Η αρθρογραφία, η οποία σχετίζεται με τους κινδύνους που υπάρχουν στον κυβερνοχώρο, εστιάζει τις περισσότερες φορές στον ανθρώπινο παράγοντα, ως κύρια αιτία των διαφόρων ζημιών – οικονομικών, απώλειας πολύτιμων δεδομένων κλπ.- που προκαλούνται από τις εκάστοτε επιθέσεις. Τι συνιστά όμως, το ανθρώπινο λάθος; Και ποιες είναι στην πραγματικότητα οι συμπεριφορές που ενδεχομένως να «εκμεταλλεύονται» τα κακόβουλα λογισμικά; Εφόσον κατανοήσουμε καλύτερα αυτό το κομμάτι, καθώς και τα αδύναμα μας σημεία ως χρήστες, θα μπορέσουμε να πετύχουμε πολλά περισσότερα στον τομέα της ασφάλειας και της προστασίας στον κυβερνοχώρο.
του Κώστα Βούλγαρη, Financial Lines & Casualty Manager στην AIG
Τι εννοούμε πραγματικά όμως, όταν μιλάμε για τον ρόλο του ανθρώπινου παράγοντα σε αυτά τα ζητήματα;
Η έννοια στην πραγματικότητα δεν σχετίζεται τόσο με το οποιοδήποτε σφάλμα, που έχει κάνει ο εκάστοτε χρήστης, – εξαιτίας της συνολικής κουλτούρας και της ανεπαρκής ενημέρωσης γύρω από ζητήματα ασφαλείας- μιας και τα υψηλόβαθμα στελέχη, είναι πολύ πιο πιθανό να γίνουν στόχοι εξαπάτησης και απόπειρας υποκλοπής δεδομένων. Αυτό φυσικά συμβαίνει, καθώς έχουν στα χέρια τους πολύτιμες πληροφορίες ενός οργανισμού ή μιας εταιρείας. Η μέθοδος, που οι επίδοξοι δράστες συνήθως ακολουθούν, αποκαλείται «κοινωνική μηχανική» ή αλλιώς social engineering και εκφράζει όλες τις τεχνικές ηλεκτρονικής εξαπάτησης, εκφοβισμού ή εκβιασμού ενός ατόμου. Χρησιμοποιείται με σκοπό το θύμα να προχωρήσει σε αποκάλυψη προσωπικών και εταιρικών δεδομένων, ενίοτε μάλιστα και σε εξουσιοδοτημένες πληρωμές. Το μήνυμα ηλεκτρονικού ταχυδρομείου παραμένει το κύριο όπλο επίθεσης της κοινωνικής μηχανικής και συνήθως περιέχει κακόβουλο περιεχόμενο, το οποίο στέλνεται σε εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου. Οι δράστες στοχεύουν συχνά υπευθύνους για πληρωμές και χρηματοοικονομικές συναλλαγές, χρησιμοποιώντας μεθόδους ψυχολογικής χειραγώγησης. Αυτό συνήθως σημαίνει, πως τους εξαναγκάζουν να παραχωρήσουν πληροφορίες ή ακόμη και να πραγματοποιήσουν χρηματικές συναλλαγές. Η τακτική του επίδοξου δράστη, μπορεί να ξεκινάει από ένα απλό δόλωμα – π.χ την αποστολή ενός ψεύτικου τιμολογίου – έως και πιο περίπλοκα σχέδια – π.χ την κλοπή λογότυπων και ιστοσελίδων- που με την πρώτη όμως ματιά, εμφανίζονται έγκυρα μέσα σε ένα email. Σύμφωνα με την έκθεση πληροφοριών “AIG EMEA Cyber Claims Intelligence 2019”, σχεδόν το ένα τέταρτο των περιστατικών που αναφέρθηκαν στην AIG το 2018 οφείλονται σε απώλειες που προέκυψαν από την εξαπάτηση μέσω ηλεκτρονικού ταχυδρομείου, με σοβαρές ενδείξεις πως στα θύματα εξαπάτησης περιλαμβάνονται και πολλά ανώτερα διοικητικά στελέχη.
