Ve světě, který se čím dál víc přesouvá do online prostoru, představuje důvěra nejen platidlo, ale i zranitelnost. Aktéři hrozeb se neštítí manipulovat s lidskou povahou a zneužívají tendence mnohých lidí chtít být nápomocní. V této infografice se zblízka podíváme na sociální inženýrství. Zaměříme se na důvody, proč se aktéři hrozeb soustředí zejména na profesní identity, a projdeme si některé z postupů, které používají ke zmanipulování lidské povahy a dosažení svých cílů.
Zneužití principu důvěry: podvody sociálního inženýrství
Sociální inženýrství a phishing jakožto lákavý trestný čin
Přibližně 90 %1 phishingových útoků zahrnuje některou z taktik sociálního inženýrství, které mají za cíl oběti zmanipulovat, obvykle přes e-mail, a přinutit je sdělit citlivé informace, kliknout na škodlivé odkazy nebo otevřít škodlivé soubory. Phishingové útoky jsou pro útočníky cenově výhodné, dají se přizpůsobit tak, aby obešly preventivní opatření, a mají vysoké procento úspěšnosti.
Páky lidského chování
Techniky sociálního inženýrství se spoléhají na um útočníka přesvědčit svým sebevědomým vystupováním cíl k něčemu, co by jinak běžně neudělal. Třemi efektivními pákami jsou naléhavost, city a návyky.2 Naléhavost Nikdo si nechce nechat utéct časově omezenou nabídku nebo propásnout důležitou uzávěrku. Dojem naléhavosti může i jinak racionální cíle přesvědčit ke sdělení osobních údajů.
Příklad: Falešný dojem naléhavosti
„Poznávací známkou phishingového e-mailu je uvedení jistého časového rámce. Chtějí vás přinutit k akci v co nejkratším čase.“
Jack Mott – Analýza hrozeb Microsoft
City
Citová manipulace může kybernetickým útočníkům poskytnout další páku, protože lidé spíše zariskují v emočně vypjatých situacích, zvlášť pokud v nich roli hraje strach, vina nebo hněv.
Příklad: Citová manipulace
„Nejefektivnější návnada, jakou jsem kdy viděl, byl kraťoučký e-mail s oznámením, že váš partner zažádal o přípravu podkladů k rozvodu. Kliknutím na odkaz si stáhnete kopii.“
Sherrod DeGrippo – Analýza hrozeb Microsoft
Návyky
Zločinci lidské chování vždy bedlivě pozorují a zvlášť dobrý pozor pak dávají na běžné návyky a rutiny, které lidé vykonávají bezmyšlenkovitě, tak nějak na „autopilota“.
Příklad: Běžné návyky
„Aktéři hrozeb se dokáží adaptovat na firemní dynamiku. Velmi dobře umí nastražit návnadu, která v daném kontextu dává jednoznačně smysl.“
Jack Mott – Analýza hrozeb Microsoft
Hranice mezi zaměstnaneckými a osobními profily se někdy překrývá. Zaměstnanec může například použít svůj pracovní e-mail k vytvoření osobního účtu, který chce využívat i pracovně. Aktéři hrozeb se toho občas pokoušejí zneužít tím, že se vydávají za některý z těchto programů ve snaze získat přístup k firemním informacím zaměstnance.
„U phishingových podvodů se kyberzločinci zaměřují zejména na firemní e-mailové adresy. Osobní pošta je pro ně ztráta času. Pracovní adresy mají větší hodnotu, takže budou věnovat víc času a prostředků přizpůsobení svých návnad a útoků pro tyto typy účtů.“
Jack Mott – Analýza hrozeb Microsoft
Dlouhý podvod
Útoky sociálního inženýrství obvykle neprobíhají rychle. Sociální inženýři si u svých obětí postupně budují důvěru, za čímž stojí náročné techniky a spousta práce, která začíná průzkumem. Takový cyklus manipulace může probíhat třeba následovně:
- Prověřování: Sociální inženýři vyberou potenciální cíl a začnou shromažďovat doplňkové informace, jako jsou třeba možné vstupní body nebo protokoly zabezpečení.
- Infiltrace: Sociální inženýři pracují na získání důvěry svého cíle. Vymyslí si příběh, něčím zaujmou a nadále interakci směřují k vyústění, o které jim jde.
- Vykořisťování: Sociální inženýři sbírají informace v průběhu času. Běžně se stává, že jim jejich cíl tyto informace předá dobrovolně, čehož můžou zneužít a pokusit se z něj vylákat ještě citlivější informace.
- Stažení se: Sociální inženýr interakci přirozeně ukončí. Pokud je zkušený, dokáže to zaonačit tak, že cíl nepojme žádné podezření
Útoky BEC se v odvětví kybernetických trestných činů odlišují důrazem na sociální inženýrství a umění svoji oběť obelstít. Úspěšné útoky BEC stojí organizace stovky milionů dolarů ročně. V roce 2022 zaznamenala divize FBI na potírání internetových zločinů (IC3) souhrnnou ztrátu ve výši 2,7 miliardy dolarů na 21 832 zaznamenaných hlášení o útocích BEC.4
Nejčastějším cílem útoků BEC jsou výkonní manažeři a další vedoucí pracovníci, finanční manažeři a pracovníci lidských zdrojů, kteří mají přístup k záznamům o zaměstnancích, jako jsou čísla sociálního pojištění, daňové výkazy nebo jiné osobní údaje. Zaměřují se také na nové zaměstnance, u kterých může být méně pravděpodobné, že budou ověřovat neznámé e-mailové žádosti.
Roste počet téměř všech forem útoků BEC. Mezi běžné útoky BEC patří:5
- Přímá kompromitace pošty (DEC): Kompromitované e-mailové účty se pomocí sociálního inženýrství použijí k vytvoření firemních nebo nezávislých účetních rolí, které pak převedou prostředky na bankovní účet útočníka, nebo změní platební údaje u již existujícího účtu.
- Kompromitace pošty dodavatele (VEC): Jedná se o sociální inženýrství aplikované na již existující vztah s dodavatelem, kdy útočníci získají e-mail související s platbou a vydáváním se za zaměstnance firmy dodavatele přesvědčí, aby dotčenou platbu přesměroval na nepovolaný bankovní účet.
- Podvod s falešnou fakturou: Masový podvod formou sociálního inženýrství, při kterém podvodníci zneužívají jméno zavedené značky, aby přinutily firmy uhradit falešné faktury.
- Zosobnění právního zástupce: Jedná se o zneužití důvěryhodného vztahu s velkou, dobře zavedenou právní firmou, aby podvodníci působili důvěryhodněji před výkonnými manažery menších firem a start-upů a přinutili je tak zaplatit domnělé neuhrazené faktury, zvláště pak před významnými událostmi, jako je první veřejná aukce. Jakmile se dohodnou na detailech platby, platba je přesměrována na nepovolaný bankovní účet.
Octo Tempest
Octo Tempest je anglicky mluvicí skupina aktérů hrozeb zaměřených na finanční sektor, o kterých se ví, že stojí za rozsáhlými kampaněmi, ve kterých se uplatňují techniky adversary-in-the-middle (AiTM), sociální inženýrství a schopnost klonovat SIM karty.
Octo Tempest je anglicky mluvicí skupina aktérů hrozeb zaměřených na finanční sektor, o kterých se ví, že stojí za rozsáhlými kampaněmi, ve kterých se uplatňují techniky adversary-in-the-middle (AiTM), sociální inženýrství a schopnost klonovat SIM karty.
Diamond Sleet
V srpnu 2023 skupina Diamond Sleet napadla dodavatelský řetězec německého poskytovatele softwaru, JetBrains, čímž kompromitovali servery pro sestavování, testování a nasazování softwaru. Jelikož Diamond Sleet už v minulosti dokázali úspěšně infiltrovat prostředí pro buildy, Microsoft hodnotí jejich činnost jako vysoce rizikovou pro zasažené organizace.
V srpnu 2023 skupina Diamond Sleet napadla dodavatelský řetězec německého poskytovatele softwaru, JetBrains, čímž kompromitovali servery pro sestavování, testování a nasazování softwaru. Jelikož Diamond Sleet už v minulosti dokázali úspěšně infiltrovat prostředí pro buildy, Microsoft hodnotí jejich činnost jako vysoce rizikovou pro zasažené organizace.
Sangria Tempest6
Sangria Tempest, známá též jako FIN, je skupina zaměřená na pohostinství a odcizení údajů o platebních kartách. Jednou z nejefektivnějších návnad je stížnost na otravu jídlem, jejíž podrobnosti lze zobrazit otevřením škodlivé přílohy.
Sangria Tempest, známá též jako FIN, je skupina zaměřená na pohostinství a odcizení údajů o platebních kartách. Jednou z nejefektivnějších návnad je stížnost na otravu jídlem, jejíž podrobnosti lze zobrazit otevřením škodlivé přílohy.
Sangria Tempest, původem primárně z východní Evropy, v minulosti používala undergroundová fóra k nabírání anglických mluvčí, které následně školila v postupech, jak podpořit doručení e-mailové návnady prostřednictvím hovorů. Skupina tímto postupem odcizila miliony údajů o platebních kartách.
Midnight Blizzard
Midnight Blizzard je ruská skupina aktérů hrozeb, která se primárně zaměřuje na vlády, diplomaty, nevládní organizace a poskytovatele IT služeb ve Spojených státech a Evropě.
Midnight Blizzard je ruská skupina aktérů hrozeb, která se primárně zaměřuje na vlády, diplomaty, nevládní organizace a poskytovatele IT služeb ve Spojených státech a Evropě.
Midnight Blizzard rozesílá návnady formou zpráv z Teams a pokouší se dotčeným organizacím odcizit přihlašovací údaje tím, že vybraného uživatele nechá potvrdit podvrženou výzvu k vícefaktorovému ověření (MFA).
Věděli jste to?
Microsoft přešel na novou taxonomii pro pojmenovávání aktérů hrozeb a založil ji na tematice počasí.
Microsoft přešel na novou taxonomii pro pojmenovávání aktérů hrozeb a založil ji na tematice počasí.
Přestože můžou být útoky formou sociální inženýrství velice sofistikované, lze se jim aktivně bránit.7 Když budete k zabezpečení a ochraně svých osobních údajů přistupovat chytře, s útočníky zatočíte raz dva.
Jako první svým uživatelům řekněte, ať své osobní účty používají pouze k osobním účelům a nepoužívají je v souvislosti s pracovní poštou a pracovní náplní.
Také trvejte na využívání MFA. Sociální inženýři se obvykle shání po informacích, jako jsou přihlašovací údaje. Když budete mít povolené MFA a útočník získá vaše jméno a heslo, stejně se k vašim účtům a osobním údajům nedostane.8
Neotvírejte e-maily a přílohy podezřelého původu. Pokud vám známý pošle odkaz, na který musíte okamžitě kliknout, ověřte si u něj, že zprávu opravdu odeslal on. Než na cokoli kliknete, zastavte se a zamyslete se, jestli je odesílatel opravdu tím, za koho se vydává.
Zastavte se a ověřujte
Dejte pozor na nabídky, které jsou až příliš dobré na to, aby byly pravda. Nemůžete vyhrát soutěž, které jste se nezúčastnili, a žádná šlechta ze zahraničí vám neodkáže obří sumu peněz. Pokud vás to i tak láká, nezapomeňte si alespoň v rychlosti vyhledat, jestli je nabídka pravdivá, nebo zda se jedná o past.
Nesdílejte toho na internetu až moc. Aby podvody fungovaly, sociální inženýři musí na svoje cíle působit důvěryhodně. Pokud dokážou z vašich profilů na sociálních sítích zjistit vaše osobní údaje, můžou je použít k vytvoření přesvědčivějších podvodů.
Zabezpečte své počítače a zařízení. Používejte antivirový program, firewall a filtrování pošty. Pokud se na vaše zařízení nějaká hrozba i tak dostane, budete mít zavedenou ochranu, která vaše data udrží v bezpečí.
„Když dostanete pochybný e-mail nebo hovor, zásadní je přibrzdit a vše si ověřit. Když lidé jednají zbrkle, tak často chybují, takže je důležité svým zaměstnancům připomenout, že v obdobných situacích nemusejí jednat okamžitě.“
Jack Mott – Analýza hrozeb Microsoft
Další informace o tom, jak můžete pomoct chránit svohu organizaci, se dozvíte ve videu Riziko důvěry: Hrozby sociální inženýrství a kybernetická ochrana.
- [2]
Obsah v této sekci pochází z https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, přibližně 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Poznámka: Obsah pochází z https://go.microsoft.com/fwlink/?linkid=2263229