Ορισμός:
Κοινωνική μηχανική (Social engineering) είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών.
Αν και είναι παρόμοια με το τέχνασμα ή την απλή απάτη, ο όρος είναι κυρίως συνδεδεμένος με την εξαπάτηση ατόμων με σκοπό την απόσπαση εμπιστευτικών πληροφοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπολογιστικό σύστημα.
Συνήθως αυτός που την εφαρμόζει δεν έρχεται ποτέ πρόσωπο με πρόσωπο με το άτομο που εξαπατά ή παραπλανά. Παρόλο που ο όρος ίσως να μην είναι ακριβής ή επιτυχημένος έχει πλέον καθιερωθεί.
Πώς λειτουργεί:
Στηρίζεται κυρίως στην ανθρώπινη περιέργεια ή την απληστία και στην άγνοια. Πολλοί θεωρούν ότι ένα καλό αντιϊκό τους προστατεύει αλλά αυτά δρουν μόνο για τους ευρέως γνωστούς ιούς και για τις ευρέως γνωστές τεχνικές και όχι για έναν ειδικά κατασκευασμένο “ιό”. Πολλοί, επίσης, είτε λόγω ευπιστίας είτε λόγω ευγένειας δεν αρνούνται να δώσουν στοιχεία σε κάποιον που τους το ζητάει ευγενικά ή κάτω από δήθεν “πίεση”.
Ο άμεσος στόχος δεν είναι πάντα η αποκάλυψη του κωδικού. Για κάποιον που θέλει να διεισδύσει σε ένα υπολογιστικό σύστημα πολλές φορές είναι αρκετή ακόμα και η απλή γνώση του αριθμού έκδοσης του λειτουργικού συστήματος ή άλλων προγραμμάτων που χρησιμοποιεί ο χρήστης. Με αυτές τις πληροφορίες μπορεί να μάθει αν υπάρχουν “τρύπες” στα προγράμματα και να τις αξιοποιήσει.
Άλλες πληροφορίες που μπορεί να συλλέξει κάποιος, και που πιθανά να είναι χρήσιμες, όπως οι ημερομηνίες γέννησης, τα ονόματα των παιδιών, τα ονόματα υπευθύνων για τη μηχανογράφηση κ.α. συλλέγονται είτε μέσω συνομιλίας είτε από τα λεγόμενα κοινωνικά δίκτυα είτε από τις ιστοσελίδες της εταιρείας.
Οι πληροφορίες αυτές χρησιμοποιούνται αργότερα σε συνομιλία, είτε τηλεφωνική είτε μέσω ηλεκτρονικού ταχυδρομείου είτε σε άμεσα μηνύματα, για να πεισθεί ο συνομιλητής-θύμα ότι πρόκειται περί γνωστού και έτσι να του αποσπαστούν ακόμη περισσότερες πληροφορίες ή, ακόμα καλύτερα, κάποιος κωδικός πρόσβασης.
Στόχος μας:
Στόχος μας είναι η εκπαίδευση του προσωπικού μιας επιχείρησης ή ενός εργονανισμού μέσω πλατφόρμας εκπαίδευσης, παρακολούθησης και ελέγχου απόδοσης των εκπαιδευομένων, η οποία υποστηρίζει ένα ευρύ φάσμα εκπαιδευτικών προγραμμάτων ασφαλείας.
Οι κυριότερες θεματικές ενότητες που καλύπτονται από την πλατφόρμα κατάρτισης, περιλαμβάνουν μεταξύ άλλων:
1. Ασφάλεια Πιστωτικών Καρτών
2. Δημιουργία & Διαχείριση Ισχυρών Κωδικών Πρόσβασης
3. Ασφαλής Διαχείριση Ευαίσθητων Δεδομένων
4. Ασφαλής Πλοήγηση
5. Ασφαλής Χρήση των Μέσων Κοινωνικής Δικτύωσης
6. Επιθέσεις Παραβίασης Εταιρικών Emails (BEC Scams)
7. Επιθέσεις Ransomware
8. Επιθέσεις E-mail Spoofing
9. Επιθέσεις Malware
10. Επιθέσεις Phishing
11. Επιθέσεις μέσω USB
12. Κοινωνική Μηχανική (Social Engineering)
13. Διαχείριση Διασφαλισμένων Πληροφοριών (Data Classification)
14. Δημιουργία «Ανθρώπινου Τοίχους Προστασίας» (Human Firewall)
15. Αναγνώριση και Ταυτοποίηση Χρηστών
16. Ασφάλεια κατά τη Χρήση Mobile Συσκευών
17. Ασφαλής Συμπεριφορά στο Διαδίκτυο
18. Ευαισθητοποίηση Υπαλλήλων Τηλεφωνικού Κέντρου (Call Center & Help
Desk Αwareness)
19. Ευαισθητοποίηση για τα Κορυφαία Ζητήματα Ασφάλειας
20. Eυαισθητοποίηση Διευθυντικών Στελεχών για θέματα Ασφαλούς Χρήσης
Υπολογιστικών Συστημάτων & Προστασίας Δεδομένων
21. Ασφάλεια στο Εργασιακό Περιβάλλον
22. Κατανόηση της Κρυπτογράφησης
Όσο ασφαλή και να είναι τα λειτουργικά συστήματα της επιχείρησής μας, πχ firewalls, antivirus και λοιπά, ο πιο “αδύναμος κρίκος” είναι ο ανθρώπινος παράγοντας όπου με το λάθος κλικ μπορεί να προκύψει πολύ μεγάλη ζημιά.