Sociální inženýrství popisuje způsob, jakým jsou oběti manipulovány ke sdílení informací, stahování malwaru a posílání peněz zločincům. Na rozdíl od balíčků škodlivého softwaru nelze lidský mozek opravit – na základní úrovni je každý stejně zranitelný vůči sociálnímu inženýrství. A zatímco veřejné vnímání sociálního inženýrství se od dob podvodu s nigerijským princem příliš nerozvinulo, útočníci byli schopni těžit z nebetyčně vysokých úrovní narušení dat k zátěžovému testování některých dosud nejohavnějších a manipulativních technik.
Jak funguje sociální inženýrství?
Sociální inženýrství může mít řadu různých podob v závislosti na přístupu útočníků. Pro útoky proti organizacím je vydávání se za důvěryhodnou značku nebo partnera jedním z nejlukrativnějších. V roce 2019 kyberzločinci vybírali software založený na umělé inteligenci, aby se vydávali za hlas generálního ředitele.
Generálnímu řediteli energetické korporace se sídlem ve Spojeném království zatelefonoval jeho šéf – nebo si to alespoň myslel – a požádal ho, aby urychleně převedl částku € 220,000 ($ 243,000) maďarskému dodavateli. I když to představuje vzácný případ útočníků využívajících AI, většina sociálních inženýrů si stále uvědomuje sílu vydávat se za důvěryhodnou organizaci. Ve stejném duchu jsou útoky, jejichž cílem je napodobit vládní a autoritativní postavy. Důvěra udělená vládním institucím představuje pro útočníky plodnou příležitost ke zneužití: vydávat se za IRS může také poskytnout útokům sociálního inženýrství časově omezenou nebo represivní výhodu, což nutí oběti jednat bez řádného rozmýšlení.
Metody sociálního inženýrství se z velké části živí dvěma skupinami emocí. První zahrnuje strach a naléhavost. Desetiletí evoluce viděla, jak kyberzločinci jemně zdokonalovali své techniky vyvolávající strach. Například neočekávaný e-mail uvádějící, že nedávná transakce kreditní kartou nebyla schválena, vystavuje mozek většímu stresu, protože oběť předpokládá, že její karta byla použita podvodně. Díky této panice kliknou na přidružený odkaz, zadají své přihlašovací údaje na přesvědčivé přihlašovací stránce banky, jen aby byli přesměrováni na legitimní stránku. Není o nic moudřejší, oběť právě předala své bankovní údaje podvodníkům. I když jsou pro útočníky ziskové, finance nejsou jediným způsobem, jak vyvolat paniku: majitelé malých webových stránek a firem mohou obdržet zprávu, která nepravdivě tvrdí, že obrázek na jejich webu porušuje autorské právo, což znamená, že předávají osobní údaje – nebo dokonce peníze ve formě o pokutě. Některé útoky založené na naléhavosti dokonce využívají fasádu časově omezených obchodů, aby přinutily oběti kliknout co nejdříve.
Druhá forma útoku sociálního inženýrství apeluje na chamtivost; tradičním příkladem je útok nigerijského prince. Zde oběť obdrží e-mail od osoby, která tvrdí, že je uprchlým členem nigerijské královské rodiny. Odesílatel potřebuje něčí bankovní účet, aby mohl poslat své miliony, ale nejprve potřebuje bankovní informace své oběti. Oběť, která chce využít miliony, které mají být uloženy, může být přesvědčena, aby poslala relativně malý zálohový poplatek nebo své údaje. V odvětví kybernetické kriminality je tento útok prastarý – ale v roce 2018 stále vydělával stovky tisíc dolarů.
Typy útoků sociálního inženýrství
Sociální inženýrství pokrývá širokou škálu vzorců útoků, z nichž každý má svůj vlastní přístup k manipulaci s oběťmi.
Phishingové útoky
Phishing zahrnuje jeden z nejznámějších typů útoků sociálního inženýrství. Při těchto útocích oběť dostává zprávy, jejichž cílem je zmanipulovat je ke sdílení citlivých informací nebo stahování škodlivých souborů. Podvodníci si uvědomují, že doručená pošta je nejzranitelnější oblastí každé organizace, a zprávy jsou vytvářeny s rostoucí legitimitou a napodobují známé organizace, přátele příjemce nebo důvěryhodné zákazníky.
Existuje pět hlavních forem phishingového útoku; nejnebezpečnější z nich je technika spear phishing. Tato taktika se zaměřuje na konkrétního jednotlivce – obvykle na toho, kdo má privilegovaný přístup k citlivým informacím a sítím. Útočník provede zdlouhavé vyšetřování cílené osoby, často pomocí sociálních médií sleduje její chování a pohyby. Cílem je vytvořit zprávu, kterou věrohodně poslal někdo, koho cíl zná a kterému důvěřuje – nebo která odkazuje na situace, které cíl zná. Velrybářství odkazuje na tento proces, který je využíván proti vysoce postaveným jednotlivcům, jako jsou generální ředitelé. Spear phishing může být téměř neomylně posílen pomocí Business Email Compromise (BEC) – umožňující zasílání škodlivých e-mailů ze skutečného e-mailového účtu autority.
Další dva typy phishingu se týkají média, jehož prostřednictvím byla oběť kontaktována. Zatímco phishing obecně připomíná e-mailyÚtočníci jsou více než ochotni využít jakoukoli formu potenciálního kontaktu s oběťmi. To může zahrnovat vishing – jako je výše uvedené oklamání hlasem generálního ředitele – a zahrnutí (zdánlivé) osoby na druhém konci linky může v obětech dále vštípit pocit naléhavosti.
IBM zveřejnila data který ukázal, že zahrnutí vishingu do kampaně zvýšilo jeho šanci na úspěch až o 300 %. Smishing na druhé straně vidí, že útočníci používají textové zprávy k dosažení stejného cíle. Způsob, jakým se tyto různé zprávy a e-maily dostávají ke svým obětem, je stejně mnohostranný jako samotní útočníci: nejzákladnější formou je hromadný phishing. Velmi podobné e-maily – obvykle mimo šablonu – jsou odesílány milionům příjemců najednou. Hromadní útočníci vědí, že phishing je pouze hra s čísly – pošlete je dostatečnému množství lidí a nakonec se někdo stane obětí. Tyto e-maily jsou co nejobecnější a zdá se, že pocházejí od globálních bank a velkých online společností. Běžnými tématy jsou falešné e-maily pro resetování hesla a žádosti o aktualizace úvěrové péče. Phishing pro vyhledávače se na druhé straně pokouší generovat „organické“ oběti; útočníci vytvářejí škodlivé webové stránky, které se pak ve výsledcích vyhledávání Google umísťují dostatečně vysoko, aby je oběti považovaly za legitimní. Na platformách sociálních médií si rybáři sbírají oběti tím, že se vydávají za oficiální účty důvěryhodných společností. Jakmile je zákazník kontaktuje, tyto falešné účty využijí jejich dotazů a obav, aby shromáždily jejich osobní údaje a údaje o kreditní kartě.
Návnadové útoky
Zatímco phishing často spoléhá na taktiku nátlaku a naléhavosti, návnadové útoky lákají oběti, aby jednaly proti jejich nejlepším zájmům. V roce 2020 FBI vydal varování organizacím se sídlem v USA; bylo zjištěno, že notoricky známá kyberzločinecká skupina FIN7 používala škodlivé USB disky k doručování ransomwaru mnoha organizacím. Tyto USB byly odeslány jako balíčky PR a oznámení o veřejné bezpečnosti; jeden zabavený balíček byl nalezen napodobující americké ministerstvo zdravotnictví s odkazem na pokyny ohledně Covid-19 a další se pokoušel napodobit dárkový balíček Amazonu, plný falešné dárkové karty a škodlivého USB.
Tailgating útoky
Tailgating neboli přibalování vychází z nápadů kolem fyzického perimetru zabezpečení. Zde útočník úzce sleduje legitimní a oprávněnou osobu do oblasti, která obsahuje cenný majetek. Digital tailgating je jednou z nejjednodušších forem kybernetického útoku, která do značné míry závisí na neopatrnosti zaměstnanců. Může to vypadat, jako když zaměstnanec nechá své zařízení bez dozoru, zatímco se koupe na záchod ve své místní knihovně – to je legitimní způsob FBI sestřelila Rosse Ulbrichta, majitel webové stránky zabývající se prodejem drog Silk Road, v roce 2013.
Útoky s pretextováním
Předstírané útoky spočívají v tom, že útočník vytvoří pro oběť uvěřitelnou, ale falešnou situaci. Jakmile se oběti stanou lží, stanou se mnohem manipulovatelnějšími. Mnoho útoků se záminkou se například soustředí kolem oběti zasažené narušením zabezpečení – pak nabízí řešení problému, a to buď tím, že jejich „podpora IT“ převezme vzdálenou kontrolu nad zařízením oběti, nebo shromáždí citlivé informace o účtu. Technicky, téměř každý pokus o sociální inženýrství bude zahrnovat určitou míru pretextingu, díky jeho schopnosti učinit oběť tvárnější.
Quid pro quo útoky
Útoky typu Quid pro quo využívají metodu návnady – vyvěšení žádoucího zboží nebo služby – před obličej oběti – ale pouze na oplátku oběti, která poskytne osobní informace. Ať už se jedná o falešné výhry v soutěži nebo kvíz „která Disney princezna jsi“, informace poskytnuté těmito útoky mohou přispět k závažnějším útokům dále v řadě.
Scareware útoky
Scareware popisuje jakoukoli formu malwaru, která má za cíl vyděsit své oběti, aby sdílely informace nebo stahovaly další malware. Zatímco tradičním příkladem jsou falešné zprávy technické podpory, novější útoky plně využívají pocity strachu a hanby. Nedávno byly z náborového webu ukradeny e-mailové adresy a každému byly zaslány falešné pracovní nabídky; kliknutím na přiložený dokument spustíte stahování trojského viru. Útok se konkrétně zaměřoval na firemní e-mailové adresy s vědomím, že zaměstnanci, kteří se stali obětí, by váhali sdělit svým zaměstnavatelům, že byli infikováni, když hledali alternativní zaměstnání.
Útoky na zavlažovací díry
A konečně, útoky na zavlažování vedou k tomu, že se útočníci zaměřují na oblíbené legitimní webové stránky. Vložením škodlivého kódu na stránky běžně navštěvované cíli jsou útočníci schopni nepřímo chytit oběti stahováním z auta a krádeží přihlašovacích údajů.
Jak identifikovat útoky sociálního inženýrství
Útoky sociálního inženýrství jsou tak úspěšné díky své schopnosti zůstat nepovšimnuty jako takové. Proto je rozpoznání útoku – nejlépe ještě předtím, než vás chytí – klíčovou součástí prevence útoků. Zde je 6 hlavních identifikátorů pokusu o útok sociálního inženýrství:
Podezřelý odesílatel
Jedním z nejjednodušších způsobů, jak se vydávat za legitimní firmu, je e-mailový spoofing. Zde bude adresa útočníka téměř totožná s adresou skutečné organizace – ale ne tak docela. Některé znaky mohou být mírně změněny nebo zcela vynechány; to může být neuvěřitelně záludné, například přepnutí velkého písmene „I“ na malé písmeno „l“.
Obecné pozdravy a odhlášení
Hromadné phishingové e-maily budou téměř vždy používat obecný pozdrav, jako je pane nebo paní. Originální marketingový materiál však obvykle začíná jménem, protože důvěryhodné organizace obvykle využívají kontaktní údaje obsažené v jejich databázi. Tato forma kontaktu od důvěryhodných organizací se také rozšíří na konec e-mailu, protože podpis odesílatele bude často obsahovat kontaktní údaje. Kombinace obecného pozdravu a nedostatku kontaktních informací je silným indikátorem phishingu.
Falešné hypertextové odkazy a webové stránky
Jedním z nejjednodušších způsobů, jak kompromitovat zařízení, je prostřednictvím webové stránky nabité škodlivým kódem. Díky formátování hypertextových odkazů na moderních zařízeních lze jakýkoli text propojit s jakoukoli URL. I když je to možné zkontrolovat na PC najetím na odkaz a vyhodnocením jeho platnosti, uživatelé mobilů a tabletů jsou více ohroženi neúmyslným proklikem. Vyrážku falešných hypertextových odkazů ještě zhoršuje schopnost útočníků věrně napodobovat legitimní webové stránky a přidat tak útokům vrstvy věrohodnosti. Falešná adresa URL se bude řídit stejným vzorem jako podvržená e-mailová adresa: variace v pravopisu nebo doméně, jako je změna .gov na .net, jsou některé z nejúspěšnějších technik.
Sekundární destinace
Je velmi běžné, že marketingové materiály a další zprávy obsahují připojené dokumenty. Útočníci toho využívají tak, že nasměrují oběť na pravý dokument – nebo hostitelskou webovou stránku – která následně nasměruje oběť na škodlivou stránku. Tato technika je běžně vybírána proti týmům zaměstnanců, které pravidelně spolupracují na práci. Pokud legitimní dokument obsahuje odkaz na škodlivý soubor, je nejen věrohodnější pro své oběti, ale také obchází základní bezpečnostní mechanismy doručené pošty.
Pravopis a rozložení
Nejzřetelnější známka phishingových útoků: špatná gramatika a pravopis. Renomované organizace téměř vždy věnují čas ověřování a korekturám korespondence zákazníků. Zároveň špatná gramatika spojená s uměním sociálního inženýrství lidských hackerských útoků funguje jako vlastní filtrovací mechanismus. Útočníci nechtějí ztrácet čas jednáním s podezřelými lidmi: ti, kteří propadnou špatné gramatice a pravopisu, jsou dostatečně zranitelní, aby se stali snadnou kořistí.
Podezřelé přílohy
Nevyžádané e-maily, které uživatele požadují, aby si stáhl a otevřel přílohy, by měly spustit poplašné zvonění. V kombinaci s tónem naléhavosti je důležité přesměrovat tuto paniku na pocit opatrnosti. V případech kompromitace firemního e-mailu je možné, že dokonce i neuvěřitelně krátké zprávy rozpoutají rozsáhlé pandemonium: obdržení e-mailu od vysoce postaveného manažera s prohlášením „Potřebuji tento dokument vytisknout, do 10 minut na mém stole“ by mohlo oklamat stážistu, aby přehlédl gramatické chyby ze strachu.
Jak předcházet útokům sociálního inženýrství
I když je běžné pohlížet na phishingové útoky jako na čistě individuální problém, roste poptávka pohlížet na prevenci sociálního inženýrství jako na kolektivní úsilí. Koneckonců, útočníci jednoduše vyzbrojují přirozené reakce uživatelů na strach a paniku. Ochrana organizace – a jejích uživatelů – sestává ze tří klíčových oblastí.
#1. Školení povědomí o bezpečnosti
Za prvé a především: dát zaměstnancům nástroje, jak se bránit. Školení v oblasti povědomí o bezpečnosti by mělo být relevantní pro jejich uživatele a zároveň by mělo klást důraz na několik jednostranných pravidel. Zaměstnanci musí pochopit, že nemají klikat na odkazy v žádných e-mailech a zprávách. Místo toho si potřebují vybudovat zvyk jednoduše hledat legitimní verzi. Díky moderní rychlosti internetu je to snadné.
Hygiena hesel je v tomto bodě připomínkou, kterou každý zaměstnanec slyšel tisíckrát. Vzhledem k desítkám online účtů, které nyní každý člověk vlastní, jsou jedinečná a složitá hesla skutečně proveditelná pouze pomocí správce hesel. Podpora zaměstnanců tímto způsobem může výrazně omezit dosah úspěšných útoků.
A konečně, zaměstnanci musí pochopit, že každý je zranitelný. Únik osobních informací prostřednictvím sociálních médií je to, co pohání velmi úspěšný průmysl phishingu velryb. I když je dobré mít na paměti, že školy, domácí mazlíčci a místa narození by měli být drženi mimo dosah veřejnosti, pro některé zaměstnance může být jednodušší nastavit bezpečnostní otázky, které jsou zapamatovatelné, ale technicky nepravdivé. Například nastavením bezpečnostní otázky „kam jsi chodil do školy?“ s 'Bradavicemi' by mohly všechny slídící útočníky úplně odhodit.
#2. Zásady řízení přístupu
Kontrola přístupu ke každému koncovému bodu je důležitou součástí prevence sociálního inženýrství. Od uživatelů až po autentizační procesy musí existovat přísná kontrola nad tím, kdo k čemu přistupuje. Koncoví uživatelé musí zamykat počítače a zařízení, kdykoli se vzdálí – to by mělo být posíleno a automatizováno pomocí krátkých časovačů spánku. Když jsou zařízení používána ve veřejných prostorách, musí být neustále v držení zaměstnanců. Veškerá autentizace musí být posílena pomocí MFA. To může zcela popřít hrozbu krádeže BEC a přihlašovacích údajů.
V konečném důsledku může pouhé ověření identity pomocí otisku prstu nebo telefonu znamenat rozdíl mezi zachyceným podvrženým e-mailem – a útokem BEC, který způsobí milionové škody.
#3. Bezpečnostní technologie
Zaměstnanci musí být důkladně podporováni komplexní sadou bezpečnostních technologií. Pokud například filtrování spamu v e-mailovém programu stále povoluje podezřelé e-maily do doručené pošty, filtry třetích stran mohou pomoci monitorovat a předcházet útokům sociálního inženýrství pomocí přístupu na seznam zakázaných adres URL. Zatímco prevence založená na doručené poště je důležitá, možná ještě důležitější je její implementace vysoce kvalitní zabezpečení prohlížeče. To bude v ideálním případě bojovat s rootkity, trojskými koni a podvodnými zprávami o krádeži přihlašovacích údajů a nabízí mnohem hlubší ochranu než částečné rozpoznání URL.
Řešení LayerX
Rozšíření prohlížeče LayerX jako první pro uživatele nabízí jediný komplexní přístup k boji proti útokům sociálního inženýrství. Relace prohlížeče jsou monitorovány na aplikační vrstvě, což poskytuje plný přehled o všech událostech prohlížení. Každá webová stránka může jít o krok za procesem „zablokovat nebo odmítnout“ s hloubkovou analýzou umožňující neutralizaci hrozeb v reálném čase. Tímto způsobem může granulární vynucení zabránit i vysoce pokročilým útokům BEC v poskytování užitečného zatížení. Spíše než se spoléhat na postupný přístup prostřednictvím seznamů blokovaných DNS, přístup LayerX pro budoucnost spojuje špičkovou inteligenci o hrozbách s hlubokým vynucováním v každém koncovém bodě.