Σε έναν ολοένα και πιο διαδικτυακό κόσμο, όπου η εμπιστοσύνη είναι ταυτόχρονα νόμισμα και ευπάθεια, οι παράγοντες απειλής επιδιώκουν να χειραγωγήσουν την ανθρώπινη συμπεριφορά και να εκμεταλλευτούν την τάση των ανθρώπων να θέλουν να είναι χρήσιμοι. Σε αυτό το πληροφοριακό διάγραμμα, θα εξερευνήσουμε την κοινωνική μηχανική, συμπεριλαμβανομένου του γιατί οι παράγοντες απειλής εκτιμούν τις επαγγελματικές ταυτότητες πάνω από όλα, ενώ σας καθοδηγούμε σε μερικούς από τους τρόπους με τους οποίους χειραγωγούν την ανθρώπινη φύση για να επιτύχουν τους στόχους τους.
Τροφοδοσία από την οικονομία εμπιστοσύνης: απάτη κοινωνικής μηχανικής
Η κοινωνική μηχανική και η εγκληματική γοητεία του ηλεκτρονικού "ψαρέματος"
Περίπου το 901 τοις εκατό των επιθέσεων ηλεκτρονικού "ψαρέματος" περιλαμβάνουν τακτικές κοινωνικής μηχανικής που έχουν σχεδιαστεί για να χειραγωγούν τα θύματα —συνήθως μέσω email— ώστε να αποκαλύπτουν ευαίσθητες πληροφορίες, να κάνουν κλικ σε κακόβουλους συνδέσμους ή να ανοίγουν κακόβουλα αρχεία. Οι επιθέσεις ηλεκτρονικού "ψαρέματος" είναι οικονομικά αποδοτικές για τους εισβολείς, προσαρμόσιμες για να βοηθήσουν στην αποφυγή μέτρων πρόληψης και έχουν υψηλά ποσοστά επιτυχίας.
Οι μοχλοί της ανθρώπινης συμπεριφοράς
Οι τεχνικές κοινωνικής μηχανικής τείνουν να εξαρτώνται από τη χρήση εμπιστοσύνης και πειθούς από τον εισβολέα για να πείσουν τους στόχους τους να προβούν σε ενέργειες που διαφορετικά θα ήταν αντίθετες με τον χαρακτήρα τους. Τρεις αποτελεσματικοί μοχλοί είναι ο βαθμός επείγοντος, το συναίσθημα και η συνήθεια.2 Βαθμός επείγοντος Κανείς δεν θέλει να χάσει μια χρονικά ευαίσθητη ευκαιρία ή να αποτύχει να τηρήσει μια σημαντική προθεσμία. Η αίσθηση του επείγοντος συχνά μπορεί να ξεγελάσει κατά τα άλλα ορθολογικούς στόχους για να παραδώσουν προσωπικές πληροφορίες.
Παράδειγμα: Ψευδής επείγουσα ανάγκη
"Το χαρακτηριστικό ενός email ηλεκτρονικού "ψαρέματος" είναι η επισύναψη κάποιου τύπου χρονικού πλαισίου. Θέλουν να σας ωθήσουν να πάρετε μια απόφαση σε σύντομο χρονικό διάστημα".
Jack Mott – Πληροφορίες της Microsoft σχετικά με απειλές
Συναίσθημα
Η συναισθηματική χειραγώγηση μπορεί να δώσει στους εισβολείς στον κυβερνοχώρο το πάνω χέρι, καθώς οι άνθρωποι είναι πιο πιθανό να προβούν σε επικίνδυνες ενέργειες όταν βρίσκονται σε αυξημένη συναισθηματική κατάσταση, ειδικά εάν εμπλέκονται φόβος, ενοχές ή θυμός.
Παράδειγμα: Συναισθηματική χειραγώγηση
"Το πιο αποτελεσματικό δέλεαρ που έχω δει ποτέ ήταν ένα πολύ σύντομο email που έλεγε ότι έχουμε συνάψει σύμβαση από τον σύζυγό σας για να ετοιμάσουμε τα έγγραφα διαζυγίου σας. Κάντε κλικ στον σύνδεσμο για λήψη του αντιγράφου σας."
Sherrod DeGrippo – Πληροφορίες της Microsoft σχετικά με απειλές
Συνήθεια
Οι εγκληματίες παρατηρούν έντονα τη συμπεριφορά και δίνουν ιδιαίτερη προσοχή στα είδη των συνηθειών και των ρουτινών που χρησιμοποιούν οι άνθρωποι «στον αυτόματο πιλότο», χωρίς πολλή επιπλέον σκέψη.
Παράδειγμα: Κοινή συνήθεια
Σε μια τεχνική γνωστή ως "quishing3," οι απατεώνες θα παρουσιάζονται ως μια αξιόπιστη εταιρεία και θα σας ζητούν να σαρώσετε έναν κωδικό QR στο email τους. Για παράδειγμα, μπορεί να πουν ότι πρέπει να σαρώσετε τον κωδικό επειδή δεν ολοκληρώθηκε η πληρωμή σας από ένα τιμολόγιο ή ότι πρέπει να επαναφέρετε τον κωδικό πρόσβασής σας.
"Οι παράγοντες απειλής προσαρμόζονται στους ρυθμούς της επιχείρησης. Είναι εξαιρετικοί στο να αναπτύσσουν θέλγητρα που έχουν νόημα στο πλαίσιο που τα λαμβάνουμε συνήθως".
Jack Mott – Πληροφορίες της Microsoft σχετικά με απειλές
Το όριο μεταξύ της προσωπικής και επαγγελματικής προσωπικότητας ενός εργαζομένου μπορεί μερικές φορές να συγκλίνουν. Ένας υπάλληλος μπορεί να χρησιμοποιήσει το email εργασίας του για προσωπικούς λογαριασμούς που χρησιμοποιεί για εργασία. Οι παράγοντες απειλής προσπαθούν μερικές φορές να επωφεληθούν από αυτό προσεγγίζοντας με την εμφάνιση ενός από αυτά τα προγράμματα, ώστε να αποκτήσουν πρόσβαση στις εταιρικές πληροφορίες ενός υπαλλήλου.
"Στις απάτες ηλεκτρονικού "ψαρέματος" μέσω email, οι εγκληματίες του κυβερνοχώρου ελέγχουν τα "θέλγητρά" τους για εταιρικές διευθύνσεις ηλεκτρονικού ταχυδρομείου. Οι προσωπικές διευθύνσεις webmail δεν αξίζουν τον χρόνο τους. Οι διευθύνσεις εργασίας είναι πιο πολύτιμες, επομένως θα διαθέσουν περισσότερους πόρους και θα επικεντρωθούν πρακτικά στην προσαρμογή των επιθέσεων για αυτούς τους λογαριασμούς".
Jack Mott – Πληροφορίες της Microsoft σχετικά με απειλές
Το "long con"
Οι επιθέσεις κοινωνικής μηχανικής γενικά δεν είναι γρήγορες. Οι κοινωνικοί μηχανικοί τείνουν να δημιουργούν εμπιστοσύνη στα θύματά τους με την πάροδο του χρόνου χρησιμοποιώντας τεχνικές έντασης εργασίας που ξεκινούν με την έρευνα. Ο κύκλος για αυτόν τον τύπο χειραγώγησης μπορεί να έχει ως εξής:
- Διερεύνηση: Οι μηχανικοί προσδιορίζουν έναν στόχο και συλλέγουν βασικές πληροφορίες, όπως πιθανά σημεία εισόδου ή πρωτόκολλα ασφαλείας.
- Διείσδυση: Οι μηχανικοί εστιάζουν στην εδραίωση εμπιστοσύνης στον στόχο. Εφευρίσκουν μια ιστορία, πείθουν τον στόχο και παίρνουν τον έλεγχο της αλληλεπίδρασης για να την κατευθύνουν με τρόπο που ωφελεί τον μηχανικό.
- Εκμετάλλευση ευπάθειας: Οι κοινωνικοί μηχανικοί λαμβάνουν τις πληροφορίες του στόχου με την πάροδο του χρόνου. Συνήθως, ο στόχος παραδίδει αυτές τις πληροφορίες πρόθυμα και οι μηχανικοί μπορούν να το χρησιμοποιήσουν προς όφελός τους για να αποκτήσουν πρόσβαση σε ακόμη πιο εμπιστευτικές πληροφορίες.
- Αποδέσμευση: Ο κοινωνικός μηχανικός θα φέρει την αλληλεπίδραση σε ένα φυσικό τέλος. Ένας εξειδικευμένος μηχανικός θα το κάνει αυτό χωρίς να κάνει τον στόχο να νιώσει καθόλου καχύποπτος
Οι επιθέσεις BEC ξεχωρίζουν στη βιομηχανία του κυβερνοεγκλήματος για την έμφαση που δίνουν στην κοινωνική μηχανική και την τέχνη της παραπλάνησης. Οι επιτυχείς επιθέσεις BEC κοστίζουν στους οργανισμούς εκατοντάδες εκατομμύρια δολάρια ετησίως. Το 2022, το Κέντρο Παραπόνων Διαδικτυακού Εγκλήματος του Ομοσπονδιακού Γραφείου Ερευνών (FBI) κατέγραψε προσαρμοσμένες ζημίες άνω των 2,7 δισεκατομμυρίων δολαρίων ΗΠΑ για 21.832 καταγγελίες BEC που υποβλήθηκαν.4
Κορυφαίοι στόχοι για BEC είναι στελέχη και άλλα ανώτερα στελέχη, διευθυντές οικονομικών, προσωπικό ανθρώπινου δυναμικού με πρόσβαση σε αρχεία εργαζομένων, όπως αριθμούς κοινωνικής ασφάλισης, φορολογικές δηλώσεις ή άλλες προσωπικές πληροφορίες ταυτοποίησης. Στοχεύονται επίσης νέοι υπάλληλοι που ίσως είναι λιγότερο πιθανό να επαληθεύσουν άγνωστα αιτήματα email.
Σχεδόν όλες οι μορφές επιθέσεων BEC αυξάνονται. Στους συνήθεις τύπους επιθέσεων BEC περιλαμβάνονται οι εξής:5
- Απευθείας παραβίαση email (DEC): Οι παραβιασμένοι λογαριασμοί email χρησιμοποιούνται για την κοινωνική μηχανική λογιστικών ρόλων εσωτερικού ή τρίτου μέρους για τη μεταφορά χρημάτων στον τραπεζικό λογαριασμό του εισβολέα ή την αλλαγή στοιχείων πληρωμής για έναν υπάρχοντα λογαριασμό.
- Παραβίαση email προμηθευτή (VEC): Κοινωνική μηχανική μιας υπάρχουσας σχέσης προμηθευτή με την πειρατεία ενός email που σχετίζεται με πληρωμές και την πλαστοπροσωπία των υπαλλήλων της εταιρείας για να πείσει έναν προμηθευτή να ανακατευθύνει την εκκρεμή πληρωμή σε έναν παράνομο τραπεζικό λογαριασμό.
- Απάτη ψεύτικου τιμολογίου: Μαζική απάτη κοινωνικής μηχανικής που εκμεταλλεύεται γνωστά εμπορικά σήματα για να πείσει τις εταιρείες να πληρώσουν πλαστά τιμολόγια.
- Απομίμηση δικηγόρου: Η εκμετάλλευση των σχέσεων εμπιστοσύνης με μεγάλες, γνωστές δικηγορικές εταιρείες για την αύξηση της αξιοπιστίας με στελέχη μικρών εταιρειών και νεοσύστατων επιχειρήσεων για την ολοκλήρωση της πληρωμής των εκκρεμών τιμολογίων, ιδιαίτερα πριν από σημαντικά γεγονότα όπως οι αρχικές δημόσιες προσφορές. Η ανακατεύθυνση πληρωμών σε έναν παράνομο τραπεζικό λογαριασμό πραγματοποιείται μόλις επιτευχθεί συμφωνία σχετικά με τους όρους πληρωμών.
Octo Tempest
Το Octo Tempest είναι μια ομάδα με οικονομικά κίνητρα ντόπιων αγγλόφωνων παραγόντων απειλής, γνωστών για την κυκλοφορία εκστρατειών ευρείας εμβέλειας, οι οποίοι διαθέτουν εμφανώς τεχνικές adversary-in-the-middle (AiTM), κοινωνική μηχανική και δυνατότητες ανταλλαγής SIM.
Το Octo Tempest είναι μια ομάδα με οικονομικά κίνητρα ντόπιων αγγλόφωνων παραγόντων απειλής, γνωστών για την κυκλοφορία εκστρατειών ευρείας εμβέλειας, οι οποίοι διαθέτουν εμφανώς τεχνικές adversary-in-the-middle (AiTM), κοινωνική μηχανική και δυνατότητες ανταλλαγής SIM.
Diamond Sleet
Τον Αύγουστο του 2023, το Diamond Sleet πραγματοποίησε παραβίαση της αλυσίδας εφοδιασμού λογισμικού της γερμανικής εταιρείας παροχής λογισμικού JetBrains, η οποία έθεσε σε κίνδυνο διακομιστές για διαδικασίες κατασκευής, δοκιμών και ανάπτυξης λογισμικού. Επειδή το Diamond Sleet έχει διεισδύσει επιτυχώς σε περιβάλλοντα κατασκευής στο παρελθόν, η Microsoft εκτιμά ότι αυτή η δραστηριότητα ενέχει ιδιαίτερα υψηλό κίνδυνο για τους οργανισμούς που επηρεάζονται.
Τον Αύγουστο του 2023, το Diamond Sleet πραγματοποίησε παραβίαση της αλυσίδας εφοδιασμού λογισμικού της γερμανικής εταιρείας παροχής λογισμικού JetBrains, η οποία έθεσε σε κίνδυνο διακομιστές για διαδικασίες κατασκευής, δοκιμών και ανάπτυξης λογισμικού. Επειδή το Diamond Sleet έχει διεισδύσει επιτυχώς σε περιβάλλοντα κατασκευής στο παρελθόν, η Microsoft εκτιμά ότι αυτή η δραστηριότητα ενέχει ιδιαίτερα υψηλό κίνδυνο για τους οργανισμούς που επηρεάζονται.
Sangria Tempest6
Το Sangria Tempest, αλλιώς FIN, είναι γνωστό για τη στόχευση της βιομηχανίας εστιατορίων, κλέβοντας δεδομένα καρτών πληρωμής. Ένα από τα πιο αποτελεσματικά θέλγητρά τους περιλαμβάνει μια κατηγορία για τροφική δηλητηρίαση, οι λεπτομέρειες της οποίας μπορούν να προβληθούν με το άνοιγμα ενός κακόβουλου συνημμένου.
Το Sangria Tempest, αλλιώς FIN, είναι γνωστό για τη στόχευση της βιομηχανίας εστιατορίων, κλέβοντας δεδομένα καρτών πληρωμής. Ένα από τα πιο αποτελεσματικά θέλγητρά τους περιλαμβάνει μια κατηγορία για τροφική δηλητηρίαση, οι λεπτομέρειες της οποίας μπορούν να προβληθούν με το άνοιγμα ενός κακόβουλου συνημμένου.
Το Sangria Tempest, το οποίο κατά κύριο λόγο προέρχεται από την Ανατολική Ευρώπη, έχει χρησιμοποιήσει υπόγεια φόρουμ για να στρατολογήσει ντόπιους ομιλητές της αγγλικής γλώσσας, οι οποίοι είναι εκπαιδευμένοι στο πώς να καλούν καταστήματα στην παράδοση του θέλγητρου email. Η ομάδα έχει κλέψει δεκάδες εκατομμύρια δεδομένα καρτών πληρωμής μέσω αυτής της διαδικασίας.
Midnight Blizzard
Το Midnight Blizzard είναι ένας παράγοντας απειλής με έδρα τη Ρωσία, γνωστός επειδή στοχεύει κυρίως κυβερνήσεις, διπλωματικές οντότητες, μη κυβερνητικούς οργανισμούς (ΜΚΟ) και παρόχους υπηρεσιών πληροφορικής κυρίως στις ΗΠΑ και την Ευρώπη.
Το Midnight Blizzard είναι ένας παράγοντας απειλής με έδρα τη Ρωσία, γνωστός επειδή στοχεύει κυρίως κυβερνήσεις, διπλωματικές οντότητες, μη κυβερνητικούς οργανισμούς (ΜΚΟ) και παρόχους υπηρεσιών πληροφορικής κυρίως στις ΗΠΑ και την Ευρώπη.
Το Midnight Blizzard επωφελείται από τα μηνύματα του Teams για να στείλει θέλγητρα που προσπαθούν να κλέψουν διαπιστευτήρια από έναν στοχευμένο οργανισμό δεσμεύοντας έναν χρήστη και προκαλώντας έγκριση των μηνυμάτων ελέγχου ταυτότητας πολλών παραγόντων (MFA).
Το γνωρίζατε;
Η στρατηγική ονομασίας απειλών της Microsoft έχει μετατοπιστεί σε μια νέα ταξινόμηση ονομάτων για τους παράγοντες απειλής που αντλούν έμπνευση από θέματα που σχετίζονται με τον καιρό.
Η στρατηγική ονομασίας απειλών της Microsoft έχει μετατοπιστεί σε μια νέα ταξινόμηση ονομάτων για τους παράγοντες απειλής που αντλούν έμπνευση από θέματα που σχετίζονται με τον καιρό.
Ενώ οι επιθέσεις κοινωνικής μηχανικής μπορεί να είναι περίπλοκες, υπάρχουν πράγματα που μπορείτε να κάνετε για να τις αποτρέψετε.7 Εάν είστε έξυπνοι για το απόρρητο και την ασφάλειά σας, μπορείτε να νικήσετε τους εισβολείς στο δικό τους παιχνίδι.
Αρχικά, δώστε οδηγίες στους χρήστες να διατηρούν τους προσωπικούς τους λογαριασμούς προσωπικούς και να μην τους συνδυάζουν με email εργασίας ή εργασίες που σχετίζονται με την εργασία.
Επίσης, φροντίστε να επιβάλετε τη χρήση του MFA. Οι κοινωνικοί μηχανικοί συνήθως αναζητούν πληροφορίες όπως διαπιστευτήρια σύνδεσης. Ενεργοποιώντας το MFA, ακόμα κι αν ένας εισβολέας λάβει το όνομα χρήστη και τον κωδικό πρόσβασής σας, δεν θα μπορεί να αποκτήσει πρόσβαση στους λογαριασμούς και τις προσωπικές σας πληροφορίες.8
Μην ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου ή συνημμένα από ύποπτες πηγές. Εάν ένας φίλος σας στείλει έναν σύνδεσμο στον οποίο πρέπει να κάνετε κλικ επειγόντως, επιβεβαιώστε με τον φίλο σας εάν το μήνυμα προήλθε όντως από αυτόν. Κάντε παύση και αναρωτηθείτε εάν ο αποστολέας είναι αυτός που λένε ότι είναι πριν κάνετε κλικ σε οτιδήποτε.
Παύση και επαλήθευση
Να είστε προσεκτικοί με προσφορές που είναι πολύ καλές για να είναι αληθινές. Δεν μπορείτε να κερδίσετε κληρώσεις στις οποίες δεν συμμετείχατε και καμία ξένη βασιλική οικογένεια δεν πρόκειται να σας αφήσει ένα μεγάλο χρηματικό ποσό. Αν σας φαίνεται πολύ δελεαστικό, κάντε μια γρήγορη αναζήτηση για να διαπιστώσετε εάν η προσφορά είναι νόμιμη ή παγίδα.
Μην κάνετε υπερβολικές κοινοποιήσεις στο διαδίκτυο. Οι κοινωνικοί μηχανικοί χρειάζονται τους στόχους τους να τους εμπιστεύονται για να λειτουργήσουν οι απάτες τους. Εάν μπορούν να βρουν τα προσωπικά σας στοιχεία από τα προφίλ σας στα κοινωνικά μέσα, μπορούν να τα χρησιμοποιήσουν για να κάνουν τις απάτες τους να φαίνονται πιο νόμιμες.
Διασφαλίστε τους υπολογιστές και τις συσκευές σας. Χρησιμοποιήστε λογισμικό προστασίας από ιούς, τείχη προστασίας και φίλτρα email. Σε περίπτωση που μια απειλή φτάσει στη συσκευή σας, θα έχετε προστασία που θα σας βοηθήσει να διατηρήσετε τις πληροφορίες σας ασφαλείς.
"Όταν λαμβάνετε ένα αμφισβητήσιμο τηλεφώνημα ή email, το κλειδί είναι απλώς να επιβραδύνετε και να επαληθεύσετε. Οι άνθρωποι κάνουν λάθη όταν ενεργούν πολύ γρήγορα, επομένως είναι σημαντικό να υπενθυμίζουμε στους υπαλλήλους ότι δεν χρειάζεται να αντιδρούν αμέσως σε τέτοιου είδους καταστάσεις".
Jack Mott – Πληροφορίες της Microsoft σχετικά με απειλές
Μάθετε περισσότερα σχετικά με τον τρόπο προστασίας του οργανισμού σας παρακολουθώντας το Ο κίνδυνος της εμπιστοσύνης: Απειλές κοινωνικής μηχανικής και άμυνα στον κυβερνοχώρο.
- [2]
Το περιεχόμενο αυτής της ενότητας προέρχεται από https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Σημείωση: Το περιεχόμενο προέρχεται από https://go.microsoft.com/fwlink/?linkid=2263229