Πολλά επιτυχημένα hacks ξεκινούν με μια ανυποψίαστη ανάρτηση στα μέσα κοινωνικής δικτύωσης.
Είναι σύνηθες φαινόμενο οι άνθρωποι να δημοσιεύουν φωτογραφίες και βίντεο από την καθημερινή τους ζωή στα προφίλ τους στα μέσα κοινωνικής δικτύωσης, αλλά τέτοιο περιεχόμενο που δημιουργείται από χρήστες μπορεί να δημιουργήσει σημαντικά ζητήματα ασφάλειας. Τα μέσα κοινωνικής δικτύωσης είναι εξαιρετικά για τη συλλογή πληροφοριών για τους ανθρώπους. Δείτε πώς οι χάκερ συλλέγουν και εκμεταλλεύονται ακριβώς αυτές τις πληροφορίες.
Η συλλογή πληροφοριών είναι το πρώτο βήμα για το hacking
Το πρώτο πράγμα που κάνουν οι χάκερ πριν επιτεθούν σε ένα σύστημα είναι να συλλέγουν πληροφορίες. Μερικές φορές αυτή η διαδικασία μπορεί να διαρκέσει λεπτά, ώρες, μήνες ή χρόνια. Αυτή η χρονική περίοδος ποικίλλει ανάλογα με την ικανότητα του συστήματος στόχου, τον αριθμό των εργαζομένων, το μέγεθος της επίθεσης και τα αμυντικά μέτρα. Ο στόχος εδώ είναι να εντοπιστούν όλες οι αδυναμίες του συστήματος στόχου και να δημιουργηθεί μια στρατηγική επίθεσης.
Για παράδειγμα, φανταστείτε ένα άτομο του οποίου το όνομα χρήστη στο Instagram είναι θύμα χρήστη έχει εταιρικό email με την επέκταση example.com, και έχουν αγοράσει αεροπορικό εισιτήριο για να πάνε επαγγελματικό ταξίδι στο εξωτερικό. Αποδεικνύεται ότι ο useruser είναι πολύ ενθουσιασμένος με αυτό και αποφασίζει να ανεβάσει μια φωτογραφία για να μοιραστεί τον ενθουσιασμό με τους ακόλουθους και τους φίλους στο Instagram. Σε αυτήν τη φωτογραφία που ανέβασε ο χρήστης του θύματος, φαίνεται ένα συγκεκριμένο μέρος του αεροπορικού εισιτηρίου. Ωχ. Αυτές είναι πολύ χρήσιμες πληροφορίες για έναν χάκερ.
Παρόλο που ολόκληρο το αεροπορικό εισιτήριο δεν είναι ορατό στη φωτογραφία που μοιράστηκε ο χρήστης του θύματος, καθώς το εισιτήριο κάθε εταιρείας είναι διαφορετικό, ο χάκερ μπορεί να καταλάβει σε ποια εταιρεία ανήκει αυτό το εισιτήριο. Στη συνέχεια, ο χάκερ θα διαβάσει την περιγραφή κάτω από τη φωτογραφία. Εάν ο χρήστης-θύμα κοινοποιήσει την ημερομηνία και την ώρα πτήσης, η δουλειά του χάκερ θα είναι ευκολότερη. Αλλά ακόμα κι αν αυτές οι πληροφορίες δεν είναι δημόσια διαθέσιμες, ο χάκερ μπορεί να προσποιηθεί ότι είναι πελάτης, να μπει στον επίσημο ιστότοπο της εταιρείας αεροσκαφών και να εξετάσει τα σχέδια πτήσης. Αυτό σημαίνει ότι οι χάκερ μπορούν να προβλέψουν την ημέρα και την ώρα της πτήσης που ανήκει στον χρήστη-θύμα.
Σε αυτό το σημείο, ο χάκερ αρχίζει να σκέφτεται τους φορείς επίθεσης, ενώ ο χρήστης του θύματος συνεχίζει να πιστεύει ότι κάνει μια αθώα ανάρτηση.
Χρησιμοποιώντας τη δύναμη της Google, ο χάκερ αρχίζει να ψάχνει στα εισιτήρια της εταιρείας πτήσεων που έμαθε από το θύμα χρήστη. Τότε το πρώτο βήμα που θα κάνει ο χάκερ είναι να κάνει το Google dorking.
Με το Google dorking, μπορείτε να αναζητήσετε συγκεκριμένες επεκτάσεις αρχείων σε έναν δεδομένο ιστότοπο. Σε αυτήν την περίπτωση, ο χάκερ αναζητά αρχεία PDF της εταιρείας πτήσης του χρήστη του θύματος. Ο χάκερ κατεβάζει αυτό το αρχείο PDF και το χειρίζεται για να εξυπηρετήσει τις ανάγκες του.
Ορισμένοι χάκερ εξαπατούν και εξαπατούν τους χρήστες-στόχους μέσω μιας διαδικασίας γνωστής ως κοινωνικής μηχανικής. Σε αυτό το στάδιο, ο χάκερ θα δημιουργήσει μια ρεαλιστική διεύθυνση email και το συνοδευτικό κείμενο του σώματος. Στη συνέχεια, μπορούν να επισυνάψουν ένα τροποποιημένο αρχείο PDF που περιέχει κακόβουλο λογισμικό. Εάν ο χρήστης-θύμα ανοίξει αυτό το email, ο χάκερ έχει πετύχει τον στόχο του.
Εάν ο χάκερ γνωρίζει την ώρα και την ημέρα πτήσης του χρήστη του θύματος, φυσικά, το ψεύτικο email θα είναι πολύ πιο ρεαλιστικό, αλλά τις περισσότερες φορές, αυτό μπορεί να μην είναι καν απαραίτητο. Εάν υπάρχει σύστημα μέλους στον ιστότοπο της εταιρείας πτήσεων, ο χάκερ μπορεί να γίνει μέλος και να λάβει ένα email από την εταιρεία πτήσης. Αυτό θα βοηθήσει τον χάκερ να μάθει τη διάταξη και το στυλ HTML email χρησιμοποιείται από την αεροπορική εταιρεία.
Αφού προετοιμάσει το ψεύτικο email, ο χάκερ θα πρέπει τώρα να αποκτήσει μια διεύθυνση email με έναν τομέα που ανήκει στην εταιρεία πτήσεων, αλλά αυτό είναι σχεδόν αδύνατο να γίνει. Γι' αυτό ο χάκερ ετοιμάζει μια ψεύτικη διεύθυνση ηλεκτρονικού ταχυδρομείου της εταιρείας πτήσεων. Μπορεί να βάλουν μια διαφορετική διεύθυνση email μπροστά από έναν κανονικό λογαριασμό email για να τον κρύψουν και, εκτός εάν ο χρήστης-στόχος κάνει κλικ σε αυτήν τη διεύθυνση, δεν θα δει την πραγματική διεύθυνση email πίσω από αυτό. Είναι ένα εύκολο κόλπο για να πέσεις.
Αφού ο χάκερ ετοιμάσει μια ψεύτικη διεύθυνση email, απομένει μόνο ένα βήμα: μάθετε τη διεύθυνση email του χρήστη του θύματος. Ο χάκερ μπορεί να στραφεί στην επιλογή ξεχασμένου κωδικού πρόσβασης για αυτό.
Μετά την επιλογή ξέχασα τον κωδικό πρόσβασης, ο χάκερ μπορεί να ανακαλύψει το όνομα τομέα ηλεκτρονικού ταχυδρομείου του στοχευόμενου χρήστη. Σε αυτό το παράδειγμα, ο useruser έχει έναν τομέα με όνομα example.com και φαίνεται να έχει μια διεύθυνση email όπως v*******[email protected]. Φυσικά, ο χάκερ μπορεί να καταλάβει αμέσως ότι το τμήμα που επισημαίνεται με * είναι το όνομα χρήστη του χρήστη-θύματος. Αν δεν ήταν τόσο απλό, ο χάκερ θα μπορούσε να είχε κάνει αναζήτηση με το Google για να δει αν υπάρχουν άλλες διευθύνσεις ηλεκτρονικού ταχυδρομείου με τον τομέα example.com. Ωστόσο, τώρα ο χάκερ έχει το email του χρήστη του θύματος.
Πώς φαίνονται τα πράγματα από την οπτική γωνία του θύματος
Ένα επείγον μήνυμα ηλεκτρονικού ταχυδρομείου έρχεται στον χρήστη του θύματος και αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου είναι τόσο πειστικό που ο χρήστης του θύματος πέφτει σε αυτήν την παγίδα. Εξάλλου, αυτό το email περιέχει το αεροπορικό εισιτήριο, πληροφορίες πτήσης και σημαντικές πολιτικές πτήσεων. Επίσης, η διεύθυνση email μοιάζει με τη διεύθυνση email της εταιρείας πτήσεων. Όλα φαίνονται νόμιμα.
Επιπλέον, δεδομένου ότι ο χρήστης-θύμα θα πραγματοποιήσει αυτήν την πτήση για επαγγελματικό ταξίδι, λαμβάνουν σοβαρά υπόψη αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου. Στο κάτω μέρος του email, υπάρχει ένας σύνδεσμος όπως "έγγραφα που πρέπει να συμπληρώσετε για να ολοκληρώσετε τις διαδικασίες πτήσης σας". Μόλις ο χρήστης-θύμα κάνει κλικ σε αυτόν τον σύνδεσμο, ο χάκερ παίρνει αυτό που αναζητά.
Τι μας λέει αυτή η ιστορία;
Οι περισσότεροι από εμάς δεν διαφέρουμε από τους χρήστες-θύμα, και είναι σημαντικό να το γνωρίζουμε αυτό. Το λάθος που έκανε ο χρήστης-θύμα σε αυτό το παράδειγμα σεναρίου ήταν να κοινοποιήσει δημόσια πληροφορίες εισιτηρίων, οι οποίες είναι προσωπικές και ιδιωτικές πληροφορίες. Και εδώ είναι το πράγμα: αυτή ήταν μια αληθινή ιστορία. Σκεφτείτε λοιπόν δύο φορές πριν μοιραστείτε πληροφορίες που σχετίζονται είτε με την επαγγελματική είτε την προσωπική σας ζωή.
