Του Αναστάσιου Αραμπατζή*
Κοινωνική μηχανική ορίζεται ως η ψυχολογική χειραγώγηση της ανθρώπινης συμπεριφοράς με σκοπό οι άνθρωποι να δρουν με ορισμένους τρόπους ή να αποδεσμεύσουν εμπιστευτικές πληροφορίες. Είναι μία τεχνική η οποία εκμεταλλεύεται τις γνωστικές μας προκαταλήψεις και τα βασικά μας ένστικτα, όπως αυτό της εμπιστοσύνης, με σκοπό τη συλλογή πληροφοριών, την εξαπάτηση ή την πρόσβαση σε συστήματα. Η κοινωνική μηχανική είναι το “αγαπημένο” εργαλείο των κυβερνοεγκληματιών και πλέον χρησιμοποιούν κατά κύριο λόγο τις πλατφόρμες κοινωνικής δικτύωσης.
Η Κοινωνική Μηχανική στο Πλαίσιο της Κυβερνοασφάλειας
Η συμπεριφορά των υπαλλήλων έχει σημαντική επίδραση στο επίπεδο της κυβερνοασφάλειας των οργανισμών, το οποίο κατ’ επέκταση σημαίνει ότι η κοινωνική μηχανική είναι μία σημαντική απειλή. Ο τρόπος με τον οποίο εκπαιδεύουμε τους υπαλλήλους μας στην κυβερνοασφάλεια, επιδρά στην ίδια την κυβερνοασφάλεια του οργανισμού μας. Αναγνωρίζοντας τα πολιτιστικά υπόβαθρα των υπαλλήλων της εταιρείας μας και σχεδιάζοντας την εκπαίδευση με τέτοιο τρόπο ώστε να απαντά στις διάφορες γνωστικές προκαταλήψεις μπορεί να βοηθήσει στη δημιουργία μίας αποτελεσματικής ασφάλειας πληροφοριών. Απώτερος σκοπός θα πρέπει να είναι η δημιουργία μίας κουλτούρας κυβερνοασφάλειας με την έννοια των στάσεων, αντιλήψεων, πεποιθήσεων και συμπεριφορών που συμβάλλουν στην προστασία των ευαίσθητων και κρίσιμων πληροφοριών ενός οργανισμού. Σημαντικό μέρος της κουλτούρας κυβερνοασφάλειας είναι η επίγνωση του κινδύνου της κοινωνικής μηχανικής. Εάν οι υπάλληλοι δεν θεωρούν τον εαυτό τους ως μέρος της προσπάθειας, τότε αγνοούν τα συμφέροντα ασφάλειας του οργανισμού.
Γνωστική Εκμετάλλευση
Οι διάφορες τεχνικές της κοινωνικής μηχανικής βασίζονται σε συγκεκριμένα χαρακτηριστικά της ανθρώπινης διαδικασίας λήψης αποφάσεων, τα οποία είναι γνωστά ως γνωστικές προκαταλήψεις. Αυτές οι προκαταλήψεις είναι παράγωγα του μυαλού στη διαδικασία να βρίσκει τον ευκολότερο δυνατό τρόπο να επεξεργάζεται πληροφορίες και να φτάνει γρήγορα σε αποφάσεις. Για παράδειγμα, ένα χαρακτηριστικό γνώρισμα είναι η αντιπροσωπευτικότητα, η τάση δηλαδή να ομαδοποιούμε παρόμοια αντικείμενα ή γεγονότα. Κάθε φορά που βλέπουμε ένα αυτοκίνητο, δεν απαιτείται να θυμόμαστε τον κατασκευαστή ή το χρώμα. Το μυαλό μας βλέπει το αντικείμενο, το σχήμα, την κίνηση και λέει “αυτοκίνητο”.
Αυτό το χαρακτηριστικό το εκμεταλλεύονται οι κοινωνικοί μηχανικοί με την αποστολή μηνυμάτων phishing. Λαμβάνουμε ένα μήνυμα με το λογότυπο της Amazon και δεν ελέγχουμε εάν είναι ψευδές ή όχι. Το μυαλό μας λέει ότι αυτό προέρχεται από την Amazon, την οποία εμπιστεύομαι και έτσι κάνουμε κλικ στον σύνδεσμο και αποδεσμεύουμε προσωπικά μας στοιχεία όπως ο αριθμός πιστωτικής κάρτας. Παρόμοιες επιθέσεις στοχεύουν στην κλοπή εμπιστευτικών πληροφοριών από τους υπαλλήλους, όπως π.χ. με χειραγώγηση και εξαπάτηση μέσω τηλεφώνου. Εάν το κάθε άτομο δεν είναι επαρκώς εκπαιδευμένο να αντιμετωπίσει τέτοιου είδους επιθέσεις, δεν θα καταλάβει ούτε την ύπαρξή τους.
Οι Αρχές της Επιρροής
Η κοινωνική μηχανική βασίζεται σε μεγάλο βαθμό στις έξι αρχές της επιρροής, όπως αυτές περιγράφονται στο βιβλίο του Robert Cialdini “Influence: The Psychology of Persuasion”, οι οποίες εν συντομία είναι:
- Αμοιβαιότητα: οι άνθρωποι τείνουν να ανταποδίδουν χάρες
- Δέσμευση και συνέπεια: εάν οι άνθρωποι δεσμευτούν σε μία ιδέα ή ένα στόχο, είναι πολύ πιθανό να τιμήσουν αυτή τη δέσμευση γιατί αυτό είναι σύμφωνο με την εικόνα τους, ακόμα και εάν το αρχικό κίνητρο έχει αλλάξει ή διαγραφεί.
- Κοινωνική απόδειξη: οι άνθρωποι τείνουν να μιμούνται άλλους ανθρώπους.
- Εξουσία: οι άνθρωποι τείνουν να υπακούν τις αρχές ακόμα και εάν τους ζητηθεί να κάνουν αμφισβητούμενες πράξεις.
- Αρέσκεια: οι άνθρωποι πείθονται πιο εύκολα από ανθρώπους που συμπαθούν.
- Έλλειψη: η αντιληπτή έλλειψη δημιουργεί απαίτηση (προϊόν διαθέσιμο “μόνο για λίγο”).
Το σκάνδαλο της Cambridge Analytica
Μετά την εκλογή του Προέδρου Τραμπ, πολλά μέσα ενημέρωσης συζητούσαν την πιθανότητα να είχαν χρησιμοποιηθεί τακτικές κοινωνικής μηχανικής για να επηρεαστεί η κοινή γνώμη. Οι αποκαλύψεις για την Cambridge Analytica και της χρησιμοποίησης δεδομένων χρηστών του Facebook δεν εγείρουν μόνο ερωτήματα για την ιδιωτικότητα των δεδομένων και την έλλειψη συναίνεσης των χρηστών, αλλά επιδεικνύουν και την ευκολία με την οποία οι εταιρείες μπορούν να σχεδιάσουν και να εκτελέσουν εκστρατείες κοινωνικής μηχανικής ενάντια μίας ολόκληρης κοινωνίας.
Όπως και στις εμπορικές διαφημίσεις, το σημαντικό είναι να ξέρεις σε ποιους απευθύνεσαι ώστε με τον λιγότερο δυνατό κόπο πετύχεις τον στόχο σου. Αυτό αληθεύει για κάθε εκστρατεία επιρροής και αυτό που απέδειξε το σκάνδαλο της Cambridge Analytica είναι ότι η κοινωνική μηχανική δεν είναι μόνο μία απειλή για την κυβερνοασφάλεια μίας εταιρείας ή ενός οργανισμού.
Η κοινωνική μηχανική είναι απειλή για την πολιτική σταθερότητα και για τον ελεύθερο, ανεξάρτητο πολιτικό διάλογο. Οι τεχνικές διαφήμισης που χρησιμοποιούνται στις πλατφόρμες κοινωνικής δικτύωσης εγείρουν αρκετά ηθικά διλήμματα. Η πολιτική χειραγώγηση και η διασπορά παραπληροφόρησης και αποπληροφόρησης αμβλύνουν σε μεγάλο βαθμό τα υφιστάμενα ηθικά ζητήματα.
Η απειλή για τις κοινωνίες
Είναι πιθανό η κοινωνική μηχανική να πυροδοτήσει έναν πόλεμο ή μία κοινωνική αναταραχή; Είναι πιθανό ξένοι δρώντες να ξεγελάσουν τους πολίτες ενός κράτους ώστε να ψηφίσουν ενάντια στο εθνικό τους συμφέρον; Εάν ένας αρχηγός (δεν θα χρησιμοποιήσω τη λέξη ηγέτης) θέλει να χειραγωγήσει τους πολίτες του κράτους του, μπορεί να το πετύχει; Η απάντηση σε όλα αυτά τα ερωτήματα είναι ναι. Η κοινωνική μηχανική μέσω των ψηφιακών πλατφορμών που έχουν διεισδύσει σε όλες τις κοινωνικές δομές είναι μία πολύ σοβαρή απειλή.
Κεντρική ιδέα της δημοκρατίας είναι ότι η εξουσία προέρχεται από το λαό, για το λαό. Οι πολίτες μπορούν να εκφράσουν τις απόψεις τους μέσω ενός ανοικτού, προστατευμένου και ελεύθερου διαλόγου. Η λογοδοσία, ειδικά των κυβερνητικών αξιωματούχων, αλλά και των ιδιωτών πολιτών, είναι επίσης μία σημαντική αρχή της δημοκρατίας. Με τη μαζική συλλογή και εκμετάλλευση προσωπικών δεδομένων, χωρίς καμία λογοδοσία, αυτές οι αρχές τίθενται σε κίνδυνο. Η ίδια η δημοκρατία τίθεται σε κίνδυνο.
Βεβαίως εδώ θα πρέπει να σημειώσουμε ότι δεν ευθύνονται μόνο οι πλατφόρμες κοινωνικής δικτύωσης, όπως το Facebook, για την οποιαδήποτε εκστρατεία αποπληροφόρησης ή πολιτικής χειραγώγησης. Οι πλατφόρμες αυτές, ουσιαστικά αντανακλούν τις δικές μας ενέργειες. Εμείς δημιουργούμε τους δικούς μας αποστειρωμένους κόσμους μας, το δικό μας “κύκλο της εμπιστοσύνης”. Οπότε, η απειλή δεν είναι τα μέσα αυτά καθαυτά, αν και έχουν το δικό τους μερίδιο ευθύνης για τον τρόπο συλλογής δεδομένων και των πρακτικών διαφήμισης. Η αληθινή απειλή είναι οι κακόβουλοι δρώντες και πως εκμεταλλεύονται αυτές τις πλατφόρμες.
Μεγάλης κλίμακας εκστρατείες κοινωνικής μηχανικής, οι οποίες εκμεταλλεύονται την ανθρώπινη εμπιστοσύνη, μολύνουν το δημόσιο διάλογο με παραπληροφόρηση και παραμορφώνουν την πραγματικότητα μπορούν να οδηγήσουν τις κοινωνίες στο χείλος του γκρεμού. Η αλήθεια αμφισβητείται περισσότερο από ποτέ και το κλίμα της πολιτικής πόλωσης αυξάνεται. Η διασπορά ειδήσεων στα μέσα κοινωνικής δικτύωσης χωρίς καμία λογοδοσία οδηγεί στην πολιτική διαστρέβλωση, στην έλλειψη εμπιστοσύνης στο πολιτικό σύστημα και στην εκλογή ακραίων πολιτικών κομμάτων. Με λίγα λόγια, η κοινωνική μηχανική αποτελεί μία κρίσιμη απειλή για την κοινωνική και πολιτική σταθερότητα.
Αντιμετώπιση της απειλής
Το κλειδί για την αντιμετώπιση της κοινωνικής μηχανικής, λαμβάνοντας υπόψη ότι οι τακτικές στοχεύουν στην έλλειψη γνώσης, στην άγνοιά μας και στις προκαταλήψεις μας, είναι η επίγνωση. Η προσέγγιση της αύξησης της επίγνωσης έχει διπλό αποτέλεσμα: αφενός μπορούμε να αναπτύξουμε στρατηγικές και καλές πρακτικές για την αντιμετώπιση αυτής καθαυτής της κοινωνικής μηχανικής και αφετέρου μπορούμε να αναπτύξουμε πολιτικές για τη μείωση των αποτελεσμάτων της κοινωνικής μηχανικής.
Σε αντίθεση με το τι συμβαίνει στην αντιμετώπιση των κακόβουλων λογισμικών, για να αντιμετωπίσουμε την κοινωνική μηχανική δεν μπορούμε να “ενσωματώσουμε” κάποιου είδους λογισμικού στον άνθρωπο ώστε αυτός να παραμείνει ασφαλής. Όπως αναφέρει και ο Christopher Hadnagy στο βιβλίο του “Social Engineering, The Art of Human Hacking”, η κοινωνική μηχανική απαιτεί μία ολιστική, ανθρωποκεντρική προσέγγιση, η οποία θα εστιάζει στους ακόλουθους άξονες:
- Εκμάθηση αναγνώρισης επιθέσεων κοινωνικής μηχανικής.
- Δημιουργία προσωποποιημένου προγράμματος επίγνωσης κυβερνοασφάλειας.
- Επίγνωση της αξίας της πληροφορίας που αναζητούν οι κοινωνικοί μηχανικοί.
- Διαρκώς ενημερωμένο λογισμικό.
- Ασκήσεις ετοιμότητας μέσω λογισμικού προσομοίωσης και “σοβαρών” παιχνιδιών (gamification).
Η αντιμετώπιση της κοινωνικής μηχανικής πρέπει να αποτελέσει μέρος μίας ευρύτερης εκπαίδευσης για την ψηφιακή μας ασφάλεια. Για την καταπολέμηση της κοινωνικής μηχανικής στο επίπεδο της κοινωνίας πρέπει να εκπαιδευτούμε για την τρωτότητα των σύγχρονων μέσων επικοινωνίας (π.χ. μέσα κοινωνικής δικτύωσης), για τους λόγους που αυτά μπορεί να χρησιμοποιηθούν για χειραγώγηση των πολιτών (π.χ. προσωποποιημένη διαφήμιση, πολιτική επικοινωνία) και για τους τρόπους υλοποίησης της χειραγώγησης (π.χ. ψευδείς ειδήσεις). Η επίγνωση είναι το κλειδί για την ανάπτυξη κριτικής σκέψης ενάντια στην κοινωνική μηχανική.
*Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Σήμερα αρθρογραφεί για τη στήλη State of Security της εταιρείας Tripwire και για το blog της Venafi. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.