταιρεία, το επίπεδο θέσης ή ακόμη και το στυλ γραφής ενός ατόμου. Ως εκ τούτου, οι επιθέσεις phishing έχουν γίνει πιο στοχευμένες, πιο ακριβείς και πιο δύσκολα ανιχνεύσιμες, αυξάνοντας το ποσοστό επιτυχίας τους σε επικίνδυνα υψηλά επίπεδα.

Αλλά δεν είναι μόνο αυτό. Η Τεχνητή Νοημοσύνη μπορεί επίσης να δημιουργήσει βαθιά ψεύδη στοιχεία τα λεγόμενα (Deepfakes), πράγμα που σημαίνει ότι η εικόνα ή η φωνή ενός ατόμου μπορεί να μιμηθεί (κλωνοποίηση φωνής), ανοίγοντας ένα νέο, ανεξερεύνητο πεδίο για τους επιτιθέμενους. Έχοντας αυτό κατά νου, οι επιτιθέμενοι δημιουργούν ρεαλιστικά βίντεο ή ηχογραφήσεις φωνής που μπορούν να υποδυθούν υψηλόβαθμα στελέχη ή έμπιστα άτομα. Για παράδειγμα, η φωνή ενός διευθύνοντος συμβούλου μπορεί να μιμηθεί για να δώσει εντολή σε έναν υπάλληλο να εγκρίνει ένα έμβασμα ή να μοιραστεί εμπιστευτικές πληροφορίες. Η αίσθηση αυθεντικότητας ή αληθοφάνειας αυτών των μεθόδων είναι ιδιαίτερα ανησυχητική, καθώς καθίσταται σχεδόν αδύνατο για τους ανθρώπους να διακρίνουν τη διαφορά μεταξύ πραγματικού και ψεύτικου, διευκολύνοντας περαιτέρω τις επιτυχημένες επιθέσεις.

Εκμετάλλευση των Κοινωνικών Δικτύων και Δημόσιων Πληροφοριών

Στην εποχή των κοινωνικών δικτύων και της ψηφιακής διαφάνειας, η προσωπική ζωή ενός ατόμου και οι ιδιωτικές δραστηριότητες μιας εταιρείας είναι συχνά προσβάσιμες με ένα και μόνο κλικ. Οι κυβερνοεγκληματίες δεν χρειάζονται πλέον εξελιγμένα εργαλεία hacking για να συλλέξουν πληροφορίες. Μπορούν απλώς να περιηγηθούν σε κοινωνικά προφίλ και δημόσιες βάσεις δεδομένων. Αυτός ο πλούτος των διαθέσιμων δεδομένων γίνεται πυρομαχικό για τους επιτήδειους, οι οποίοι μπορούν να δημιουργήσουν υπερ-προσωποποιημένες επιθέσεις συνδυάζοντας λεπτομέρειες όπως τίτλοι εργασίας, προσωπικά ενδιαφέροντα ή ακόμα και τις καθημερινές συνήθειες ενός θύματος. Αυτό που κάποτε φαινόταν αθώο —όπως η δημοσίευση μιας φωτογραφίας διακοπών— μπορεί πλέον να χρησιμοποιηθεί ως αφετηρία για μια εξαιρετικά πειστική, στοχευμένη απάτη.

Έλλειψη Επίγνωσης ή Εκπαίδευσης

Παρά την αυξανόμενη ευαισθητοποίηση σχετικά με τις απειλές της κοινωνικής μηχανικής, οι κακόβουλοι παράγοντες συνεχίζουν να βρίσκουν τρόπους να αποκτούν πρόσβαση σε εταιρείες, λογαριασμούς, προσωπικά δεδομένα και άλλες ευαίσθητες πληροφορίες. Με έρευνες να δείχνουν πως το 95% των παραβιάσεων ασφαλείας να οφείλεται σε ανθρώπινο λάθος και συνήθως ως αποτέλεσμα ελλιπούς εκπαίδευσης στην αναγνώριση της κοινωνικής μηχανικής.

Αν και τα εγχειρήματα που καταβάλλονται από πολλούς οργανισμούς είναι εμφανή, καθώς και η προσπάθεια παρακολούθησης του συνεχόμενα εξελισσόμενου τοπίου κυβερνοαπειλών, αυτό το εγχείρημα αποδεικνύεται μία αρκετά δύσκολη αποστολή.

Ένας σημαντικός αριθμός υπαλλήλων στερείται επίγνωσης για τις πιο πρόσφατες τακτικές phishing, τα Deepfakes και τις επιθέσεις που δημιουργούνται με τη χρήση τεχνητής νοημοσύνης. Με βάση αυτή την αυξανόμενη πολυπλοκότητα των τεχνικών κοινωνικής μηχανικής, η πρόκληση της συνεχούς εκπαίδευσης απέναντι στις νέες απειλές γίνεται πιο έντονη, με υπαλλήλους να γίνονται ολοένα και πιο απρόσεκτοι απέναντι σε πιθανές απειλές, είτε λόγω απροσεξίας είτε λόγω αναποτελεσματικών ή επαναλαμβανόμενων προγραμμάτων ευαισθητοποίησης. Είναι, λοιπόν, σημαντικό να διασφαλιστεί ότι οι νέοι υπάλληλοι ή εκείνοι που δεν διαθέτουν τεχνική κατάρτιση εκπαιδεύονται επαρκώς στα πιο πρόσφατα μέτρα ασφαλείας.

Κοινωνική Μηχανική και Επιθέσεις Μηδενικής Ημέρας (Zero-Day)

Σε αντίθεση με τις συμβατικές κυβερνοεπιθέσεις που αποτελούν σαφέστατα τροχοπέδη στο εγχείρημα της ασφάλειας, μια επίθεση μηδενικής ημέρας εκμεταλλεύεται μια άγνωστη αδυναμία λογισμικού που δεν έχει ακόμα διορθωθεί. Από την άλλη πλευρά, η γνωστή σε όλους, κοινωνική μηχανική επιδιώκει να επηρεάσει άτομα, ώστε να αναλάβουν δράσεις που θα μπορούσαν να θέσουν σε κίνδυνο την προσωπική ή εταιρική ασφάλειά. Παρά τις εγγενείς διαφορές τους, αυτές οι δύο προσεγγίσεις μπορούν συχνά να χρησιμοποιηθούν συνδυαστικά. Δεν είναι ασυνήθιστο η κοινωνική μηχανική να χρησιμοποιείται ως μέσο για τη διανομή ή την εκτέλεση επιθέσεων μηδενικής ημέρας.

Για παράδειγμα, ένας επιτιθέμενος μπορεί να χρησιμοποιήσει ένα phishing email για να εξαπατήσει έναν υπάλληλο ώστε να κατεβάσει κακόβουλο λογισμικό ικανό να εκμεταλλευτεί μια άγνωστη ευπάθεια στο σύστημά τους. Έτσι, σε αυτό το πλαίσιο, η κοινωνική μηχανική λειτουργεί ως μέσο αρχικής πρόσβασης για μια επίθεση μηδενικής ημέρας, παρέχοντας το πρώτο βήμα σε μια διαδικασία που τελικά καταλήγει στην είσοδο ενός επιτιθέμενου στο σύστημα. Επομένως, αν και η κοινωνική μηχανική δεν είναι από μόνη της μια επίθεση μηδενικής ημέρας, καταφέρνει πλέον να διαδραματίζει έναν κρίσιμο ρόλο στην ανάπτυξη πολυεπίπεδων και άγνωστων έως τότε κυβερνοεπιθέσεων.

Πως συνδυάζονται όμως όλα αυτά;

Η εξάπλωση της κοινωνικής μηχανικής ως κυβερνοαπειλή αναμένεται να συνεχιστεί το 2024, τροφοδοτούμενη από τη ραγδαία πρόοδο της τεχνολογίας, την ανεπαρκή εκπαίδευση του προσωπικού και την ανθρώπινη αδυναμία. Η ταχύτητα με την οποία εξελίσσεται η τεχνολογία είναι παράλληλη με τη δημιουργικότητα των επιτιθέμενων που εκμεταλλεύονται τον πιο αδύναμο κρίκο — το ανθρώπινο λάθος. Χωρίς συντονισμένη προσπάθεια για τη βελτίωση της ευαισθητοποίησης και της εκπαίδευσης, καθώς και την αξιοποίηση της τεχνολογίας για την αντιμετώπιση αυτών των ανθρώπινων αδυναμιών, οι οργανισμοί είναι πιθανόν να συνεχίσουν να βαδίζουν συνεχώς ένα βήμα πίσω από τις ραγδαία εξελισσόμενες επιθέσεις.

Αυτό, δεν μεταφράζεται όμως ως ένα ακόμη στατιστικό. Η παραμέληση ενός τέτοιου παράγοντα, που καταφέρνει να βρίσκει συνεχώς τρόπους να εξελίσσεται δεν προσθέτει μόνο άλλο ένα περιστατικό στην ιστορία ενός οργανισμού, αλλά ερμηνεύεται ως πολλά άλλα. Όπως αναφέρθηκε και προηγουμένως, το προσωπικό, αντικατοπτρίζει την εταιρεία προς τα έξω, με λάθη τέτοιου περιεχομένου, να μεταφράζονται σε κακοφημία ή σε τεράστιες οικονομικές ζημίες (περιορισμού του πελατολογίου, πρόστιμα, κ.ά).

Τα παραπάνω ενισχύονται πολύ απλά με αριθμούς. Οι επιθέσεις κοινωνικής μηχανικής μόνο για το 2023 οδήγησαν σε ζημίες πάνω από $3,5 δισεκατομμύρια παγκοσμίως, ενώ για το 2024 αναμένεται να αυξηθούν σημαντικά, με τους εγκληματίες να προσαρμόζονται ολοένα και καλύτερα σε αυτή την εξελισσόμενη εποχή.