W świecie coraz bardziej polegającym na Internecie, w którym zaufanie jest zarówno walutą, jak i słabym punktem, źródła zagrożeń starają się manipulować zachowaniami ludzi i wykorzystywać ich chęć do bycia pomocnymi. W tej infografice przeanalizujemy inżynierię społeczną, wyjaśniając między innymi, dlaczego źródła zagrożeń cenią tożsamości zawodowe ponad wszystkie inne, oraz omówimy niektóre metody manipulacji ludzką naturą, które stosują, aby osiągnąć cele.
Wykorzystywanie gospodarki zaufania: oszustwo z użyciem inżynierii społecznej
Inżynieria społeczna i pokusa, jaką dla przestępców stanowi wyłudzanie informacji
Mniej więcej 90%1 ataków mających na celu wyłudzanie informacji obejmuje taktyki oparte na inżynierii społecznej służące do manipulowanie ofiarami — zwykle za pośrednictwem poczty e-mail — w celu ujawnienia przez nie poufnych informacji, kliknięcia złośliwych linków lub otwarcia złośliwych plików. Ataki mające na celu wyłudzanie informacji są dla atakujących opłacalne, można je dostosować w celu uniknięcia mechanizmów zapobiegawczych i są wysoce skuteczne.
Dźwignie ludzkiego zachowania
Techniki inżynierii społecznej zwykle opierają się na wykorzystaniu przez atakującego pewności siebie i perswazji, za pomocą których próbuje on przekonać osoby będące celami ataku do podjęcia działań, których w normalnej sytuacji by nie podjęły. Trzy skuteczne dźwignie to pilność, emocje i nawyk2. Pilność Nikt nie chce stracić ograniczonej czasowo okazji ani przegapić ważnego terminu. Poczucie pilności często pozwala nakłonić osoby będące celami ataku, które zwykle postępują racjonalnie, do przekazania danych osobowych.
Przykład: Fałszywe wrażenie pilności
„Cechą charakterystyczną wiadomości e-mail wyłudzającej informacje jest wyznaczenie jakiegoś rodzaju ram czasowych. Chcą nas nakłonić do podjęcia decyzji w krótkim czasie”.
Jack Mott — Analiza zagrożeń Microsoft
Emocje
Manipulacja emocjonalna może zapewnić cyberprzestępcom przewagę, ponieważ ludzie owładnięci emocjami są bardziej skłonni do podejmowania ryzykownych działań, szczególnie gdy w grę wchodzi strach, poczucie winy lub gniew.
Przykład: Manipulacja emocjonalna
„Najskuteczniejszą przynętą, jaką kiedykolwiek widziałam, była bardzo krótka wiadomość e-mail z informacją, że małżonek zlecił firmie nadawcy przygotowanie dokumentów rozwodowych. Zachęcano do kliknięcia linku, aby pobrać kopię”.
Sherrod DeGrippo — Analiza zagrożeń Microsoft
Nawyk
Przestępcy są uważnymi obserwatorami zachowań i zwracają szczególną uwagę na te nawyki i przyzwyczajenia, które ludzie wykonują „na autopilocie”, bez większego namysłu.
Przykład: Typowy nawyk
W ramach techniki o nazwie „quishing” (wyłudzanie informacji na kod QR)3 oszuści udają wiarygodną firmę i proszą o zeskanowanie kodu QR z odebranej od nich wiadomości e-mail. Mogą na przykład twierdzić, że użytkownik musi zeskanować kod, ponieważ jego płatność z faktury nie została przetworzona, lub że musi zresetować hasło.
„Źródła zagrożeń dostosowują się do rytmów biznesowych. Potrafią doskonale wdrażać przynęty mające sens w kontekście, w jakim zwykle otrzymujemy wiadomości”.
Jack Mott — Analiza zagrożeń Microsoft
Czasami granica między tożsamością osobistą i zawodową pracownika się zaciera. Pracownik może używać służbowego konta e-mail do obsługi kont osobistych, których używa w pracy. Źródła zagrożeń próbują to czasem wykorzystać, podszywając się pod jeden z takich programów, aby uzyskać dostęp do informacji firmowych pracownika.
„W ramach oszustw z wyłudzaniem informacji pocztą e-mail cyberprzestępcy sprawdzają swoje «przynęty» pod kątem firmowych adresów e-mail. Osobiste adresy poczty internetowej nie są warte ich czasu. Adresy służbowe są cenniejsze, więc poświęcają więcej zasobów i pracy na ręczne dostosowanie ataków na takie konta”.
Jack Mott — Analiza zagrożeń Microsoft
długofalowe oszustwo
Ataki z użyciem inżynierii społecznej zwykle nie są szybkie. Inżynierowie społeczni zwykle przez dłuższy czas budują zaufanie ofiar, stosując pracochłonne techniki, które zaczynają się od badań. Cykl tego typu manipulacji może wyglądać następująco:
- Badania: Inżynierowie identyfikują cel i zbierają informacje źródłowe, takie jak potencjalne punkty wejścia lub protokoły zabezpieczeń.
- Infiltracja: Inżynierowie koncentrują się na zdobyciu zaufania celu. Opowiadają jakąś historię, angażują w nią cel i przejmują kontrolę nad interakcją, aby pokierować nią w korzystny dla siebie sposób.
- Wykorzystanie: W miarę upływu czasu inżynierowie społeczni uzyskują informacje o celu. Zwykle cel przekazuje te informacje dobrowolnie, a inżynierowie mogą je wykorzystać, aby uzyskać dostęp do jeszcze bardziej poufnych informacji.
- Wycofanie się: Inżynier społeczny doprowadzi interakcję do naturalnego końca. Wprawny inżynier zrobi to w sposób, który nie wzbudzi u osoby będącej celem żadnych podejrzeń.
Ataki BEC wyróżniają się w branży cyberprzestępstw naciskiem na inżynierię społeczną i technikę oszustw. Skuteczne ataki BEC kosztują organizacje setki milionów dolarów rocznie. W 2022 roku podlegające Federalnemu Biuru Śledczemu (FBI, Federal Bureau of Investigation) centrum skarg ds. przestępstw internetowych (Internet Crime Complaint Center) odnotowało skorygowane straty przekraczające 2,7 mld USD w związku z 21 832 złożonymi skargami dotyczącymi BEC4.
Głównymi celami ataków BEC są przedstawiciele kadry kierowniczej i inni funkcjonariusze wyższego szczebla, kierownicy finansowi oraz pracownicy działów kadr mający dostęp do danych pracowników, takich jak numery ubezpieczenia społecznego, zeznania podatkowe lub inne dane osobowe umożliwiające identyfikację. Celami ataków są także nowi pracownicy, którzy są zwykle mniej skłonni do weryfikowania nieznanych próśb kierowanych do nich pocztą e-mail.
Wzrasta liczba niemal wszystkich form ataków BEC. Do typowych ataków BEC należą:5
- Bezpośrednie naruszenie zabezpieczeń konta e-mail (DEC, Direct Email Compromise): Konta e-mail z naruszonymi zabezpieczeniami są wykorzystywane w taktykach inżynierii społecznej do nakłaniania osób na stanowiskach księgowych, wewnętrznych lub zewnętrznych, do przesłania pieniędzy na konto bankowe atakującego lub zmiany informacji o płatnościach na istniejącym koncie.
- Naruszenie zabezpieczeń poczty e-mail dostawcy (VEC, Vendor Email Compromise): Technika inżynierii społecznej polegająca na wykorzystaniu istniejącej relacji z dostawcą przez przejęcie wiadomości e-mail związanej z płatnościami i podszycie się pod pracowników firmy w celu przekonania dostawcy do przekierowania zaległych płatności na konto bankowe przestępców.
- Oszustwo z użyciem fałszywej faktury: Masowe oszustwo z użyciem inżynierii społecznej polegające na wykorzystaniu marek znanych firm do przekonania firm do opłacenia fałszywych faktur.
- Podszywanie się pod prawników:: Wykorzystywanie zaufanych relacji z dużymi i znanymi kancelariami prawnymi w celu zwiększenia wiarygodności w oczach kadry kierowniczej małych firm oraz start-upów i nakłonienia ich do opłacenia zaległych faktur, szczególnie przed ważnymi wydarzeniami, takimi jak pierwsza oferta publiczna. Po uzgodnieniu warunków płatności następuje przekierowanie płatności na konto bankowe przestępców.
Octo Tempest
Octo Tempest to motywowany finansowo kolektyw źródeł zagrożeń, których językiem rodzimym jest angielski, znanych z przeprowadzania zakrojonych na szeroką skalę kampanii, w których wykorzystują przede wszystkim techniki typu adversary-in-the-middle (AiTM), inżynierię społeczną i zamianę kart SIM.
Octo Tempest to motywowany finansowo kolektyw źródeł zagrożeń, których językiem rodzimym jest angielski, znanych z przeprowadzania zakrojonych na szeroką skalę kampanii, w których wykorzystują przede wszystkim techniki typu adversary-in-the-middle (AiTM), inżynierię społeczną i zamianę kart SIM.
Diamond Sleet
W sierpniu 2023 roku grupa Diamond Sleet zaatakowała łańcuch zaopatrzenia oprogramowania niemieckiego dostawcy oprogramowania JetBrains, wskutek czego naruszono zabezpieczenia serwerów służących do opracowywania, testowania i wdrażania oprogramowania. Ponieważ w przeszłości grupa Diamond Sleet z powodzeniem infiltrowała środowiska tworzenia oprogramowania, w ocenie firmy Microsoft te działania stwarzają szczególnie wysokie ryzyko dla narażonych na ten problem organizacji.
W sierpniu 2023 roku grupa Diamond Sleet zaatakowała łańcuch zaopatrzenia oprogramowania niemieckiego dostawcy oprogramowania JetBrains, wskutek czego naruszono zabezpieczenia serwerów służących do opracowywania, testowania i wdrażania oprogramowania. Ponieważ w przeszłości grupa Diamond Sleet z powodzeniem infiltrowała środowiska tworzenia oprogramowania, w ocenie firmy Microsoft te działania stwarzają szczególnie wysokie ryzyko dla narażonych na ten problem organizacji.
Sangria Tempest6
Grupa Sangria Tempest, znana również jako FIN, słynie z ataków na branżę restauracyjną i kradzieży danych kart płatniczych. Jedna z najskuteczniejszych przynęt tej grupy polega na wysyłaniu oskarżenia o wywołanie zatrucia pokarmowego, którego szczegóły można zobaczyć po otwarciu złośliwego załącznika.
Grupa Sangria Tempest, znana również jako FIN, słynie z ataków na branżę restauracyjną i kradzieży danych kart płatniczych. Jedna z najskuteczniejszych przynęt tej grupy polega na wysyłaniu oskarżenia o wywołanie zatrucia pokarmowego, którego szczegóły można zobaczyć po otwarciu złośliwego załącznika.
Grupa Sangria Tempest, której członkowie pochodzą przede wszystkim z Europy Wschodniej, korzysta z forów przestępczych do rekrutowania osób posługujących się językiem angielskim jako rodzimym, które następnie szkoli w celu kontaktowania się ze sklepami w związku z doręczaniem przynęt w wiadomościach e-mail. W ramach tego procesu grupa ta ukradła dane dziesiątek milionów kart płatniczych.
Midnight Blizzard
Midnight Blizzard to źródło zagrożenia z Rosji, którego głównymi celami są administracje publiczne, placówki dyplomatyczne, organizacje pozarządowe i dostawcy usług informatycznych — przede wszystkim w Stanach Zjednoczonych i Europie.
Midnight Blizzard to źródło zagrożenia z Rosji, którego głównymi celami są administracje publiczne, placówki dyplomatyczne, organizacje pozarządowe i dostawcy usług informatycznych — przede wszystkim w Stanach Zjednoczonych i Europie.
Grupa Midnight Blizzard wykorzystuje wiadomości w usłudze Teams do wysyłania przynęt, które mają umożliwić kradzież poświadczeń atakowanej organizacji przez zaangażowanie użytkownika i wyłudzenie od niego zatwierdzenia monitów uwierzytelniania wieloskładnikowego.
Czy wiesz?
Strategię firmy Microsoft dotyczącą nazewnictwa źródeł zagrożeń zmieniono na nową taksonomię nazewnictwa inspirowaną tematami związanymi z pogodą.
Strategię firmy Microsoft dotyczącą nazewnictwa źródeł zagrożeń zmieniono na nową taksonomię nazewnictwa inspirowaną tematami związanymi z pogodą.
Mimo że ataki z użyciem inżynierii społecznej bywają wyrafinowane, można wiele zrobić, aby im zapobiec7. Inteligentne podejście do dbania o własną prywatność i bezpieczeństwo pozwala pokonać atakujących w ich własnej grze.
Po pierwsze należy poinstruować użytkowników, aby kont osobistych używali tylko do spraw osobistych i aby nie wykorzystywali ich do obsługi służbowych wiadomości e-mail ani zadań związanych z pracą.
Należy również koniecznie wyegzekwować używanie uwierzytelniania wieloskładnikowego. Inżynierowie społeczni zwykle szukają informacji takich jak poświadczenia. Dzięki włączeniu uwierzytelniania wieloskładnikowego nawet jeśli atakujący zdobędzie nazwę użytkownika i hasło, nadal nie będzie mógł uzyskać dostępu do konta ani danych osobowych8.
Nie należy otwierać wiadomości e-mail ani załączników z podejrzanych źródeł. W razie otrzymania od znajomego linku, który należy pilnie kliknąć, należy potwierdzić u tego znajomego, że wiadomość rzeczywiście pochodzi od niego. Przed kliknięciem czegokolwiek należy się wstrzymać i zadać sobie pytanie, czy nadawca jest tym, za kogo się podaje.
Wstrzymaj się i zweryfikuj sytuację
Należy uważać na oferty, które wyglądają na zbyt piękne, aby mogły być prawdziwe. Nie można wygrać na loterii, w której nie brało się udziału, ani żadna zagraniczna rodzina królewska nie zostawia nikomu w spadku dużych sum pieniędzy. Jeśli coś wydaje się być zbyt kuszące, należy przeprowadzić szybkie wyszukiwanie, aby ustalić, czy oferta jest wiarygodna, czy też jest pułapką.
Nie należy udostępniać zbyt wielu informacji w Internecie. Aby oszustwa inżynierów społecznych były skuteczne, muszą oni zdobyć zaufanie celów swoich ataków. Jeśli znajdą nasze dane osobowe w profilach w mediach społecznościowych, mogą je wykorzystać, aby uwiarygodnić swoje oszustwa.
Komputery i urządzenia należy zabezpieczać. Należy używać oprogramowania antywirusowego, zapór i filtrów poczty e-mail. Dzięki temu jeśli zagrożenie przedostanie się do urządzenia, będą na nim mechanizmy ochrony, które pomogą zapewnić bezpieczeństwo informacji.
„Kiedy odbieramy podejrzaną rozmowę telefoniczną lub wiadomość e-mail, kluczem jest to, aby po prostu zwolnić i zweryfikować sprawę. Ludzie popełniają błędy, gdy działają zbyt szybko, dlatego ważne jest, aby przypominać pracownikom, że w tego typu sytuacjach nie muszą reagować natychmiast”.
Jack Mott — Analiza zagrożeń Microsoft
Dowiedz się więcej o tym, jak chronić organizację, oglądając: Ryzyko związane z zaufaniem: zagrożenia związane z inżynierią społeczną i cyberobrona.
- [2]
Zawartość w tej sekcji pochodzi z https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, około 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Uwaga: zawartość pochodzi z: https://go.microsoft.com/fwlink/?linkid=2263229