Trace Id is missing

Profitiranje ekonomijom povjerenja: prijevare društvenim inženjeringom

Silueta osobe napravljene od koda koja drži masku i izlazi iz telefona. Prate je crveni balončići koji predstavljaju zlonamjerne aktere.

U svijetu koji je sve više na mreži, gdje je povjerenje i valuta i ranjivost, zlonamjerni akteri nastoje manipulirati ljudskim ponašanjem i iskoristiti tendenciju ljudi koji žele biti od pomoći. U ovoj infografici istražujemo društveni inženjering, uključujući zašto zlonamjerni akteri cijene profesionalne identitete iznad sveg drugog, te vas provodimo kroz načine kojima manipuliraju ljudskom prirodom radi ostvarivanja svojih ciljeva.

Društveni inženjering i zločinačka privlačnost krađe identiteta

Otprilike 901 posto napada krađe identiteta uključuju taktike društvenog inženjeringa dizajnirane za manipuliranje žrtava – uključujući preko e-pošte – da otkriju povjerljive informacije, kliknu na zlonamjerne veze ili otvore zlonamjerne datoteke. Napadi krađe identiteta troškovno su učinkoviti za napadače, prilagodljivi su za izbjegavanje mjera sprječavanja te se hvale visokim stopama uspjeha.

Dijelovi ljudskog ponašanja koji se mogu iskoristiti

Tehnike društvenog inženjeringa ovise o napadačevom korištenju pouzdanosti i uvjeravanja kako bi se mete nagovorile da poduzmu radnje koje bi inače bile neobične. Postoje tri učinkovite stvari koje mogu iskoristiti, a to su hitnost, emocija i navika.2 Hitnost  Nitko ne želi propustiti vremenski ovisnu priliku ili propustiti važan rok. Osjećaj hitnosti često može zavarati inače razumne mete da predaju osobne informacije.
Primjer: Lažna hitnost
Obavijest za e-potpisivanje: Dokument za pregled i potpis iz DocuSigna. Važna poruka.
„Znak e-pošte s krađom identiteta je privitak neke vrste vremenskog okvira. Žele vas pogurati da donesete odluku u skraćenom vremenu.”
Jack Mott – Microsoftovo obavještavanje o prijetnjama

Emocija

Emocionalna manipulacija može računalnim napadačima dati prednost, posebice jer će ljudi vjerojatno poduzimati rizične radnje u uzbuđenom emocionalnom stanju, posebice ako su uključeni strah, krivnja ili ljutnja.

 

Primjer: Emocionalna manipulacija

„Najučinkovitiji mamac koji smo vidjeli bila je jako kratka poruka e-pošte u kojoj je pisalo da nas je ugovorio vaš supružnik da pripremimo vaše papire za razvod. Kliknite na vezu za preuzimanje vašeg primjerka.”
Sherrod Degrippo – Microsoftovo obavještavanje o prijetnjama

Navika

Zločinci su oštroumni promatrači ponašanja i posebnu pozornost daju vrstama navika i rutinama koje ljudi rade na „autopilotu”, bez puno dodatnog razmišljanja.

 

Primjer: Uobičajena navika

U tehnici poznatoj kao „quishing3” prevaranti će glumiti vjerodostojno poduzeće i tražiti vas da skenirate QR kod u njihovoj poruci e-pošte. Na primjer, mogu reći da trebate skenirati kod jer nije prošlo vaše plaćanje s fakture ili da trebate ponovno postaviti lozinku.

„Zlonamjerni akteri prilagođavaju se ritmovima poslovanja. Odlični su u implementiranju mamaca koji imaju smisla u kontekstu u kojima ih obično primamo.”
Jack Mott – Microsoftovo obavještavanje o prijetnjama

Granica između osobnog i profesionalnog lica zaposlenika ponekad može konvergirati. Zaposlenik može koristiti svoju poslovnu e-poštu za osobne račune koje koriste za posao. Zlonamjerni akteri ponekad pokušavaju to iskoristiti jer će se pretvarati da su neki od ovih programa tako da dobiju pristup korporativnim informacijama zaposlenika.

Dijagram s prikazom: programa lojalnosti, društvenih medija, isporuke, dijeljenja vožnje, bankarstva/ulaganja, strujanja. Ovaj dijagram prikazuje primjere kako zlonamjerni akteri pokušavaju ostvariti pristup korporativnim informacijama zaposlenika
„U prijevarama s krađom identiteta putem e-pošte računalni zločinci pretražuju korporativne adrese e-pošte kod svojih ’mamaca’. Osobne webmail adrese nisu ni vrijedne njihova vremena. Poslovne adrese znatno su dragocjenije pa će više resursa i fokusa staviti na tipkovnicu radi prilagodbe napada za te račune.”
Jack Mott – Microsoftovo obavještavanje o prijetnjama

„Long con” (duga prijevara)

Napadi društvenim inženjeringom općenito nisu brzi. Društveni inženjeri nastoje izgraditi povjerenje kod svojih žrtava s vremenom, primjenjujući naporne tehnike koje počinju s istraživanjem. Ciklus ove vrste manipulacije mogao bi biti ovakav:
  • Istraga: Inženjeri identificiraju cilj i prikupljaju pozadinske informacije, kao što su potencijalne točke ulaska ili sigurnosni protokoli.
  • Prodiranje: Inženjeri se fokusiraju na uspostavu povjerenje s metom. Izmislit će neku priču, navući metu i preuzeti kontrolu nad interakcijom da bi je preusmjerili na način da odgovara inženjeru.
  • Iskorištavanje: Društveni inženjeri dobivaju informacije mete s vremenom. Obično meta preda te informacije dobrovoljno, a inženjeri to moraju okrenuti u svoju koristi kako bi dobili pristup još povjerljivijim informacijama.
  • Odvajanje: Društveni inženjer dovest će interakciju do njenog prirodnog kraja. Vješti će inženjer to napraviti bez da meta uopće bude sumnjičava

BEC napadi ističu se u domeni računalnog zločina po tome što naglasak stavljaju na  društveni inženjering , kao i po vještini obmane. Uspješni BEC napadi koštaju tvrtke ili ustanove stotine milijuna dolara godišnje. Centar za tužbe u vezi internetskih zločina pri Saveznom istražnom uredu (FBI) 2022. godine zabilježio je prilagođene gubitke od više od 2,7 milijarde USD u 21832 evidentirane BEC žalbe.4

U najpopularnije mete za BEC spadaju izvršni i drugi viši rukovoditelji, financijski direktori, osoblje u službama za ljudske potencijale s pristupom podacima u evidenciji zaposlenih kao što su brojevi socijalnog osiguranja, porezni izvještaji i ostali podaci koji otkrivaju identitet osobe. Mete predstavljaju i novi zaposleni kod kojih je manja vjerojatnost da će potvrditi nepoznate zahtjeve e-pošte.

Skoro su svi oblici BEC napada u porastu. Čest vrste BEC napada obuhvaćaju:5

  • Izravno ugrožavanje e-pošte (DEC): kompromitirani računi e-pošte koriste se za društveni inženjering internih računovodstvenih uloga ili tih uloga u trećim stranama kako bi se transferirala sredstva na bankovni račun napadača ili promijenile informacije o plaćanju za postojeći račun.
  • Ugrožavanje e-pošte dobavljača (VEC): društveni inženjering postojećeg odnosa dobavljača otimanjem e-pošte vezane uz plaćanje i oponašanjem zaposlenika poduzeća kako bi se dobavljač uvjerio da preusmjeri dospjelo plaćanje na nezakoniti bankovni račun.
  • Prijevara s lažnom fakturom: Masovna prijevara društvenim inženjeringom u kojom se iskorištavaju poznate robne marke kako bi se poduzeća uvjerilo da plate lažne fakture.
  • Oponašanje odvjetnika: iskorištavanje pouzdanih odnosa s velikim, poznatim odvjetničkim firmama radi povećanja vjerodostojnosti s direktorima malih tvrtki ili start-up tvrtki kako bi izvršili plaćanje za dospjele faktore, posebice prije značajnih događaja kao što su inicijalne javne ponude. Do preusmjeravanja plaćanja na nezakonit bankovni račun dolazi kada dođe do dogovora u vezi uvjeta plaćanja.
Octo Tempest
Octo Tempest financijski je motivirani kolektiv izvornih govornika engleskog jezika – zlonamjernih aktera, poznatih po pokretanju dalekosežnih kampanja u kojima su istaknute tehnike s napadačem u sredini (AiTM), društveni inženjering i sposobnosti SIM zamjene.
Scenarij krađe identiteta: Korisnik unosi lozinku, višestruku provjeru autentičnosti (MFA), zatim je preusmjeren; uključen je zlonamjeran proxy
Diamond Sleet
U kolovozu 2023. Diamond Sleet je kompromitirao softverski lanac opskrbe njemačkog davatelja usluga softvera, JetBrains, kada su se ugrožavali poslužitelji za izgradnju softvera, ispitivanje i procese implementacije. Budući da je Diamond Sleet uspješno prodirao okruženja međuverzija u prošlosti, Microsoft je ocijenio da ova aktivnost predstavlja posebice visok rizik tvrtkama ili ustanovama koje su zahvaćene.
Sangria Tempest6
Sangria Tempest, poznata i kao FIN, poznata je po ciljanju industrije restoranata kada su krali podatke s platnih stranica. Jedan od njihovih najučinkovitijih mamaca bila optužba za trovanje hranom, a čije se pojedinosti mogu vidjeti po otvaranju zlonamjernog privitka.

Grupa Sangria Tempest, koja je primarno istočnoeuropska, koristi underground forume za ragrutiranje izvornih govornika engleskog jezika koji se obučavaju kako zvati trgovine u isporuci mamca e-poštom. Ova je grupa ukrala desetke milijuna podataka s platnih kartica u tom procesu.

Midnight Blizzard
Midnight Blizzard zlonamjerni je akter koji se nalazi u Rusiji, poznat po tome što su mu primarne mete vlade, diplomatska tijela, nevladine organizacije (NGO) i davatelji IT usluga koji se uglavnom nalaze u SAD-u i Europi.

Midnight Blizzard iskorištava Teams poruke kako bi slao mamce koji pokušavaju ukrasti vjerodajnice od ciljane organizacije angažiranjem korisnika i izvlačenjem odobrenja upita za višestruku provjeru autentičnosti (MFA).

Jeste li znali?
Microsoftova strategija imenovanja zlonamjernih aktera prebacila se na novu taksonomiju imenovanja za zlonamjerne aktere, a inspirirana je temama vezanima uz vrijeme.
Popis prirodnih i računalnih prijetnji

Dok napadi društvenim inženjeringom mogu biti sofisticirani, postoje stvari koje možete napraviti kako biste ih spriječili.7 Ako ste pametni u vezi privatnosti i sigurnosti, možete pobijediti te napadače u njihovoj igri.

Prvo, uputite korisnike da svoje osobne račune drže osobnima i da ih ne miješaju s poslovnom e-poštom ili zadacima vezanima uz posao.

Također, svakako implementirajte korištenje višestruke provjere autentičnosti (MFA). Društveni inženjeri obično traže informacije kao što su vjerodajnice za prijavu. Omogućivanjem višestruke provjere autentičnosti, čak i ako napadač dobije vaše korisničko ime i lozinku, i dalje neće moći pristupiti vašim računima i osobnim informacijama.8

Nemojte otvarati poruke e-pošte ili privitke do sumnjivih izvora. Ako vam prijatelj pošalje vezu koju hitno trebate otvoriti, provjerite s prijateljem je li ju on zaista poslao. Prije nego što kliknete na bilo što, pauzirajte i pitajte se je li pošiljatelj osoba za koju se predstavlja.

Pauzirajte i provjerite

Pazite na ponude koje zvuče predobro da bi bile istinite. Ne možete osvojiti okladu u kojoj niste sudjelovati i nikoji član kraljevske obitelji neće vam ostaviti veliku količinu novca. Ako se čini previše primamljivo, napravite brzu pretragu kako biste odredili je li ponuda zakonita ili je zamka.

Nemojte previše dijeliti na mreži. Da bi njihove prijevare bile uspješne, društvenim inženjerima potrebno je povjerenje njihovih meta. Ako mogu pronaći vaše osobne pojedinosti preko vaših profila na društvenim mrežama, mogu ih iskoristiti kako bi se njihova prijevara činila zakonitom.

Zaštitite računala i uređaje. Koristite antivirusni softver, vatrozidove i filtre e-pošte. U slučaju ako prijetnja dođe do vašeg uređaja, imat ćete uspostavljenu zaštitu kako bi vaše informacije bile sigurne.

„Kada primite upitan telefonski poziv ili poruku e-pošte, ključno je usporiti i provjeriti. Ljudi rade greške kada brzo reagiraju, stoga je važno podsjetiti zaposlenike da ne moraju odmah reagirati na ove vrste situacija.”
Jack Mott – Microsoftovo obavještavanje o prijetnjama

Saznajte više o tome kako pomoći svojoj organizaciji i pogledajte Rizik povjerenja: prijetnje društvenim inženjeringom i kibernetička obrana.

Povezani članci

Stručni savjeti o tri najupornija izazova u području računalne sigurnosti

Glavni upravitelj grupe, Justin Turner, Microsoft Security Research, opisuje tri velika izazova kojima je svjedočio tijekom karijere u području računalne sigurnost: upravljanje konfiguracijom, krpanje i vidljivost uređaja

Računalni zločin kao usluga (CaaS) povećava prijevare s poslovnom e-poštom za 38 %

Ugrožavanje poslovne e-pošte (BEC) u porastu je sada kada računalni zločinci mogu zamračiti izvor svojih napada kako bi bio još opakiji. Saznajte više o CaaS-u i kako pomoći u zaštiti svoje tvrtke ili ustanove.

Microsoft, Amazon i međunarodne jedinice za provođenje zakona udružuju se radi borbe protiv prijevara tehničke podrške

Pogledajte kako su Microsoft i Amazon udružili snage prvi put kako bi onesposobili nezakonite pozivne centre tehničke podrške u Indiji.