Οι hackers κρύβουν τις επιθέσεις τους στα μέσα κοινωνικής δικτύωσης

Μόνο μια προσπάθεια ήταν αρκετή για μια ομάδα από Ρώσους hackers, ώστε να μπορέσουν να εισβάλουν στον υπολογιστή ενός υπαλλήλου του Πενταγώνου. Όμως η επίθεση δεν έγινε μέσω του ηλεκτρονικού ταχυδρομείου ή ενός αρχείου επιμελώς κρυμμένου μέσα σε ένα φαινομενικά αβλαβές έγγραφο.

Έγινε μέσω ενός συνδέσμου, ο οποίος ήταν επισυναπτόμενος σε μια δημοσίευση στο Twitter από έναν λογαριασμό “ρομπότ”, και  υποσχόταν ένα οικογενειακό πακέτο διακοπών για το καλοκαίρι. Ήταν ένας δελεαστικός σύνδεσμος στον οποίο ο οποιοσδήποτε μπορούσε πολύ εύκολα να κάνει κλικ. Ενώ οι εταιρείες και οι κυβερνητικές υπηρεσίες σε όλο τον κόσμο εκπαιδεύουν το προσωπικό τους ώστε να σκέφτονται δύο φορές πριν ανοίξουν κάτι που αποστέλλεται μέσω ηλεκτρονικού ταχυδρομείου, οι hackers έχουν ήδη προχωρήσει σε ένα νέο είδος επίθεσης, στοχεύοντας σε λογαριασμούς μέσων κοινωνικής δικτύωσης, που οι άνθρωποι εμπιστεύονται περισσότερο.

Σύμφωνα με τις εταιρείες διαδικτυακής ασφάλειας, το phishing μέσω των μέσων κοινωνικής δικτύωσης είναι μια από τις ταχύτερα αναπτυσσόμενες μεθόδους επίθεσης. “Είναι κάτι που δεν ακούμε τόσο πολύ, αλλά το πρόβλημα είναι διαδεδομένο”, δήλωσε ο Jay Kaplan, εμπειρογνώμονας στον τομέα της ασφάλειας.

Εκτός από τη χρήση ενός phishing email για να αποκτήσουν πρόσβαση σε ένα δίκτυο, οι hackers μελετούν τους λογαριασμούς στα μέσα κοινωνικής δικτύωσης για να συλλέξουν πληροφορίες για τα “θύματά” τους. Σημαντικές ημερομηνίες, ονόματα, αριθμούς ακόμα και μέσα από συνομιλίες προσπαθούν να εξαπολύσουν τις επιθέσεις τους. Απλά κοιτάζοντας τις δημοσιεύσεις, οι επιτιθέμενοι μπορούν εύκολα να δουν αν για παράδειγμα ένας λογαριασμός έχει αναφέρει συχνά μια συγκεκριμένη αθλητική ομάδα, και στη συνέχεια να προσαρμόσει ένα μήνυμα σχετικό με εισιτήρια που διατίθενται προς πώληση για έναν αγώνα. Στο Facebook, ο hacker μπορεί να δει ποιες ομάδες ή ποιες δημόσιες σελίδες αρέσουν στους χρήστες. “Οι περισσότεροι άνθρωποι δεν σκέφτονται δύο φορές όταν δημοσιεύουν στα μέσα κοινωνικής δικτύωσης. Δεν σκέφτονται πως υπάρχουν  άνθρωποι που μπορεί να χρησιμοποιήσουν τις προσωπικές πληροφορίες τους για κακό σκοπό.” δήλωσε ο κ. Kaplan. “Επίσης, δεν υποπτεύονται ότι οι άνθρωποι στο δίκτυό τους ενδέχεται να είναι hackers”.

Οι ειδικοί ανησυχούν όλο και περισσότερο ότι οι hackers χρησιμοποιούν τα μέσα κοινωνικής δικτύωσης όπως το Twitter και το Facebook για να σπάσουν τα δίκτυα ηλεκτρονικών υπολογιστών. Η πιθανότητα να κάνουν το λάθος οι χρήστες, κλικάροντας σε ένα σύνδεσμο στα μέσα κοινωνικής δικτύωσης, είναι εκθετικά μεγαλύτερη από το να κάνουν κλικ σε σύνδεσμο που τους αποστέλλεται σε ένα email, κι αυτό γιατί θεωρούν πως βρίσκονται μεταξύ “φίλων”. Μόλις διακυβευτεί ένα άτομο, οι επιθέσεις μπορούν να κινηθούν αστραπιαία μέσω του δικτύου φίλων του συγκεκριμένου ατόμου, οδηγώντας σε έναν απόλυτο “εφιάλτη”. Και ενώ οι χρήστες γνωρίζουν για τον κίνδυνο, η εκπαίδευση για το πώς μπορούν να εντοπίσουν μια επίθεση που έρχεται μέσω Twitter και Facebook παραμένει περιορισμένη. Αν και λόγω της εκπαίδευσης, έχουν ελαττωθεί σημαντικά οι χρήστες που κάνουν κλικ σε συνδέσμους από μολυσμένα emails, είναι πολλοί εκείνοι που  δε θεωρούν ότι ένα μήνυμα στο Twitter ή το Facebook θα μπορούσε να δώσει στον εισβολέα παρόμοια πρόσβαση στο σύστημά τους, και στη συνέχεια να εισβάλει και στα συστήματα των διαδικτυακών φίλων τους, προσποιούμενος τους ίδιους. Σε πολλές περιπτώσεις μάλιστα, όταν πρόκειται για σημαντικούς στόχους οι οποίοι είναι πιθανό να έχουν εκπαιδευτεί σε θέματα διαδικτυακής ασφάλειας, η επίθεση γίνεται στα μέλη των οικογενειών τους, τα οποία είναι λιγότερο καχύποπτα.

Ένας υπάλληλος του πενταγώνου, ο οποίος είναι υπεύθυνος διδασκαλίας για θέματα ασφαλείας στο διαδίκτυο αποκάλυψε πως εκπαιδεύει ολόκληρο το τμήμα να είναι επιφυλακτικό σε ό, τι του έχει σταλεί – ακόμα κι αν το αυτό φαίνεται να προέρχεται από την οικογένεια του ή από κάποιον φίλο. Ο υπάλληλος του Τμήματος της Αμερικανικής Εθνικής Άμυνας, ο οποίος ήταν ένα από τα θύματα της πρόσφατης παραβίασης, είπε ότι οι hackers είχαν μολύνει το λογαριασμό της συζύγου του στο Twitter, μέσω του οποίου του εστάλη το μήνυμα με το κακόβουλο λογισμικό και το οποίο μιλούσε για ένα πακέτο διακοπών. Λίγες ώρες πριν είχε ανταλλάξει μηνύματα με φίλους για να κανονίσουν διακοπές με τα παιδιά τους το καλοκαίρι.

Ειδικοί σε θέματα διαδικτυακής ασφάλειας λένε ότι η συχνότητα των επιθέσεων phishing μέσα από τα μέσα κοινωνικής δικτύωσης είναι κάτι το πρωτόγνωρο. Μια αναφορά στο περιοδικό Time αποκάλυψε ότι μια επίθεση από Ρώσους hackers προσπάθησε να εισβάλει σε 10,000 λογαριασμούς του Twitter που ανήκουν σε υπαλλήλους του τμήματος της Αμερικανικής Εθνικής Άμυνας, χρησιμοποιώντας προσωποποιημένα μηνύματα που απευθύνονταν σε συγκεκριμένους χρήστες.

Σύμφωνα με την πολιτική ασφαλείας των εταιρειών Twitter και Facebook όσοι λογαριασμοί εμπλέκονται σε επιθέσεις hacking, μπλοκάρονται, ενώ ταυτόχρονα δηλώνουν πως παρακολουθούν στενά το ζήτημα και χρησιμοποιούν εξειδικευμένες ειδοποιήσεις, συστήματα ανίχνευσης και εκπαίδευση χρηστών για την αντιμετώπιση του προβλήματος.
Σύμφωνα με μια έκθεση του Verizon για το 2016, περίπου το 30% των ηλεκτρονικών μηνυμάτων phishing ανοίγονται από τους στόχους τους. Ωστόσο, μια άλλη έρευνα που δημοσιεύθηκε από την εταιρεία ZeroFOX για την ασφάλεια στο διαδίκτυο έδειξε ότι το 66% των μηνυμάτων phishing που στάλθηκαν μέσω των μέσων κοινωνικής δικτύωσης ανοίχτηκαν από τα “θύματα”.

 

Πηγή New York Times

ΚατηγορίεςBlog