Socialni inženiring opisuje način, kako se z žrtvami manipulira, da delijo informacije, prenašajo zlonamerno programsko opremo in pošiljajo denar kriminalcem. Za razliko od zlonamernih programskih paketov človeških možganov ni mogoče popraviti – na osnovni ravni so vsi enako ranljivi za socialni inženiring. In medtem ko se javno dojemanje socialnega inženiringa od dni prevare z nigerijskim princem ni veliko razvilo, so lahko napadalci izkoristili neverjetno visoke stopnje kršitev podatkov, da so preizkusili nekatere najbolj podle in manipulativne tehnike doslej.
Kako deluje socialni inženiring?
Socialni inženiring ima lahko več različnih oblik, odvisno od pristopa napadalcev. Za napade na organizacije je predstavljanje kot zaupanja vredna blagovna znamka ali partner eden najbolj donosnih. Leta 2019 so kiberkriminalci uporabili programsko opremo, ki temelji na AI, da bi posnemali glas izvršnega direktorja.
Generalni direktor energetske korporacije s sedežem v Združenem kraljestvu je prejel telefonski klic svojega šefa – vsaj tako je mislil – in ga prosil, naj nujno nakaže vsoto € 220,000 ($ 243,000) do madžarskega dobavitelja. Čeprav je to redek primer napadalcev, ki uporabljajo umetno inteligenco, se večina socialnih inženirjev še vedno zaveda moči predstavljanja zaupanja vredne organizacije. V istem smislu so napadi, katerih namen je posnemati vladne in avtoritete. Zaupanje, podeljeno vladnim institucijam, je za napadalce plodna priložnost za zlorabo: predstavljanje davčne uprave lahko napadom socialnega inženiringa daje tudi časovno omejeno ali kaznovalno prednost, s čimer žrtve prisili, da ukrepajo brez ustreznega premisleka.
Metode socialnega inženiringa se v veliki meri opirajo na dve skupini čustev. Prvi vključuje strah in nujnost. Desetletja razvoja so pokazala, da so kiberkriminalci do potankosti izpopolnili svoje tehnike vzbujanja strahu. Nepričakovano e-poštno sporočilo, ki navaja, da nedavna transakcija s kreditno kartico ni bila odobrena, na primer spravi možgane v večji stres, saj žrtev domneva, da je bila njihova kartica uporabljena goljufivo. Ta panika jih vidi, da kliknejo povezano povezavo, vnesejo svoje poverilnice na prepričljivi bančni strani za prijavo, nato pa so preusmerjeni na legitimno stran. Nič pametnejšega, žrtev je pravkar predala svoje bančne poverilnice goljufom. Čeprav je za napadalce donosno, finance niso edini način za povzročanje panike: lastniki majhnih spletnih mest in podjetij lahko prejmejo sporočilo, v katerem lažno trdijo, da slika na njihovem spletnem mestu krši zakon o avtorskih pravicah, zaradi česar predajajo osebne podatke – ali celo denar v obliki globe. Nekateri napadi, ki temeljijo na nujnosti, celo uporabljajo fasado časovno omejenih poslov, da bi žrtve prisilili, da kliknejo čim prej.
Druga oblika napada socialnega inženiringa nagovarja pohlep; napad nigerijskega princa je tradicionalni primer tega. Tukaj žrtev prejme e-pošto od osebe, ki trdi, da je bežeči član nigerijske kraljeve družine. Pošiljatelj potrebuje bančni račun nekoga, da pošlje svoje milijone, vendar najprej zahteva bančne podatke svoje žrtve. Žrtev, ki želi izkoristiti milijone, ki jih je treba položiti, se lahko prepriča, da pošlje razmeroma majhno predplačilo ali svoje podatke. V industriji kibernetske kriminalitete je ta napad star - vendar je leta 2018 še vedno služil na stotine tisoče dolarjev.
Vrste napadov socialnega inženiringa
Socialni inženiring pokriva široko paleto vzorcev napadov, od katerih ima vsak svoj pristop k manipuliranju z žrtvami.
Napadi z lažnim predstavljanjem
Lažno predstavljanje zajema eno najbolj razvpitih vrst napadov socialnega inženiringa. Pri teh napadih žrtve prejmejo sporočila, katerih cilj je manipulirati z njimi, da delijo občutljive podatke ali prenašajo zlonamerne datoteke. Prevaranti se zavedajo, da je mapa »Prejeto« najbolj ranljivo področje vsake organizacije, zato so sporočila oblikovana z večjo legitimnostjo, posnemajo znane organizacije, prijatelje prejemnika ali verodostojne stranke.
Obstaja pet glavnih oblik lažnega predstavljanja; med katerimi je najnevarnejša tehnika lažnega predstavljanja. Ta taktika cilja na določenega posameznika – običajno na tistega, ki ima privilegiran dostop do občutljivih informacij in omrežij. Napadalec bo izvedel dolgotrajno preiskavo tarčnega posameznika, pri čemer bo pogosto uporabljal družbene medije za sledenje njihovemu vedenju in gibanju. Cilj je ustvariti sporočilo, ki ga je verjetno poslal nekdo, ki ga tarča pozna in mu zaupa – ali ki se nanaša na situacije, ki jih tarča pozna. Kitolov se nanaša na ta proces, ki se uporablja proti visoko profiliranim posameznikom, kot so izvršni direktorji. Lažno predstavljanje je mogoče okrepiti do skoraj nezmotljivosti z ogrožanjem poslovne e-pošte (BEC) – ki omogoča pošiljanje zlonamernih e-poštnih sporočil iz pristnega e-poštnega računa avtoritete.
Naslednji dve vrsti lažnega predstavljanja se nanašata na medij, prek katerega je bila žrtev v stiku. Medtem ko lažno predstavljanje na splošno spominja na e-pošto, so napadalci več kot pripravljeni uporabiti kakršno koli obliko potencialnega stika z žrtvami. To lahko vključuje vishing – kot je prej omenjeno preslepitev z glasom izvršnega direktorja – in vključitev (navidezne) osebe na drugi strani linije lahko dodatno vzbuja občutek nujnosti pri žrtvah.
IBM je objavil podatke ki je pokazala, da je vključitev vishinga v kampanjo povečala njegove možnosti za uspeh do 300 %. Po drugi strani pa Smishing vidi, da napadalci za dosego istega cilja uporabljajo besedilna sporočila. Način, na katerega ta različna sporočila in e-poštna sporočila dosežejo svoje žrtve, je tako večplasten kot napadalci sami: najbolj osnovna oblika tega je množično lažno predstavljanje. Zelo podobna e-poštna sporočila – običajno po predlogi – so poslana milijonom prejemnikov hkrati. Množični napadalci vedo, da je lažno predstavljanje le igra številk – pošljite jih dovolj ljudem in sčasoma bo nekdo žrtev. Ta e-poštna sporočila so čim bolj splošna, zdi se, da izvirajo od svetovnih bank in velikih spletnih podjetij. Pogoste teme so lažna e-poštna sporočila za ponastavitev gesla in zahteve za posodobitve kreditne oskrbe. Na drugi strani lažno predstavljanje iskalnikov poskuša ustvariti 'organske' žrtve; napadalci ustvarijo zlonamerna spletna mesta, ki se nato uvrstijo dovolj visoko v Googlovih rezultatih iskanja, da žrtve domnevajo, da so zakonita. Na platformah družbenih medijev ribiči lažno predstavljajo žrtve tako, da se predstavljajo kot uradni računi zaupanja vrednih podjetij. Ko stranka stopi v stik z njimi, bodo ti lažni računi izkoristili njihove poizvedbe in pomisleke, da bi zbrali njihove osebne podatke in podatke o kreditni kartici.
Napadi z vabami
Medtem ko se lažno predstavljanje pogosto opira na taktike hitrega pritiska, napadi z vabami zvabijo žrtve, da ravnajo v nasprotju z njihovimi interesi. Leta 2020 je FBI izdal opozorilo organizacijam s sedežem v ZDA; Ugotovljeno je bilo, da je razvpita kibernetska kriminalna skupina FIN7 uporabljala zlonamerne pogone USB za dostavo izsiljevalske programske opreme več organizacijam. Ti USB-ji so bili poslani kot paketi obvestil o odnosih z javnostmi in javni varnosti; Ugotovljeno je bilo, da je en zaseženi paket posnemal ameriško ministrstvo za zdravje in se skliceval na smernice Covid-19, drugi pa je poskušal posnemati darilni paket Amazon, poln ponarejene darilne kartice in zlonamernega USB-ja.
Tailgating napadi
Tailgating ali piggybacking izhaja iz idej o varnosti fizičnega perimetra. Tukaj napadalec pozorno sledi zakoniti in pooblaščeni osebi v območje, ki vsebuje dragoceno premoženje. Digitalni tailgating je ena najpreprostejših oblik kibernetskega napada, ki se močno zanaša na malomarnost zaposlenih. To je lahko videti, kot da bi zaposleni pustil svojo napravo brez nadzora, medtem ko bi šel na stranišče v lokalni knjižnici – to je zakonito, kako FBI je aretiral Rossa Ulbrichta, lastnik spletnega mesta Silk Road za prodajo mamil, leta 2013.
Pretekstovanje napadov
Pri napadih s pretvezo napadalec ustvari za žrtev verodostojno, a lažno situacijo. Ko postanejo žrtve laži, jih je veliko bolj mogoče manipulirati. Številni napadi s pretvezo se na primer osredotočajo na to, da je žrtev prizadeta zaradi kršitve varnosti – nato ponudi, da odpravi težavo, bodisi tako, da njihova 'IT podpora' prevzame daljinski nadzor nad žrtvino napravo ali tako, da pridobi občutljive podatke o računu. Tehnično bo skoraj vsak poskus socialnega inženiringa vključeval določeno stopnjo pretveze, zahvaljujoč njegovi sposobnosti, da naredi žrtev bolj prilagodljivo.
Quid pro quo napadi
Napadi Quid pro quo uporabljajo metodo vabe – obešanje zaželenega blaga ali storitve – pred obraz žrtve – vendar le, ko žrtev v zameno izda osebne podatke. Ne glede na to, ali gre za lažne dobitke na tekmovanjih ali kviz »katera Disneyjeva princesa ste«, lahko informacije, ki jih posredujejo ti napadi, prispevajo k hujšim napadom.
Napadi Scareware
Zastrašujoča programska oprema opisuje kakršno koli obliko zlonamerne programske opreme, katere cilj je prestrašiti žrtve, da bi delile informacije ali prenesle nadaljnjo zlonamerno programsko opremo. Medtem ko so lažna sporočila tehnične podpore tradicionalni primer, novejši napadi v celoti izkoriščajo občutke strahu in sramu. Pred kratkim so bili e-poštni naslovi ukradeni s spletnega mesta za zaposlovanje in vsakemu so bile poslane lažne ponudbe za delo; klik na pripeti dokument bi sprožil prenos trojanskega virusa. Napad je bil posebej usmerjen na e-poštne naslove podjetja, saj so vedeli, da bodo zaposleni, ki so bili žrtve, oklevali povedati svojim delodajalcem, da so bili okuženi, medtem ko so iskali drugo zaposlitev.
Napadi na zalivke
Nazadnje, napadi na vodne luknje napadalci ciljajo na priljubljene zakonite spletne strani. Z vbrizgavanjem zlonamerne kode na spletna mesta, ki jih običajno obiskujejo tarče, lahko napadalci posredno ujamejo žrtve z naključnimi prenosi in krajo poverilnic.
Kako prepoznati napade socialnega inženiringa
Napadi socialnega inženiringa so tako uspešni zaradi svoje sposobnosti, da kot taki ostanejo neopaženi. Zato je prepoznavanje napada – po možnosti preden vas ujame – ključni del preprečevanja napada. Tu je 6 glavnih identifikatorjev poskusa napada socialnega inženiringa:
Sumljiv pošiljatelj
Eden najpreprostejših načinov za lažno predstavljanje zakonitega podjetja je lažno pošiljanje e-pošte. Tukaj bo napadalčev naslov skoraj enak naslovu pristne organizacije – vendar ne povsem. Nekateri znaki so lahko rahlo spremenjeni ali popolnoma izpuščeni; to lahko postane neverjetno zahrbtno, na primer zamenjava velike črke 'I' z malo črko 'l'.
Splošni pozdravi in odjave
Množična e-poštna sporočila z lažnim predstavljanjem bodo skoraj vedno uporabljala splošen pozdrav, kot je gospod ali gospa, pristno marketinško gradivo pa se običajno začne z imenom, saj bodo zaupanja vredne organizacije običajno uporabile kontaktne podatke, vključene v njihovi bazi podatkov. Ta oblika stika s strani zaupanja vrednih organizacij se bo razširila tudi na konec e-pošte, saj bo podpis pošiljatelja pogosto vključeval kontaktne podatke. Kombinacija splošnega pozdrava in pomanjkanja kontaktnih podatkov je močan pokazatelj lažnega predstavljanja.
Lažne hiperpovezave in spletna mesta
Eden najlažjih načinov za ogrožanje naprave je preko spletnega mesta, naloženega z zlonamerno kodo. Zahvaljujoč oblikovanju hiperpovezav v sodobnih napravah je mogoče vsako besedilo povezati s katerim koli URL-jem. Medtem ko je to mogoče preveriti na osebnem računalniku, tako da miškin kazalec premaknete nad povezavo in ocenite njeno veljavnost, so uporabniki mobilnih naprav in tabličnih računalnikov bolj izpostavljeni tveganju, da nehote kliknejo. Izpuščaj ponarejenih hiperpovezav še poslabša zmožnost napadalcev, da natančno posnemajo zakonita spletna mesta in napadu dodajo plasti verodostojnosti. Ponarejeni URL bo sledil istemu vzorcu kot lažni e-poštni naslov: sprememba v črkovanju ali domeni, na primer sprememba .gov v .net, je ena izmed najuspešnejših tehnik.
Sekundarne destinacije
Zelo običajno je, da tržno gradivo in druga sporočila vključujejo priložene dokumente. Napadalci to izkoristijo tako, da žrtev usmerijo na pristen dokument – ali spletno mesto za gostovanje – ta pa žrtev usmeri na zlonamerno stran. Ta tehnika se običajno uporablja proti ekipam zaposlenih, ki redno sodelujejo pri delu. Če zakonit dokument vključuje povezavo do zlonamerne datoteke, ni le bolj verjeten žrtvam, ampak tudi odpravi osnovne varnostne mehanizme prejete pošte.
Črkovanje in postavitev
Najbolj očiten znak lažnega predstavljanja: slaba slovnica in črkovanje. Ugledne organizacije skoraj vedno namenijo čas preverjanju in lektoriranju korespondence strank. Hkrati pa slaba slovnica, povezana z umetnostjo socialnega inženiringa hekerskih napadov na ljudi, deluje kot inherentni mehanizem filtriranja. Napadalci ne želijo izgubljati časa z obravnavanjem sumljivih ljudi: tisti, ki nasedejo slabi slovnici in črkovanju, so dovolj ranljivi, da postanejo lahek plen.
Sumljive priloge
Neželena e-poštna sporočila, ki od uporabnika zahtevajo prenos in odpiranje prilog, bi morala zazvoniti alarm. V kombinaciji s tonom nujnosti je pomembno, da to paniko preusmerite v občutek previdnosti. V primerih ogrožanja poslovne e-pošte je možno, da celo neverjetno kratka sporočila sprožijo obsežno pandemonijo: prejem elektronskega sporočila od visokega direktorja z izjavo, da ta dokument potrebujem natisnjen, na moji mizi v 10 minutah, bi lahko pripravnika preslepil, da bi spregledal slovnična napaka iz strahu.
Kako preprečiti napade socialnega inženiringa
Medtem ko je na napade z lažnim predstavljanjem običajno gledati kot na čisto individualno težavo, je vse več povpraševanja po tem, da bi preprečevanje socialnega inženiringa obravnavali kot skupno prizadevanje. Navsezadnje napadalci preprosto uporabljajo naravne odzive uporabnikov na strah in paniko kot orožje. Zaščita organizacije – in njenih uporabnikov – se spušča na tri ključna področja.
#1. Usposabljanje za ozaveščanje o varnosti
Prvo in najpomembnejše: dati zaposlenim orodja za obrambo. Usposabljanje za ozaveščanje o varnosti bi moralo biti pomembno za njihove uporabnike, hkrati pa poudarjati nekaj enostranskih pravil. Zaposleni morajo razumeti, da ne smejo klikati povezav v e-pošti in sporočilih. Namesto tega morajo zgraditi navado, da preprosto iščejo legitimno različico. Zaradi sodobnih internetnih hitrosti je to enostavno popraviti.
Higiena gesel je na tej točki opomnik, ki ga je vsak zaposleni slišal že tisočkrat. Glede na desetine spletnih računov, ki jih ima zdaj vsaka oseba, so edinstvena in zapletena gesla resnično izvedljiva samo z uporabo upravitelja gesel. Podpora zaposlenim na ta način lahko veliko prispeva k omejevanju radija udarca uspešnih napadov.
Končno morajo zaposleni razumeti, da so vsi ranljivi. Uhajanje osebnih podatkov prek družbenih medijev je tisto, kar poganja izjemno uspešno industrijo lažnega predstavljanja kitov. Čeprav je dobro imeti v mislih, da morajo biti šole, hišni ljubljenčki in kraji rojstva izven oči javnosti, bo nekaterim zaposlenim morda lažje postaviti varnostna vprašanja, ki so nepozabna, a tehnično neresnična. Na primer, nastavitev varnostnega vprašanja "kje si hodil v šolo?" s 'Hogwartsom' bi lahko popolnoma odvrnili vse radovedne napadalce.
#2. Politike nadzora dostopa
Nadzor dostopa do vsake končne točke je pomemben del preprečevanja socialnega inženiringa. Od uporabnikov do postopkov preverjanja pristnosti je potreben strog nadzor nad tem, kdo dostopa do česa. Končni uporabniki morajo zakleniti računalnike in naprave, kadar koli se odmaknejo – to je treba okrepiti in avtomatizirati s kratkimi časovniki mirovanja. Ko so naprave v uporabi v javnih prostorih, morajo biti ves čas v lasti zaposlenih. Vso avtentikacijo je treba okrepiti z MFA. To lahko popolnoma izniči grožnjo BEC in krajo poverilnic za prijavo.
Navsezadnje lahko preprosto preverjanje identitete s prstnim odtisom ali telefonom naredi razliko med ujetim ponarejenim e-poštnim sporočilom – in napadom BEC, ki povzroči milijonsko škodo.
#3. Varnostne tehnologije
Zaposleni morajo biti temeljito podprti s celovitim paketom varnostnih tehnologij. Na primer, če filtriranje neželene pošte v e-poštnem programu še vedno dovoljuje sumljiva e-poštna sporočila v mape »Prejeto«, lahko filtri tretjih oseb pomagajo spremljati in preprečiti napade socialnega inženiringa s pristopom črnega seznama URL-jev. Medtem ko je preprečevanje, ki temelji na mapi »Prejeto«, pomembno, je morda bolj pomembno izvajanje visokokakovostna varnost brskalnika. To se bo v idealnem primeru borilo proti rootkitom, trojanskim konjam in ponarejanju za krajo poverilnic ter ponuja veliko globljo zaščito kot delno prepoznavanje URL-jev.
Rešitev LayerX
Razširitev brskalnika LayerX, namenjena uporabniku, ponuja enoten, celovit pristop k boju proti napadom socialnega inženiringa. Seje brskalnika se spremljajo na aplikacijskem nivoju, kar omogoča popoln vpogled v vse dogodke brskanja. Vsaka spletna stran lahko naredi korak dlje od postopka 'blokiraj ali zavrni', s poglobljeno analizo, ki omogoča nevtralizacijo groženj v realnem času. Na ta način lahko granularno uveljavljanje celo zelo naprednim napadom BEC prepreči dostavo koristnih obremenitev. Namesto da bi se zanašal na postopen pristop prek seznamov blokiranih DNS, pristop LayerX, ki je pripravljen na prihodnost, združuje vrhunsko obveščanje o grožnjah z globokim uveljavljanjem na vsaki končni točki.