Ένα ηχηρό παράδειγμα "κοινωνικής μηχανικής"
Με ανησυχία αλλά και "επιστημονικό" ενδιαφέρον παρατηρώ, τις τελευταίες μέρες, την κατάληψη όλο και περισσότερων προφίλ διαδικτυακών μου φίλων από κακόβουλα άτομα ή bots, τα οποία παριστάνουν τον "Meta Manager" - έναν υποτιθέμενο αυτόματο ελεγκτή του Facebook - και στέλνουν δήθεν προειδοποιητικά μηνύματα για απενεργοποίηση του εκάστοτε λογαριασμού, μαζί με έναν σύνδεσμο για την τάχα επαναφορά του. Μου έχουν έρθει κι εμένα πλήθος τέτοια μηνύματα, τα οποία, φυσικά, διέγραψα χωρίς καν να τα ανοίξω.
Καθώς τυχαίνει να χρησιμοποιώ το Internet σχεδόν από καταβολής του, και κυριολεκτικά "τα έχω δει όλα", πρέπει να πω ότι οι τωρινές κακόβουλες επιθέσεις στο FB είναι από τις πιο επίμονες και ίσως τις πιο "επιτυχημένες", παρόλο που η μέθοδός τους είναι απλοϊκή και παρωχημένη - οριακά πρωτόγονη.
Αν κάτι καταδεικνύει (και αποδεικνύει) το συγκεκριμένο φαινόμενο, είναι ότι σε ένα τεράστιο κοινωνικό δίκτυο όπως το FB, το μεγαλύτερο κενό ασφάλειας και συγχρόνως το πιο δύσκολο να αντιμετωπιστεί, είναι αυτό που μας γεμίζει λιγότερο το μάτι - και δεν το "μπαλώνουν" ούτε απροσπέλαστα τείχη προστασίας, ούτε περίπλοκες κρυπτογραφήσεις, ούτε κανένα άλλο μέσο αποτροπής. Διότι βασίζεται στο λεγόμενο "social engineering", την "κοινωνική μηχανική" - ή "μηχάνευση", στην προκειμένη περίπτωση - η οποία δεν βάζει στόχο τη λογισμική ή υλισμική υποδομή της πλατφόρμας, αλλά απευθύνεται άμεσα και προσωπικά στους χρήστες της.
Το να πείσεις κάποιον να κάνει κάτι που του λες εξαρτάται από διάφορους παράγοντες. Απ' τη νηπιακή μας ηλικία έχουμε "προγραμματιστεί" να υπακούμε σε εντολές και απαγορεύσεις, μεγαλώνοντας, ωστόσο, αρχίζουμε - θεωρητικά, τουλάχιστον - να τις φιλτράρουμε, ώστε να μην τις ακολουθούμε μηχανικά. Στο βάθος, όμως, εξακολουθεί να υπάρχει και να λειτουργεί μέσα μας ένας αταβιστικός αυτοματισμός, τον οποίο εκμεταλλεύονται, για παράδειγμα, και χειραγωγούν οι διαφημιστές, προκειμένου να μας ωθήσουν στην αγορά ενός προϊόντος: διόλου τυχαία δεν είναι η επαναλαμβανόμενη χρήση της προστακτικής στα διαφημιστικά σποτ, σε τόνο δυνατό και χαρωπά επιτακτικό, που απευθύνεται στον λανθάνοντα παιδικό εαυτό μας.
Άλλος τρόπος για να βάλεις κάποιον να κάνει αυτό που θέλεις είναι η άμεση ή έμμεση απειλή. Σχεδόν αλάνθαστο ψυχολογικό τέχνασμα, το οποίο, σε συνάρτηση με τον αυτοματισμό της υπακοής, ξυπνά και τον επίσης παιδικό, ενστικτώδη φόβο της τιμωρίας. Αυτήν ακριβώς τη μέθοδο επιστράτευσαν οι κακόβουλοι στο FB, υποδυόμενοι μια "αρχή" (τον "Meta Manager", δηλαδή έναν υποτιθέμενο αλγόριθμο του Meta που αξιολογεί τη συμμόρφωση των χρηστών με τους "κανόνες της κοινότητας") η οποία φοβερίζει με απενεργοποίηση του λογαριασμού ακόμα και ατόμων που δεν έχουν παραβεί κανέναν κανόνα. Να πούμε, βέβαια, εδώ ότι περιστατικά άδικου αποκλεισμού έχουν συμβεί και εξαιτίας του πραγματικού αυτόματου ελεγκτή περιεχομένου του FB, ο οποίος, καθότι επίσης άψυχο bot, είναι επιρρεπής σε τέτοιου είδους λάθη - δημιουργώντας, έτσι, τις πλέον κατάλληλες συνθήκες για να κάνουν ωραιότατα οι hackers τη δουλειά τους.
Εν τω μεταξύ, "Meta Manager" όπως τον εννοούν οι απατεώνες ΔΕΝ υπάρχει καν στην πραγματικότητα. Υπάρχει "Meta Business Manager", μια υπο-πλατφόρμα του FB με αλγορίθμους οι οποίοι καταγράφουν τη συμπεριφορά των ακολούθων στις επαγγελματικές σελίδες για λόγους στατιστικής, στόχευσης των διαφημίσεων και εξατομίκευσης του περιεχομένου. Καμιά απολύτως σχέση, δηλαδή, με "μπόγια" που απενεργοποιεί λογαριασμούς. Τρέχουν βέβαια και κάποια scripts με αυτόν το σκοπό, αλλά δεν λέγονται "Meta Manager" ούτε "Meta Helper" (διάφορες ανορθόγραφες εκδοχές του οποίου έχουν επίσης εμφανιστεί).
Τις τελευταίες αυτές μέρες είχα για μια ακόμα φορά την ευκαιρία να παρατηρήσω το πόσο εύκολα ο φόβος νικά τη λογική. Την κοινή, στοιχειωδέστατη λογική, η οποία δεν χρειάζεται προηγμένες τεχνολογικές γνώσεις για να εμποδίσει τη ζημιά. Η όλη μέθοδος των κακόβουλων bots είναι γεμάτη "τρύπες" που απ' την πρώτη στιγμή θα έπρεπε να κινήσουν υποψίες. Από πότε το FB ειδοποιεί με προσωπικό μήνυμα για την απενεργοποίηση ενός λογαριασμού; Και πώς είναι δυνατόν ένας λογαριασμός να "απενεργοποιήθηκε προσωρινά", όπως ισχυρίζεται το μήνυμα, ενώ ακόμα λειτουργεί κανονικά; Αφήνω τις διάφορες ανορθόγραφες εκδοχές της λέξης "Manager" ("Maganer", "Magener", "Manger", "Mager" και δεν συμμαζεύεται).
Επίσης, το ότι ο αποστολέας ενός μηνύματος έχει για εικόνα προφίλ του το σήμα του Meta, δεν σημαίνει κιόλας ότι είναι γνήσιος εντεταλμένος του Meta. Έλα όμως που η εικόνα υπερισχύει, κυριαρχεί, και ας είναι κατάφωρα ψεύτικη, προκαλώντας τις αυτοματισμένες αντιδράσεις που λέγαμε.
Όπως ανέφερα και προηγουμένως, η μέθοδος των κακόβουλων είναι απαρχαιωμένη (συνηθιζόταν κατά κόρον στις παλιές, "αθώες" εποχές του διαδικτύου) όσο και πρωτόγονα απλοϊκή. Συγχρόνως, όμως, είναι και διαβολική. Διότι το να πατήσει κανείς ένα link νομίζοντας πως θα πάρει πίσω τον δήθεν αποκλεισμένο λογαριασμό του, είναι το ευκολότερο πράγμα του κόσμου. Εφόσον πείστηκε να πράξει αυτό, από κει και πέρα το να παραδώσει τα στοιχεία της σύνδεσής του στον hacker είναι ζήτημα δευτερολέπτων. Μόλις ο hacker αποκτήσει τα στοιχεία αυτά, κάνει κατάληψη στο προφίλ του θύματος και αρχίζει αυτόματα να στέλνει πανομοιότυπα παραπλανητικά μηνύματα σε όλες τις επαφές του, αρκετές από τις οποίες θα τρομάξουν και θα πατήσουν κι εκείνες το σύνδεσμο - και ούτω καθεξής.
Αρκεί λοιπόν μια κίνηση από ένα και μόνο άτομο για να ξεκινήσει η αθροιστική μόλυνση των λογαριασμών, η οποία τελικά παίρνει ανεξέλεγκτες διαστάσεις.
Με αυτά τα δεδομένα, το να σταματήσει ή έστω να περιοριστεί η ζημιά είναι σχεδόν αδύνατον, καθότι η αναχαίτισή της εξαρτάται αποκλειστικά από τη συμπεριφορά των χρηστών. Πολλοί από τους οποίους, παρά τις προειδοποιήσεις από άλλους παθόντες ή γνώστες του θέματος, εξακολουθούν να πατούν τους βλαβερούς συνδέσμους και να δίνουν τα στοιχεία τους, από φόβο μη χάσουν τους λογαριασμούς τους.
Ο μόνος τρόπος να μπει ένα φρένο στην όλη κατάσταση είναι να απαγορευτούν ή να απενεργοποιηθούν, για ένα διάστημα τουλάχιστον, οι σύνδεσμοι μέσα στα προσωπικά μηνύματα - πράγμα, ωστόσο, το οποίο θα έπληττε μεγάλο μέρος της λειτουργικότητας του FB ως προς την αμεσότητα της επικοινωνίας και της ανταλλαγής πληροφοριών.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου