Trace Id is missing

Zneužití principu důvěry: podvody sociálního inženýrství

Kódovaná silueta osoby, která v ruce drží masku a vystupuje z telefonu. Následují ji červené bubliny, které představují aktéry hrozeb.

Ve světě, který se čím dál víc přesouvá do online prostoru, představuje důvěra nejen platidlo, ale i zranitelnost. Aktéři hrozeb se neštítí manipulovat s lidskou povahou a zneužívají tendence mnohých lidí chtít být nápomocní. V této infografice se zblízka podíváme na sociální inženýrství. Zaměříme se na důvody, proč se aktéři hrozeb soustředí zejména na profesní identity, a projdeme si některé z postupů, které používají ke zmanipulování lidské povahy a dosažení svých cílů.

Sociální inženýrství a phishing jakožto lákavý trestný čin

Přibližně 90 %1 phishingových útoků zahrnuje některou z taktik sociálního inženýrství, které mají za cíl oběti zmanipulovat, obvykle přes e-mail, a přinutit je sdělit citlivé informace, kliknout na škodlivé odkazy nebo otevřít škodlivé soubory. Phishingové útoky jsou pro útočníky cenově výhodné, dají se přizpůsobit tak, aby obešly preventivní opatření, a mají vysoké procento úspěšnosti.

Páky lidského chování

Techniky sociálního inženýrství se spoléhají na um útočníka přesvědčit svým sebevědomým vystupováním cíl k něčemu, co by jinak běžně neudělal. Třemi efektivními pákami jsou naléhavost, city a návyky.2 Naléhavost  Nikdo si nechce nechat utéct časově omezenou nabídku nebo propásnout důležitou uzávěrku. Dojem naléhavosti může i jinak racionální cíle přesvědčit ke sdělení osobních údajů.
Příklad: Falešný dojem naléhavosti
Žádost o elektronický podpis: Dokument k podpisu přes DocuSign. Důležitá zpráva.
„Poznávací známkou phishingového e-mailu je uvedení jistého časového rámce. Chtějí vás přinutit k akci v co nejkratším čase.“
Jack Mott – Analýza hrozeb Microsoft

City

Citová manipulace může kybernetickým útočníkům poskytnout další páku, protože lidé spíše zariskují v emočně vypjatých situacích, zvlášť pokud v nich roli hraje strach, vina nebo hněv.

 

Příklad: Citová manipulace

„Nejefektivnější návnada, jakou jsem kdy viděl, byl kraťoučký e-mail s oznámením, že váš partner zažádal o přípravu podkladů k rozvodu. Kliknutím na odkaz si stáhnete kopii.“
Sherrod DeGrippo – Analýza hrozeb Microsoft

Návyky

Zločinci lidské chování vždy bedlivě pozorují a zvlášť dobrý pozor pak dávají na běžné návyky a rutiny, které lidé vykonávají bezmyšlenkovitě, tak nějak na „autopilota“.

 

Příklad: Běžné návyky

U techniky zvané „quishing“3 se podvodníci vydávají za důvěryhodnou společnost, která vás v e-mailu žádá o naskenování kódu QR . Můžou vám třeba sdělit, že je potřeba kód naskenovat, protože nedorazila platba za fakturu, nebo je potřeba resetovat heslo.

„Aktéři hrozeb se dokáží adaptovat na firemní dynamiku. Velmi dobře umí nastražit návnadu, která v daném kontextu dává jednoznačně smysl.“
Jack Mott – Analýza hrozeb Microsoft

Hranice mezi zaměstnaneckými a osobními profily se někdy překrývá. Zaměstnanec může například použít svůj pracovní e-mail k vytvoření osobního účtu, který chce využívat i pracovně. Aktéři hrozeb se toho občas pokoušejí zneužít tím, že se vydávají za některý z těchto programů ve snaze získat přístup k firemním informacím zaměstnance.

Diagram znázorňuje: věrnostní programy, sociální sítě, doručovatele, spolujízdu, bankovnictví/investice, streamování. Tento diagram znázorňuje příklady toho, jak se aktéři hrozeb můžou pokusit získat přístup k firemním informacím zaměstnance
„U phishingových podvodů se kyberzločinci zaměřují zejména na firemní e-mailové adresy. Osobní pošta je pro ně ztráta času. Pracovní adresy mají větší hodnotu, takže budou věnovat víc času a prostředků přizpůsobení svých návnad a útoků pro tyto typy účtů.“
Jack Mott – Analýza hrozeb Microsoft

Dlouhý podvod

Útoky sociálního inženýrství obvykle neprobíhají rychle. Sociální inženýři si u svých obětí postupně budují důvěru, za čímž stojí náročné techniky a spousta práce, která začíná průzkumem. Takový cyklus manipulace může probíhat třeba následovně:
  • Prověřování: Sociální inženýři vyberou potenciální cíl a začnou shromažďovat doplňkové informace, jako jsou třeba možné vstupní body nebo protokoly zabezpečení.
  • Infiltrace: Sociální inženýři pracují na získání důvěry svého cíle. Vymyslí si příběh, něčím zaujmou a nadále interakci směřují k vyústění, o které jim jde.
  • Vykořisťování: Sociální inženýři sbírají informace v průběhu času. Běžně se stává, že jim jejich cíl tyto informace předá dobrovolně, čehož můžou zneužít a pokusit se z něj vylákat ještě citlivější informace.
  • Stažení se: Sociální inženýr interakci přirozeně ukončí. Pokud je zkušený, dokáže to zaonačit tak, že cíl nepojme žádné podezření

Útoky BEC se v odvětví kybernetických trestných činů odlišují důrazem na sociální inženýrství a umění svoji oběť obelstít. Úspěšné útoky BEC stojí organizace stovky milionů dolarů ročně. V roce 2022 zaznamenala divize FBI na potírání internetových zločinů (IC3) souhrnnou ztrátu ve výši 2,7 miliardy dolarů na 21 832 zaznamenaných hlášení o útocích BEC.4

Nejčastějším cílem útoků BEC jsou výkonní manažeři a další vedoucí pracovníci, finanční manažeři a pracovníci lidských zdrojů, kteří mají přístup k záznamům o zaměstnancích, jako jsou čísla sociálního pojištění, daňové výkazy nebo jiné osobní údaje. Zaměřují se také na nové zaměstnance, u kterých může být méně pravděpodobné, že budou ověřovat neznámé e-mailové žádosti.

Roste počet téměř všech forem útoků BEC. Mezi běžné útoky BEC patří:5

  • Přímá kompromitace pošty (DEC): Kompromitované e-mailové účty se pomocí sociálního inženýrství použijí k vytvoření firemních nebo nezávislých účetních rolí, které pak převedou prostředky na bankovní účet útočníka, nebo změní platební údaje u již existujícího účtu.
  • Kompromitace pošty dodavatele (VEC): Jedná se o sociální inženýrství aplikované na již existující vztah s dodavatelem, kdy útočníci získají e-mail související s platbou a vydáváním se za zaměstnance firmy dodavatele přesvědčí, aby dotčenou platbu přesměroval na nepovolaný bankovní účet.
  • Podvod s falešnou fakturou: Masový podvod formou sociálního inženýrství, při kterém podvodníci zneužívají jméno zavedené značky, aby přinutily firmy uhradit falešné faktury.
  • Zosobnění právního zástupce: Jedná se o zneužití důvěryhodného vztahu s velkou, dobře zavedenou právní firmou, aby podvodníci působili důvěryhodněji před výkonnými manažery menších firem a start-upů a přinutili je tak zaplatit domnělé neuhrazené faktury, zvláště pak před významnými událostmi, jako je první veřejná aukce. Jakmile se dohodnou na detailech platby, platba je přesměrována na nepovolaný bankovní účet.
Octo Tempest
Octo Tempest je anglicky mluvicí skupina aktérů hrozeb zaměřených na finanční sektor, o kterých se ví, že stojí za rozsáhlými kampaněmi, ve kterých se uplatňují techniky adversary-in-the-middle (AiTM), sociální inženýrství a schopnost klonovat SIM karty.
Scénář s phishingem: Uživatel zadá heslo, MFA, přesměrování; zapojení škodlivého proxy
Diamond Sleet
V srpnu 2023 skupina Diamond Sleet napadla dodavatelský řetězec německého poskytovatele softwaru, JetBrains, čímž kompromitovali servery pro sestavování, testování a nasazování softwaru. Jelikož Diamond Sleet už v minulosti dokázali úspěšně infiltrovat prostředí pro buildy, Microsoft hodnotí jejich činnost jako vysoce rizikovou pro zasažené organizace.
Sangria Tempest6
Sangria Tempest, známá též jako FIN, je skupina zaměřená na pohostinství a odcizení údajů o platebních kartách. Jednou z nejefektivnějších návnad je stížnost na otravu jídlem, jejíž podrobnosti lze zobrazit otevřením škodlivé přílohy.

Sangria Tempest, původem primárně z východní Evropy, v minulosti používala undergroundová fóra k nabírání anglických mluvčí, které následně školila v postupech, jak podpořit doručení e-mailové návnady prostřednictvím hovorů. Skupina tímto postupem odcizila miliony údajů o platebních kartách.

Midnight Blizzard
Midnight Blizzard je ruská skupina aktérů hrozeb, která se primárně zaměřuje na vlády, diplomaty, nevládní organizace a poskytovatele IT služeb ve Spojených státech a Evropě.

Midnight Blizzard rozesílá návnady formou zpráv z Teams a pokouší se dotčeným organizacím odcizit přihlašovací údaje tím, že vybraného uživatele nechá potvrdit podvrženou výzvu k vícefaktorovému ověření (MFA).

Věděli jste to?
Microsoft přešel na novou taxonomii pro pojmenovávání aktérů hrozeb a založil ji na tematice počasí.
Seznam přírodních a kybernetických hrozeb

Přestože můžou být útoky formou sociální inženýrství velice sofistikované, lze se jim aktivně bránit.7 Když budete k zabezpečení a ochraně svých osobních údajů přistupovat chytře, s útočníky zatočíte raz dva.

Jako první svým uživatelům řekněte, ať své osobní účty používají pouze k osobním účelům a nepoužívají je v souvislosti s pracovní poštou a pracovní náplní.

Také trvejte na využívání MFA. Sociální inženýři se obvykle shání po informacích, jako jsou přihlašovací údaje. Když budete mít povolené MFA a útočník získá vaše jméno a heslo, stejně se k vašim účtům a osobním údajům nedostane.8

Neotvírejte e-maily a přílohy podezřelého původu. Pokud vám známý pošle odkaz, na který musíte okamžitě kliknout, ověřte si u něj, že zprávu opravdu odeslal on. Než na cokoli kliknete, zastavte se a zamyslete se, jestli je odesílatel opravdu tím, za koho se vydává.

Zastavte se a ověřujte

Dejte pozor na nabídky, které jsou až příliš dobré na to, aby byly pravda. Nemůžete vyhrát soutěž, které jste se nezúčastnili, a žádná šlechta ze zahraničí vám neodkáže obří sumu peněz. Pokud vás to i tak láká, nezapomeňte si alespoň v rychlosti vyhledat, jestli je nabídka pravdivá, nebo zda se jedná o past.

Nesdílejte toho na internetu až moc. Aby podvody fungovaly, sociální inženýři musí na svoje cíle působit důvěryhodně. Pokud dokážou z vašich profilů na sociálních sítích zjistit vaše osobní údaje, můžou je použít k vytvoření přesvědčivějších podvodů.

Zabezpečte své počítače a zařízení. Používejte antivirový program, firewall a filtrování pošty. Pokud se na vaše zařízení nějaká hrozba i tak dostane, budete mít zavedenou ochranu, která vaše data udrží v bezpečí.

„Když dostanete pochybný e-mail nebo hovor, zásadní je přibrzdit a vše si ověřit. Když lidé jednají zbrkle, tak často chybují, takže je důležité svým zaměstnancům připomenout, že v obdobných situacích nemusejí jednat okamžitě.“
Jack Mott – Analýza hrozeb Microsoft

Další informace o tom, jak můžete pomoct chránit svohu organizaci, se dozvíte ve videu Riziko důvěry: Hrozby sociální inženýrství a kybernetická ochrana.

Související články

Rady odborníků k třem nejpalčivějším problémům kybernetické bezpečnosti

Justin Turner, hlavní manažer skupiny Microsoft Security Research, popisuje tři trvalé problémy, se kterými se během své kariéry v oblasti kybernetické bezpečnosti setkal: správa konfigurace, vydávání oprav a viditelnost zařízení

Fenomén kybernetických trestných činů jako služby (CaaS) je příčinou 38% nárůstu podvodů s firemními e-maily

Ohrožení zabezpečení firemních e-mailů (BEC) je nyní na vzestupu, protože kyberzločinci mohou maskovat zdroj útoků a být tak ještě zákeřnější. Další informace o CaaS a o tom, jak můžete pomoct ochránit vaši organizaci

Microsoft, Amazon a mezinárodní orgány činné v trestním řízení se spojily v boji proti podvodům spojených s technickou podporou

Podívejte se, jak Microsoft a Amazon vůbec poprvé spojily své síly, aby zlikvidovaly nelegální call centra technické podpory v Indii.