У світі, який стає все більш залежним від Інтернету, де довіра є одночасно валютою та вразливістю, джерела загрози прагнуть маніпулювати поведінкою людей і користатися їхньою готовністю допомогти. У цій інфографіці ми розглянемо соціотехніку, зокрема пояснюючи, чому джерела загрози цінують професійні ідентичності понад усе, а також розповімо про деякі методи, за допомогою яких вони маніпулюють людською природою, щоб досягти своїх цілей.
Наживання на довірі: шахрайство з використанням соціотехніки
Соціотехніка та кримінальна привабливість фішингу
Приблизно 90%1 фішингових атак включають тактику соціотехніки, щоб змусити жертву (зазвичай електронною поштою) розкрити делікатну інформацію, натиснути зловмисне посилання або відкрити зловмисні файли. Фішингові атаки економічно вигідні для зловмисників, їх можна налаштувати, щоб уникнути запобіжних механізмів, і вони дуже ефективні.
Важелі людської поведінки
Емоції
Маніпулювання емоціями може дати кіберзловмисникам перевагу, оскільки люди, яких долають емоції, більш схильні до ризикованих дій, зокрема коли це стосується страху, провини або гніву.
Приклад. Маніпулювання емоціями
Звичка
Зловмисники уважно спостерігають за поведінкою та звертають особливу увагу на ті звички та розпорядок, які люди виконують "автоматично", не замислюючись.
Приклад. Загальна звичка
У техніці, яка називається "квішинг3", шахраї видають себе за надійну компанію та просять відсканувати QR-код в отриманому електронному листі. Наприклад, вони можуть стверджувати, що користувачеві потрібно відсканувати код, оскільки його платіж за рахунком не оброблено, або що йому потрібно скинути пароль.
Іноді межа між особистою та професійною ідентичністю працівника стає розмитою. Працівник може використовувати свою робочу електронну пошту для особистих облікових записів, які він застосовує для роботи. Джерела загрози іноді намагаються скористатися цим, видаючи себе за одну з цих програм, щоб отримати доступ до корпоративної інформації працівника.
довга афера
- Розслідування Інженери визначають ціль і збирають довідкову інформацію, як-от потенційні точки входу або протоколи безпеки.
- Проникнення Інженери зосереджуються на завоювання довіри цілі. Вони вигадують історію, захоплюють ціль і контролюють взаємодію, щоб спрямувати її так, щоб це було їм вигідно.
- Експлойт З часом соціальні інженери отримують інформацію про ціль. Зазвичай ціль надає цю інформацію добровільно, й інженери можуть використовувати її, щоб отримати доступ до ще більш конфіденційної інформації.
- Відступ Соціальні інженери доведуть взаємодію до природного кінця. Кваліфікований інженер зробить це таким чином, щоб не викликати жодних підозр у цілі.
Особливістю атак із порушенням безпеки корпоративної електронної пошти, яка вирізняє їх із-поміж інших кіберзлочинів, є акцент на соціотехніку й мистецтво введення в оману. Збитки, понесені організаціями внаслідок вдалих атак, становлять сотні мільйонів доларів на рік. У 2022 році Центр скарг на злочини в Інтернеті Федерального бюро розслідувань повідомив про скориговані збитки на понад 2,7 мільярда доларів США (USD), пов’язані з 21 832 поданими скаргами щодо порушення безпеки корпоративної електронної пошти.4
Основними цілями таких атак є керівники, фінансові менеджери й персонал відділу кадрів, які мають доступ до записів працівників, як-от ідентифікаційних номерів, податкових декларацій та інших персональних даних. Нові співробітники також є цілями, оскільки вони з меншою ймовірністю перевірятимуть незвичні електронні листи із запитами.
Кіберзловмисники активно використовують майже всі форми атак із порушенням безпеки корпоративної електронної пошти. Нижче наведено поширені типи атак із порушенням безпеки корпоративної електронної пошти5.
- Пряме порушення безпеки корпоративної електронної пошти. Уражені облікові записи електронної пошти використовуються в тактиці соціотехніки, щоб обманом змусити людей, які виконують бухгалтерські функції, внутрішні або зовнішні, надіслати гроші на банківський рахунок зловмисника або змінити платіжну інформацію в обліковому записі.
- Порушення безпеки електронної пошти постачальника. Соціотехніка, яка використовує наявний зв’язок із постачальником через викрадення електронної пошти, пов’язаної з платежами, і видавання себе за працівників компанії, щоб переконати постачальника переспрямувати непогашені платежі на банківський рахунок зловмисників.
- Підроблення рахунків. Масове шахрайство із соціотехнікою, пов’язане з використанням брендів відомих компаній, щоб переконати компанії сплачувати фальшиві рахунки.
- Видавання себе за адвокатів. Використання надійних зв’язків із великими та відомими юридичними фірмами, щоб підвищити довіру керівників малого бізнесу та стартапів і переконати їх сплатити непогашені рахунки, зокрема перед великими подіями, такими як первинна публічна пропозиція. Після узгодження умов оплати платіж переспрямовується на банківський рахунок зловмисників.
Octo Tempest – це фінансово вмотивований колектив англомовних джерел загрози, відомий проведенням широкомасштабних кампаній, які в основному використовують методи супротивника посередині (AiTM), соціотехніку та можливості заміни SIM-карт.
У серпні 2023 року зловмисник Diamond Sleet атакував мережу постачання програмного забезпечення німецького постачальника JetBrains, уразивши сервери, які використовувалися для розробки, тестування та розгортання програмного забезпечення. Оскільки Diamond Sleet успішно проникали в середовища розробки, корпорація Майкрософт вважає, що ця діяльність становить особливо високий ризик для вразливих організацій.
Джерело загрози Sangria Tempest, також відомий як FIN, славиться атаками на ресторанну індустрію та крадіжкою даних платіжних карток. Однією з найефективніших приманок цього джерела загрози є надсилання звинувачень у харчовому отруєнні, деталі якого можна побачити, відкривши зловмисне вкладення.
Група Sangria Tempest, учасники якої переважно є зі Східної Європи, використовує нелегальні форуми, щоб вербувати носіїв англійської мови, яких потім навчає зв’язуватися з магазинами для доставки електронних листів-приманок. У процесі група викрала десятки мільйонів даних платіжних карток.
Midnight Blizzard – це російське джерело загрози, головними цілями якого є державні адміністрації, дипломатичні представництва, неурядові організації та постачальники ІТ-послуг, насамперед у США та Європі.
Midnight Blizzard використовує повідомлення Teams, щоб надсилати приманки, призначені для викрадення облікових даних цільової організації, залучаючи користувача та обманом змушуючи його виконати запити багатофакторної автентифікації.
Стратегію імен джерел загрози корпорації Майкрософт змінили на нову таксономію імен, натхненну темами, пов’язаними з погодою.
Хоча атаки з використанням соціотехніки можуть бути складними, є заходи, щоб запобігти їм.7 Розумний підхід до конфіденційності та безпеки дає змогу перемогти зловмисників у їхній грі.
По-перше, попросіть користувачів використовувати особисті облікові записи лише для особистих справ, а не для робочих електронних листів або завдань, пов’язаних із роботою.
Також важливо забезпечити використання багатофакторної автентифікації. Соціальні інженери зазвичай шукають таку інформацію, як облікові дані. Увімкнувши багатофакторну автентифікацію, навіть якщо зловмисник отримає ваше ім’я користувача та пароль, він усе одно не зможе отримати доступ до облікових записів і персональних даних.8
Не відкривайте електронні листи та вкладення від підозрілих джерел. Якщо ви отримали посилання від друга, яке вам потрібно терміново натиснути, переконайтеся в цього друга, що повідомлення дійсно від нього. Зупиніться й запитайте себе, чи відправник справді той, за кого себе видає, перш ніж натискати щось.
Будьте обережні з пропозиціями, які здаються занадто гарними, щоб бути правдою. Ви не можете виграти в лотерею, у якій не брали участі, і жодна іноземна королівська родина не залишає нікому великі суми грошей. Якщо щось здається надто спокусливим, проведіть швидкий пошук, щоб визначити, чи є пропозиція законною, чи це пастка.
Не варто ділитися надто великою кількістю інформації в Інтернеті. Щоб обман соціальних інженерів був ефективним, вони повинні завоювати довіру цілей своїх атак. Якщо вони знайдуть вашу особисту інформацію в профілях соцмереж, то можуть використати її, щоб додати довіри своїм шахрайствам.
Захистіть свої комп’ютери та пристрої. Використовуйте антивірусні програми, брандмауери та фільтри електронної пошти. Це гарантує, що якщо загроза потрапить на ваш пристрій, у вас будуть механізми захисту, які допоможуть захистити інформацію.
Дізнайтеся більше про те, як захистити свою організацію, переглянувши статтю Ризик довіри: загрози соціотехніки та захист від кіберзагроз.
- [2]
Вміст цього розділу взято з цього джерела: https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Примітка. Вміст взято з цього джерела: https://go.microsoft.com/fwlink/?linkid=2263229