Inżynieria społeczna opisuje sposób, w jaki ofiary są manipulowane w celu udostępniania informacji, pobierania złośliwego oprogramowania i wysyłania pieniędzy przestępcom. W przeciwieństwie do pakietów złośliwego oprogramowania, ludzkiego mózgu nie można załatać – na poziomie podstawowym wszyscy są jednakowo podatni na socjotechnikę. I chociaż społeczne postrzeganie socjotechniki nie zmieniło się zbytnio od czasów oszustwa związanego z nigeryjskim księciem, napastnicy mogli wykorzystać ogromną liczbę naruszeń danych, aby przetestować niektóre z najbardziej nikczemnych i manipulacyjnych technik, jakie kiedykolwiek powstały.
Jak działa inżynieria społeczna?
Inżynieria społeczna może przybierać różne formy, w zależności od podejścia atakujących. W przypadku ataków na organizacje udawanie zaufanej marki lub partnera jest jednym z najbardziej dochodowych. W 2019 r. cyberprzestępcy pobrali oprogramowanie oparte na sztucznej inteligencji, aby podszywać się pod głos dyrektora generalnego.
Dyrektor generalny brytyjskiej korporacji energetycznej odebrał telefon od swojego szefa – a przynajmniej tak mu się wydawało – z prośbą o pilne przekazanie kwoty € 220,000 ($ 243,000) do węgierskiego dostawcy. Choć stanowi to rzadki przypadek wykorzystania sztucznej inteligencji przez atakujących, większość inżynierów społecznych nadal zdaje sobie sprawę z siły udawania zaufanej organizacji. W tym samym duchu istnieją ataki, których celem jest naśladowanie osobistości rządowych i autorytetów. Zaufanie przyznane instytucjom rządowym stanowi dla napastników owocną okazję do nadużyć: podszywanie się pod IRS może również nadać atakom wykorzystującym inżynierię społeczną ograniczony czasowo lub karny charakter, zmuszając ofiary do działania bez należytego przemyślenia.
Metody inżynierii społecznej w dużej mierze żerują na dwóch grupach emocji. Pierwsza wiąże się ze strachem i pilnością. Przez dziesięciolecia ewolucji cyberprzestępcy udoskonalali swoje techniki wzbudzania strachu. Na przykład nieoczekiwana wiadomość e-mail z informacją, że ostatnia transakcja kartą kredytową nie została zatwierdzona, powoduje, że mózg jest poddawany większemu stresowi, ponieważ ofiara zakłada, że jej karta została użyta w sposób nieuczciwy. W wyniku paniki klikają powiązany link, wprowadzają swoje dane uwierzytelniające na przekonującej stronie logowania do banku, a następnie zostają przekierowani na legalną stronę. Nic nie było mądrzejsze, ofiara właśnie przekazała oszustom swoje dane bankowe. Choć finanse są opłacalne dla atakujących, finanse nie są jedynym sposobem wywołania paniki: właściciele małych witryn i firm mogą otrzymać wiadomość fałszywie twierdzącą, że obraz w ich witrynie narusza prawo autorskie, które wiąże się z przekazaniem danych osobowych – a nawet pieniędzy w formie grzywny. Niektóre ataki oparte na pilności wykorzystują nawet fasadę ofert ograniczonych czasowo, aby nakłonić ofiary do jak najszybszego kliknięcia.
Inna forma ataku socjotechnicznego odwołuje się do chciwości; tradycyjnym tego przykładem jest atak na nigeryjskiego księcia. W tym przypadku ofiara otrzymuje e-mail od osoby podającej się za uciekającego członka nigeryjskiej rodziny królewskiej. Nadawca potrzebuje czyjegoś konta bankowego, aby przesłać swoje miliony, ale najpierw potrzebuje informacji bankowych swojej ofiary. Ofiara, chcąca skorzystać z milionów, które mają zostać zdeponowane, może zostać nakłoniona do przesłania stosunkowo niewielkiej zaliczki lub swoich danych. W branży cyberprzestępczej ten atak jest stary, ale w 2018 r. nadal przynosił setki tysięcy dolarów.
Rodzaje ataków socjotechnicznych
Inżynieria społeczna obejmuje szeroki zakres wzorców ataków, z których każdy wykorzystuje własne podejście do manipulowania ofiarami.
Ataki typu phishing
Phishing obejmuje jeden z najbardziej znanych typów ataków wykorzystujących inżynierię społeczną. Podczas tych ataków ofiara otrzymuje wiadomości, których celem jest zmanipulowanie jej w celu udostępnienia poufnych informacji lub pobrania złośliwych plików. Oszuści zdają sobie sprawę, że skrzynka odbiorcza jest najbardziej wrażliwym obszarem każdej organizacji, a wiadomości są tworzone z coraz większą wiarygodnością, naśladując znane organizacje, znajomych odbiorcy lub wiarygodnych klientów.
Istnieje pięć głównych form ataku phishingowego; najniebezpieczniejszą z nich jest technika spear phishing. Celem tej taktyki jest konkretna osoba – zwykle taka, która ma uprzywilejowany dostęp do poufnych informacji i sieci. Osoba atakująca przeprowadzi długotrwałe dochodzenie w sprawie docelowej osoby, często wykorzystując media społecznościowe do śledzenia jej zachowań i ruchów. Celem jest stworzenie wiadomości, która w wiarygodny sposób została wysłana przez osobę, którą cel zna i której ufa, lub która zawiera odniesienia do sytuacji, które cel zna. Wielorybnictwo odnosi się do tego procesu wykorzystywanego przeciwko wpływowym osobom, takim jak dyrektorzy generalni. Spear phishing można zwiększyć do niemal nieomylności dzięki rozwiązaniu Business Email Compromise (BEC), które umożliwia wysyłanie złośliwych wiadomości e-mail z prawdziwego konta e-mail osoby odpowiedzialnej.
Kolejne dwa rodzaje phishingu odnoszą się do medium, za pośrednictwem którego skontaktowano się z ofiarą. Phishing na ogół kojarzy się z e-mailaminapastnicy chętnie wykorzystują każdą formę potencjalnego kontaktu z ofiarami. Może to obejmować vishing – taki jak wspomniane wcześniej oszustwo głosowe dyrektora generalnego – a włączenie (pozornej) osoby po drugiej stronie linii może jeszcze bardziej zaszczepić w ofiarach poczucie pilności.
IBM opublikował dane które pokazały, że włączenie vishingu do kampanii zwiększyło jego szansę na sukces aż o 300%. Z drugiej strony Smishing polega na tym, że napastnicy używają wiadomości tekstowych, aby osiągnąć ten sam cel. Sposób, w jaki te różne wiadomości i e-maile docierają do ofiar, jest tak różnorodny, jak sami atakujący: najbardziej podstawową formą jest masowy phishing. Bardzo podobne e-maile – zwykle z szablonu – wysyłane są jednocześnie do milionów odbiorców. Osoby atakujące masowo wiedzą, że phishing to jedynie gra liczbowa – wysyłaj je do wystarczającej liczby osób, a w końcu ktoś padnie ofiarą. Te e-maile są tak ogólne, jak to tylko możliwe i wydają się pochodzić od globalnych banków i dużych firm internetowych. Typowymi tematami są fałszywe e-maile dotyczące resetowania hasła i prośby o aktualizacje informacji o karcie kredytowej. Z drugiej strony phishing w wyszukiwarkach ma na celu wygenerowanie ofiar „organicznych”; napastnicy tworzą złośliwe witryny internetowe, które następnie zajmują wystarczająco wysoką pozycję w wynikach wyszukiwania Google, aby ofiary zakładały, że są legalne. Na platformach mediów społecznościowych phisherzy wędkarze wyłudzają ofiary, podszywając się pod oficjalne konta zaufanych firm. Gdy klient się z nimi skontaktuje, te fałszywe konta wykorzystają jego zapytania i wątpliwości w celu zebrania danych osobowych i danych karty kredytowej.
Ataki przynętowe
Podczas gdy phishing często opiera się na taktyce wymagającej dużej presji, ataki z przynętą wabią ofiary do działania wbrew ich najlepszym interesom. W 2020 roku FBI wydał ostrzeżenie organizacjom mającym siedzibę w USA; odkryto, że osławiona grupa cyberprzestępcza FIN7 wykorzystywała złośliwe dyski USB do dostarczania oprogramowania ransomware do wielu organizacji. Te USB zostały wysłane jako paczki z zawiadomieniami PR i bezpieczeństwem publicznym; w jednej z przechwyconych paczek imitowano Departament Zdrowia Stanów Zjednoczonych i odwoływano się do wytycznych dotyczących Covid-19, a w innej próbowano imitować paczkę podarunkową Amazon, zawierającą fałszywą kartę podarunkową i złośliwy nośnik USB.
Ataki tylne
Tailgating lub piggybacking wywodzi się z pomysłów związanych z bezpieczeństwem granic fizycznych. W tym przypadku osoba atakująca ściśle podąża za legalną i upoważnioną osobą do obszaru zawierającego cenne zasoby. Cyfrowe tailgating to jedna z najprostszych form cyberataku, polegająca w dużej mierze na nieostrożności pracowników. Może to wyglądać tak, jakby pracownik zostawiał swoje urządzenie bez nadzoru podczas korzystania z toalety w lokalnej bibliotece – w ten sposób jest to zgodne z prawem FBI załatwiło Rossa Ulbrichta, właściciel serwisu internetowego Silk Road zajmującego się sprzedażą narkotyków, w 2013 r.
Pretekstowe ataki
Ataki pod pretekstem polegają na tym, że atakujący tworzy dla ofiary wiarygodną, ale fałszywą sytuację. Kiedy już uwierzą w kłamstwo, ofiarami łatwiej jest manipulować. Na przykład wiele ataków pod pretekstem koncentruje się na tym, że ofiara jest dotknięta naruszeniem bezpieczeństwa, a następnie oferuje rozwiązanie problemu poprzez przejęcie zdalnej kontroli nad urządzeniem ofiary przez „wsparcie IT” lub podszywanie się pod poufne informacje o koncie. Technicznie rzecz biorąc, prawie każda próba inżynierii społecznej będzie wymagała pewnego pretekstu, dzięki jej zdolności do uczynienia ofiary bardziej plastyczną.
Ataki typu qui pro quo
Ataki quid pro quo wykorzystują metodę przynęty – wywieszanie pożądanego towaru lub usługi – przed twarzą ofiary – ale tylko wtedy, gdy ofiara w zamian podaje swoje dane osobowe. Niezależnie od tego, czy są to fałszywe wygrane w konkursach, czy quiz „Którą księżniczką Disneya jesteś”, informacje przekazywane w wyniku tych ataków mogą przyczynić się do poważniejszych ataków w dalszej przyszłości.
Ataki typu Scareware
Scareware oznacza dowolną formę złośliwego oprogramowania, którego celem jest zastraszenie ofiar w celu udostępnienia informacji lub pobrania dalszego złośliwego oprogramowania. Tradycyjnym przykładem są fałszywe wiadomości pomocy technicznej, ale nowsze ataki w pełni wykorzystują poczucie strachu i wstydu. Niedawno ze strony rekrutacyjnej skradziono adresy e-mail i do każdego z nich wysyłano fałszywe oferty pracy; kliknięcie załączonego dokumentu inicjuje pobieranie wirusa trojańskiego. Atak był wymierzony w szczególności w firmowe adresy e-mail, wiedząc, że pracownicy, którzy padli ofiarą, wahaliby się powiedzieć swoim pracodawcom, że zostali zarażeni, szukając alternatywnego zatrudnienia.
Ataki wodopoju
Wreszcie ataki na wodopoje polegają na tym, że napastnicy atakują popularne, legalne strony internetowe. Wstrzykując złośliwy kod do witryn często odwiedzanych przez cele, osoby atakujące mogą pośrednio łapać ofiary poprzez pobieranie plików dyskowych i kradzież danych uwierzytelniających.
Jak rozpoznać ataki socjotechniczne
Ataki socjotechniczne są tak skuteczne, że mogą pozostać niezauważone. Dlatego rozpoznanie ataku – najlepiej zanim wpadnie w pułapkę – jest kluczową częścią zapobiegania atakom. Oto 6 głównych identyfikatorów próby ataku socjotechnicznego:
Podejrzany nadawca
Jednym z najprostszych sposobów podszywania się pod legalną firmę jest fałszowanie wiadomości e-mail. W tym przypadku adres atakującego będzie prawie identyczny z adresem prawdziwej organizacji – ale nie do końca. Niektóre znaki można nieznacznie zmienić lub całkowicie pominąć; może to być niezwykle podstępne, na przykład zamiana wielkiego „I” na małe „l”.
Ogólne pozdrowienia i podpisy
Masowe wiadomości e-mail phishingowe prawie zawsze będą zawierać ogólne pozdrowienia, takie jak proszę pana lub pani. Jednak oryginalne materiały marketingowe zwykle zaczynają się od imienia i nazwiska, ponieważ zaufane organizacje zwykle korzystają z danych kontaktowych zawartych w ich bazie danych. Ta forma kontaktu ze strony zaufanych organizacji obejmie również koniec wiadomości e-mail, ponieważ podpis nadawcy często będzie zawierał dane kontaktowe. Połączenie ogólnego powitania i braku danych kontaktowych jest silnym wskaźnikiem phishingu.
Fałszywe hiperłącza i strony internetowe
Jednym z najprostszych sposobów zhakowania urządzenia jest skorzystanie ze strony internetowej zawierającej złośliwy kod. Dzięki nowoczesnemu formatowaniu hiperłączy dowolny tekst można powiązać z dowolnym adresem URL. Chociaż można to sprawdzić na komputerze PC, najeżdżając kursorem na link i oceniając jego ważność, użytkownicy telefonów komórkowych i tabletów są bardziej narażeni na nieświadome kliknięcie. Wysypkę fałszywych hiperłączy pogarsza zdolność atakujących do dokładnego naśladowania legalnych witryn internetowych, co zwiększa wiarygodność ataku. Sfałszowany adres URL będzie działał według tego samego wzorca, co sfałszowany adres e-mail: zmiana pisowni lub domeny, np. zmiana .gov na .net, to jedne z najskuteczniejszych technik.
Dodatkowe miejsca docelowe
Bardzo często materiały marketingowe i inne wiadomości zawierają załączone dokumenty. Atakujący wykorzystują to, kierując ofiarę do prawdziwego dokumentu – lub witryny hostującej – która z kolei kieruje ofiarę na złośliwą stronę. Technika ta jest powszechnie stosowana wobec zespołów pracowników regularnie współpracujących przy pracy. Jeśli legalny dokument zawiera łącze do złośliwego pliku, jest nie tylko bardziej wiarygodny dla ofiar, ale także omija podstawowe mechanizmy bezpieczeństwa skrzynki odbiorczej.
Pisownia i układ
Najbardziej oczywista oznaka ataków phishingowych: zła gramatyka i ortografia. Renomowane organizacje prawie zawsze poświęcają czas na weryfikację i korektę korespondencji klientów. Jednocześnie uboga gramatyka związana ze sztuką inżynierii społecznej dotyczącą ataków hakerskich na ludzi działa jako nieodłączny mechanizm filtrujący. Atakujący nie chcą tracić czasu na zajmowanie się podejrzanymi osobami: ci, którzy dają się nabrać na słabą gramatykę i ortografię, są na tyle bezbronni, że mogą stać się łatwym łupem.
Podejrzane załączniki
Niechciane e-maile z prośbą o pobranie i otwarcie załączników powinny włączyć dzwonek alarmowy. W połączeniu z tonem pilności ważne jest, aby przekierować tę panikę na poczucie ostrożności. W przypadku naruszenia bezpieczeństwa poczty elektronicznej nawet niewiarygodnie krótkie wiadomości mogą wywołać powszechne pandemonium: otrzymanie wiadomości e-mail od wysokiego szczebla dyrektora z deklaracją „Potrzebuję wydrukowania tego dokumentu na moim biurku za 10 minut” może oszukać stażystę i przeoczyć błąd gramatyczny ze strachu.
Jak zapobiegać atakom inżynierii społecznej
Choć ataki phishingowe powszechnie postrzega się jako problem czysto indywidualny, rośnie zapotrzebowanie na postrzeganie zapobiegania atakom za pomocą inżynierii społecznej jako wysiłku zbiorowego. W końcu napastnicy po prostu wykorzystują naturalne reakcje użytkowników na strach i panikę. Ochrona organizacji – i jej użytkowników – sprowadza się do trzech kluczowych obszarów.
#1. Szkolenie w zakresie świadomości bezpieczeństwa
Po pierwsze i najważniejsze: zapewnienie pracownikom narzędzi do obrony. Szkolenia w zakresie świadomości bezpieczeństwa powinny być istotne dla ich użytkowników, podkreślając jednocześnie kilka jednostronnych zasad. Pracownicy muszą zrozumieć, że nie wolno klikać łączy zawartych w żadnych e-mailach i wiadomościach. Zamiast tego muszą wyrobić sobie nawyk prostego wyszukiwania legalnej wersji. Nowoczesne prędkości Internetu sprawiają, że jest to łatwe rozwiązanie.
Higiena haseł jest w tym momencie przypomnieniem, które każdy pracownik słyszał tysiące razy. Biorąc pod uwagę dziesiątki kont internetowych, które obecnie posiada każdy człowiek, unikalne i złożone hasła są naprawdę możliwe tylko przy użyciu menedżera haseł. Wspieranie pracowników w ten sposób może w znacznym stopniu ograniczyć promień rażenia skutecznych ataków.
Wreszcie pracownicy muszą zrozumieć, że każdy jest bezbronny. Wyciek danych osobowych za pośrednictwem mediów społecznościowych jest siłą napędową niezwykle udanej branży phishingu wielorybniczego. Chociaż dobrze jest pamiętać, że szkoły, zwierzęta domowe i miejsca urodzenia należy trzymać z daleka od widoku publicznego, niektórym pracownikom może być łatwiej zadawać pytania zabezpieczające, które zapadają w pamięć, ale z technicznego punktu widzenia są nieprawdziwe. Na przykład ustawienie pytania zabezpieczającego „Gdzie chodziłeś do szkoły?” z „Hogwartem” może całkowicie odrzucić wścibskich napastników.
#2. Zasady kontroli dostępu
Kontrolowanie dostępu do każdego punktu końcowego jest istotną częścią zapobiegania inżynierii społecznej. Od użytkownika po procesy uwierzytelniania – konieczna jest ścisła kontrola nad tym, kto uzyskuje dostęp do czego. Użytkownicy końcowi muszą blokować komputery i urządzenia za każdym razem, gdy od nich odchodzą – należy to wzmocnić i zautomatyzować za pomocą krótkich timerów uśpienia. Gdy urządzenia są używane w przestrzeni publicznej, muszą one zawsze znajdować się w posiadaniu pracowników. Każde uwierzytelnianie musi zostać wzmocnione za pomocą usługi MFA. Może to całkowicie wyeliminować zagrożenie BEC i kradzieżą danych logowania.
Ostatecznie zwykła weryfikacja tożsamości za pomocą odcisku palca lub telefonu może zadecydować o wykryciu fałszywej wiadomości e-mail lub ataku BEC, który powoduje wielomilionowe szkody.
#3. Technologie bezpieczeństwa
Pracownicy muszą być kompleksowo wspierani w postaci kompleksowego pakietu technologii bezpieczeństwa. Na przykład, jeśli filtr spamu w programie pocztowym nadal pozwala na dotarcie podejrzanych e-maili do skrzynek odbiorczych, filtry innych firm mogą pomóc w monitorowaniu i zapobieganiu atakom socjotechnicznym za pomocą czarnej listy adresów URL. Chociaż profilaktyka oparta na skrzynce odbiorczej jest ważna, być może ważniejsze jest jej wdrożenie wysokiej jakości bezpieczeństwo przeglądarki. W idealnym przypadku zwalcza to rootkity, trojany i fałszywe informacje kradnące dane uwierzytelniające, oferując znacznie głębszą ochronę niż częściowe rozpoznawanie adresów URL.
Rozwiązanie LayerX
Rozszerzenie przeglądarki LayerX przeznaczone dla użytkownika oferuje jedno, kompleksowe podejście do zwalczania ataków socjotechnicznych. Sesje przeglądarki są monitorowane w warstwie aplikacji, co zapewnia pełną widoczność wszystkich zdarzeń związanych z przeglądaniem. Każda strona internetowa może wyjść o krok dalej niż proces „blokowania lub odrzucania”, dzięki dogłębnej analizie umożliwiającej neutralizację zagrożeń w czasie rzeczywistym. W ten sposób szczegółowe egzekwowanie może uniemożliwić nawet bardzo zaawansowanym atakom BEC dostarczanie ładunków. Zamiast polegać na podejściu krokowym za pośrednictwem list blokowania DNS, przyszłościowe podejście LayerX łączy najnowocześniejszą analizę zagrożeń z głębokim egzekwowaniem przepisów na każdym punkcie końcowym.