Všichni víme o typu útočníků, kteří využívají své technické znalosti k infiltraci do chráněných počítačových systémů a ke kompromitaci citlivých dat. Toto plemeno škodlivého herce neustále přináší zprávy, což nás nutí čelit jejich zneužití investováním do nových technologií, které posílí naši síťovou obranu.
Existuje však i jiný typ útočníka, který používá jinou taktiku k sukni naše nástroje a řešení. Nazývají se „sociální inženýři“, protože využívají jednu slabost, která se nachází v každé organizaci: lidskou psychologii. Útočníci pomocí telefonních hovorů a dalších médií lákají lidi, aby jim předali přístup k citlivým informacím organizace.
Sociální inženýrství je pojem, který zahrnuje široké spektrum škodlivých aktivit. Pro účely tohoto článku se zaměřme na pět nejčastějších typů útoků, které sociální inženýři používají k cílení na své oběti. Jedná se o phishing, zámínky, návnady, quid pro quo a tailgating.
Phishing
Phishing je nejběžnější typ útoku sociálního inženýrství, který se dnes vyskytuje. Ale co to přesně je? Na vysoké úrovni se většina phishingových podvodů snaží dosáhnout tři věci:
- Získejte osobní údaje, jako jsou jména, adresy a čísla sociálního zabezpečení.
- Použijte zkrácené nebo zavádějící odkazy, které uživatele přesměrovávají na podezřelé weby, které hostují phishingové vstupní stránky.
- Začlenit t hrozby, strach a pocit naléhavosti ve snaze manipulovat uživatele s rychlou odpovědí.
Žádné dva phishingové e-maily nejsou stejné. Ve skutečnosti existuje nejméně šest různých podkategorií phishingových útoků. Všichni navíc víme, že některé jsou špatně vytvořené do té míry, že jejich zprávy trpí pravopisnými a gramatickými chybami. Přesto mají tyto e-maily obvykle stejný cíl – pomocí falešných webů nebo formulářů ukrást přihlašovací údaje uživatele a další osobní údaje.
Nedávná phishingová kampaň používala k zasílání e-mailů s útoky kompromitovaný e-mailový účet. Tyto zprávy vyzvaly příjemce, aby zkontrolovali navrhovaný dokument kliknutím na vloženou adresu URL. Tato škodlivá adresa URL, která je zabalena do ochrany URL Click-time URL společnosti Symantec, přesměrovala příjemce na kompromitovaný účet SharePoint, který doručil druhou škodlivou adresu URL vloženou do dokumentu OneNote. Tato adresa URL zase přesměrovala uživatele na phishingovou stránku vydávající se za přihlašovací portál Microsoft Office 365.
Předběžný text
Předběžný text je další formou sociálního inženýrství, kde se útočníci zaměřují na vytvoření dobré zámínky , nebo vymyslený scénář, který používají k pokusu o krádež osobních údajů svých obětí. Při těchto typech útoků podvodník obvykle říká, že k potvrzení své identity potřebují určité informace ze svého cíle. Ve skutečnosti tato data ukradnou a použijí je ke spáchání krádeže identity nebo k provedení sekundárních útoků.
Pokročilejší útoky se někdy pokoušejí přimět své cíle, aby udělaly něco, co zneužívá digitální nebo fyzické slabosti organizace. Útočník by se například mohl vydávat za externího auditora služeb IT, aby mohl přemluvit tým fyzického zabezpečení cílové společnosti, aby jej nechal proniknout do budovy.
Zatímco phishingové útoky využívají ke své výhodě hlavně strach a naléhavost, útoky se spoléhají na budování falešného pocitu důvěry s obětí. To vyžaduje, aby útočník vytvořil důvěryhodný příběh, který ponechává malý prostor pro pochybnosti o části jeho cíle.
Předběžný text může a má různé podoby. I přesto se mnoho aktérů hrozeb, kteří tento typ útoku obejmou, rozhodnou vydávat se za personální personál nebo zaměstnance ve vývoji financí. Tyto převleky jim umožňují cílit na vedoucí pracovníky na úrovni C, jak Verizon našel ve své zprávě o vyšetřování narušení dat z roku 2019 (DBIR).
Návnady
Návnady jsou v mnoha ohledech podobné phishingovým útokům. To, co je však odlišuje od jiných typů sociálního inženýrství, je příslib předmětu nebo dobra, který zlomyslní herci používají k lákání obětí. Návnady mohou využít nabídku bezplatného stahování hudby nebo filmů, například k tomu, aby přiměly uživatele k předání přihlašovacích údajů.
Ani útoky na návnadu se neomezují na online schémata. Útočníci se také mohou zaměřit na využití lidské zvědavosti pomocí fyzických médií.
Například v červenci 2018 společnost KrebsOnSecurity informovala o útočné kampani zaměřené na státní a místní vládní agentury ve Spojených státech. Operace rozeslala čínské obálky s razítkem, které obsahovaly matoucí dopis spolu s kompaktním diskem (CD). Jde o to podnítit zvědavost příjemců, aby si načetli CD a neúmyslně infikovali své počítače malwarem.
Quid Pro Quo
Podobně jako v případě návnad, slibují útoky quid pro quo výhoda výměnou za informace. Tato výhoda obvykle nabývá formy služby, zatímco návnada má obvykle podobu zboží.
Jedním z nejběžnějších typů útoků quid pro quo, které vycházejí v posledních letech, je situace, kdy se podvodníci vydávají za Americkou správu sociálního zabezpečení (SSA). Tito falešní pracovníci SSA kontaktují náhodné osoby, informují je, že na jejich konci došlo k problému s počítačem, a žádají tyto osoby, aby potvrdili své číslo sociálního zabezpečení, a to vše za účelem krádeže identity. V dalších případech zjištěných Federální obchodní komisí (FTC) zlovolní aktéři zřizují falešné weby SSA, které říkají, že mohou uživatelům pomoci požádat o nové karty sociálního zabezpečení, ale místo toho jednoduše ukradnou jejich osobní údaje.
Je to důležité je však třeba poznamenat, že útočníci mohou využít nabídky quid pro quo, které jsou mnohem méně sofistikované než lsti na téma SSA. Jak ukázaly dřívější útoky, administrativní pracovníci jsou více než ochotni rozdat svá hesla pro levné pero nebo dokonce tabulku čokolády.
Tailgating
Náš konečný typ útoku na sociální inženýrství den je znám jako tailgating nebo „piggybacking“. V těchto typech útoků sleduje někdo bez řádného ověřování ověřeného zaměstnance do omezené oblasti. Útočník by se mohl vydávat za řidiče dodávky a počkat, než zahájí práci. Když zaměstnanec získá souhlas zabezpečení a otevře dveře, útočník žádá zaměstnance, aby podržel dveře, čímž získá přístup do budovy.
Tailgating nefunguje ve všech podnikových prostředích, jako jsou velké společnosti, jejichž vstupy vyžadují použití karty. V podnicích střední velikosti mohou útočníci zahájit konverzace se zaměstnanci a využít tuto ukázku známosti k překonání recepce.
Ve skutečnosti Colin Greenless, bezpečnostní konzultant společnosti Siemens Enterprise Communications, použil tuto taktiku k získání přístupu k více podlahy a datová místnost ve finanční společnosti zapsané na seznamu FTSE. Byl dokonce schopen založit obchod v zasedací místnosti ve třetím patře a několik dní tam pracovat.
Doporučení sociálního inženýrství
M. Podvodní aktéři, kteří se zabývají útoky sociálního inženýrství, jsou kořistí lidské psychologie a zvědavosti, aby kompromitovali informace svých cílů. S ohledem na toto zaměření zaměřené na člověka je na organizacích, aby pomohly svým zaměstnancům čelit těmto typům útoků.
Zde je několik tipů, které mohou organizace začlenit do svých výcvikových programů pro zvyšování povědomí o bezpečnosti, které uživatelům pomohou abyste se vyhnuli schématům sociálního inženýrství:
- Neotevírejte žádné e-maily z nedůvěryhodných zdrojů. Pokud od něho obdržíte podezřelou e-mailovou zprávu, obraťte se osobně nebo telefonicky na přítele nebo člena rodiny.
- Neposkytujte cizím nabídkám výhodu pochybnosti. Pokud se vám zdají příliš dobré na to, aby to byla pravda, pravděpodobně jsou.
- Zamkněte svůj notebook, kdykoli jste mimo pracovní stanici.
- Kupte si antivirový software. Žádné AV řešení se nemůže bránit před každou hrozbou, která se snaží ohrozit informace uživatelů, ale může pomoci chránit před některými.
- Přečtěte si zásady ochrany osobních údajů vaší společnosti, abyste pochopili, za jakých okolností můžete nebo byste měli cizího člověka do budova.