Wszyscy wiemy o typie napastnika, który wykorzystuje swoją wiedzę techniczną do infiltracji chronionych systemów komputerowych i przejęcia poufnych danych. Ten gatunek złośliwych aktorów cały czas publikuje wiadomości, skłaniając nas do przeciwdziałania ich exploitom, inwestując w nowe technologie, które wzmocnią naszą obronę sieci.

Jest jednak inny typ napastnika, który stosuje różne taktyki, aby ominąć nasze narzędzia i rozwiązania. Nazywa się ich „inżynierami społecznymi”, ponieważ wykorzystują jedyną słabość każdej organizacji: ludzką psychologię. Korzystając z telefonów i innych mediów, napastnicy oszukują ludzi do przekazania dostępu do poufnych informacji organizacji.

Inżynieria społeczna to termin obejmujący szerokie spektrum złośliwej aktywności. Na potrzeby tego artykułu skupmy się na pięciu najczęstszych typach ataków wykorzystywanych przez inżynierów społecznych do kierowania swoich ofiar. Są to phishing, pretekst, nęcenie, quid pro quo i tailgating.

Phishing

Phishing to najczęstszy rodzaj ataku socjotechnicznego, który ma obecnie miejsce. Ale co to właściwie jest? Na wysokim poziomie większość oszustw phishingowych ma na celu trzy rzeczy:

• Uzyskaj dane osobowe, takie jak imiona i nazwiska, adresy i numery ubezpieczenia społecznego.
• Używaj skróconych lub wprowadzających w błąd linków, które przekierowują użytkowników do podejrzanych witryn zawierających strony docelowe służące do wyłudzania informacji.
• Włącz t groźby, strach i poczucie pilności w celu zmanipulowania użytkownika, aby szybko zareagował.

Żadne dwie wiadomości phishingowe nie są takie same. W rzeczywistości istnieje co najmniej sześć różnych podkategorii ataków phishingowych. Ponadto wszyscy wiemy, że niektóre z nich są źle wykonane do tego stopnia, że ich wiadomości zawierają błędy ortograficzne i gramatyczne. Mimo to te e-maile mają zwykle ten sam cel, czyli wykorzystywanie fałszywych witryn internetowych lub formularzy do kradzieży danych logowania użytkownika i innych danych osobowych.

Niedawna kampania phishingowa wykorzystywała przejęte konto e-mail do wysyłania e-maili zawierających ataki. Te wiadomości proszą odbiorców o przejrzenie proponowanego dokumentu poprzez kliknięcie osadzonego adresu URL. Ten złośliwy adres URL, otoczony funkcją Click-time URL Protection firmy Symantec, przekierowywał odbiorców na przejęte konto SharePoint, które dostarczało drugi złośliwy adres URL osadzony w dokumencie OneNote. Ten adres URL z kolei przekierowywał użytkowników na stronę phishingową podszywającą się pod portal logowania Microsoft Office 365.

Pretexting

Pretexting to kolejna forma inżynierii społecznej, w której osoby atakujące koncentrują się na tworzeniu dobrego pretekstu lub sfabrykowany scenariusz, którego używają do prób kradzieży danych osobowych swoich ofiar. W tego typu atakach oszuści zwykle twierdzą, że potrzebują pewnych informacji od celu, aby potwierdzić swoją tożsamość. W rzeczywistości kradną te dane i wykorzystują je do kradzieży tożsamości lub przeprowadzania ataków wtórnych.

Bardziej zaawansowane ataki czasami próbują nakłonić ich cele do zrobienia czegoś, co nadużywa cyfrowych i / lub fizycznych słabości organizacji. Na przykład osoba atakująca może podszywać się pod zewnętrznego audytora usług IT, aby przekonać zespół ds. Bezpieczeństwa fizycznego firmy docelowej do wpuszczenia ich do budynku.

Podczas gdy ataki phishingowe wykorzystują głównie strach i pilność na swoją korzyść, udając ataki polegają na budowaniu fałszywego poczucia zaufania do ofiary. Wymaga to od atakującego zbudowania wiarygodnej historii, która pozostawia niewiele miejsca na wątpliwości ze strony jego celu.

Pretexting może przybierać różne formy i faktycznie. Mimo to wielu aktorów zagrażających, którzy przyjmują ten typ ataku, decyduje się na udawanie personelu HR lub pracowników w rozwoju finansów. Te przebrania pozwalają im atakować kadrę kierowniczą na poziomie C, jak stwierdził Verizon w swoim raporcie z badań nad naruszeniem danych z 2019 r. (DBIR).

Przynęty

Przynęta jest pod wieloma względami podobna do ataków phishingowych. Jednak to, co odróżnia je od innych rodzajów inżynierii społecznej, to obietnica przedmiotu lub dobra, którego złośliwi aktorzy używają, aby zwabić ofiary. Na przykład przynęta może wykorzystać ofertę darmowych plików muzycznych lub filmów, aby nakłonić użytkowników do podania danych logowania.

Ataki przynęty nie ograniczają się również do schematów online. Atakujący mogą również skupić się na wykorzystywaniu ludzkiej ciekawości za pośrednictwem fizycznych nośników.

Na przykład w lipcu 2018 roku KrebsOnSecurity doniósł o ataku na agencje stanowe i lokalne w Stanach Zjednoczonych. Operacja wysłała chińskie koperty ze stemplem pocztowym, które zawierały niejasny list wraz z płytą kompaktową (CD). Chodziło o to, aby wzbudzić ciekawość odbiorców, aby załadowali płytę CD, a tym samym nieumyślnie zainfekowali komputery złośliwym oprogramowaniem.

Quid Pro Quo

Podobnie jak przynęty, ataki quid pro quo obiecują korzyść w zamian za informacje. Ta korzyść zwykle przybiera formę usługi, podczas gdy przynęta ma zwykle formę towaru.

Jednym z najczęstszych typów ataków quid pro quo, które mają miejsce w ostatnich latach, jest to, że oszuści podszywają się pod US Social Security Administration (SSA). Ci fałszywi pracownicy SSA kontaktują się z przypadkowymi osobami, informują je, że po ich stronie wystąpił problem z komputerem i proszą o potwierdzenie ich numeru ubezpieczenia społecznego, wszystko w celu kradzieży tożsamości. W innych przypadkach wykrytych przez Federalną Komisję Handlu (FTC) złośliwi aktorzy zakładają fałszywe strony internetowe SSA, które mówią, że mogą pomóc użytkownikom ubiegać się o nowe karty Ubezpieczenia Społecznego, ale zamiast tego po prostu wykradają ich dane osobowe.

Jest to ważne należy jednak zauważyć, że napastnicy mogą korzystać z ofert quid pro quo, które są znacznie mniej wyrafinowane niż fortele związane z SSA. Jak pokazały wcześniejsze ataki, pracownicy biurowi są bardziej niż chętni do ujawnienia swoich haseł do taniego długopisu lub nawet tabliczki czekolady.

Tailgating

Nasz ostatni typ ataku socjotechnicznego to dzień jest znany jako tailgating lub „piggybacking”. W tego typu atakach osoba bez odpowiedniego uwierzytelnienia podąża za uwierzytelnionym pracownikiem do obszaru o ograniczonym dostępie. Atakujący może podszywać się pod kierowcę dostawczego i czekać na zewnątrz budynku, aby rozpocząć pracę. Gdy pracownik uzyska zgodę ochrony i otworzy drzwi, osoba atakująca prosi pracownika o przytrzymanie drzwi, uzyskując w ten sposób dostęp do budynku.

Tailgating nie działa we wszystkich środowiskach korporacyjnych, takich jak duże firmy, których wejścia wymagają użycia karty dostępu. Jednak w przedsiębiorstwach średniej wielkości atakujący mogą nawiązać rozmowy z pracownikami i wykorzystać ten przejaw znajomości, aby ominąć recepcję.

W rzeczywistości Colin Greenless, konsultant ds. bezpieczeństwa w Siemens Enterprise Communications, wykorzystał te taktyki, aby uzyskać dostęp do wielu piętra i pokój danych w firmie finansowej notowanej na FTSE. Mógł nawet założyć sklep w sali konferencyjnej na trzecim piętrze i pracować tam przez kilka dni.

Zalecenia dotyczące inżynierii społecznej

M złośliwi aktorzy, którzy angażują się w ataki socjotechniczne, żerują na ludzkiej psychice i ciekawości, aby złamać informacje o swoich celach. Mając to na uwadze zorientowane na człowieka, organizacje mogą pomóc swoim pracownikom w zwalczaniu tego typu ataków.

Oto kilka wskazówek, które organizacje mogą uwzględnić w swoich programach szkoleniowych z zakresu świadomości bezpieczeństwa, które pomogą użytkownikom aby uniknąć schematów inżynierii społecznej:

• Nie otwieraj żadnych e-maili z niezaufanych źródeł. Skontaktuj się z przyjacielem lub członkiem rodziny osobiście lub telefonicznie, jeśli otrzymasz od niego podejrzaną wiadomość e-mail.
• Nie składaj ofert nieznajomym na korzyść wątpliwości. Jeśli wydają się zbyt piękne, aby mogły być prawdziwe, prawdopodobnie są.
• Zablokuj laptopa, gdy jesteś z dala od stacji roboczej.
• Kup oprogramowanie antywirusowe. Żadne rozwiązanie antywirusowe nie jest w stanie obronić się przed każdym zagrożeniem, które ma na celu zagrozić informacjom użytkowników, ale może pomóc chronić przed niektórymi.
• Przeczytaj politykę prywatności swojej firmy, aby zrozumieć, w jakich okolicznościach możesz lub powinieneś wpuścić nieznajomego do budynku.