У світі, який стає все більш залежним від Інтернету, де довіра є одночасно валютою та вразливістю, джерела загрози прагнуть маніпулювати поведінкою людей і користатися їхньою готовністю допомогти. У цій інфографіці ми розглянемо соціотехніку, зокрема пояснюючи, чому джерела загрози цінують професійні ідентичності понад усе, а також розповімо про деякі методи, за допомогою яких вони маніпулюють людською природою, щоб досягти своїх цілей.
Наживання на довірі: шахрайство з використанням соціотехніки
Соціотехніка та кримінальна привабливість фішингу
Приблизно 90%1 фішингових атак включають тактику соціотехніки, щоб змусити жертву (зазвичай електронною поштою) розкрити делікатну інформацію, натиснути зловмисне посилання або відкрити зловмисні файли. Фішингові атаки економічно вигідні для зловмисників, їх можна налаштувати, щоб уникнути запобіжних механізмів, і вони дуже ефективні.
Важелі людської поведінки
Методи соціотехніки зазвичай покладаються на використання зловмисником довіри та переконання, щоб спробувати змусити свої цілі вжити дії, яких вони зазвичай не вживали б. Трьома ефективними важелями є терміновість, емоції та звичка.2 Терміновість Ніхто не хоче прогаяти обмежену в часі можливість або не вкластись у важливий крайній термін. Відчуття терміновості часто може змусити раціональних людей розкрити персональні дані.
Приклад. Фальшива терміновість
"Відмінною ознакою фішингового електронного листа є наявність певних часових рамок. Вони хочуть змусити вас прийняти рішення за короткий проміжок часу".
Джек Мотт, Аналіз загроз Microsoft
Емоції
Маніпулювання емоціями може дати кіберзловмисникам перевагу, оскільки люди, яких долають емоції, більш схильні до ризикованих дій, зокрема коли це стосується страху, провини або гніву.
Приклад. Маніпулювання емоціями
"Найефективнішою приманкою, яку я коли-небудь бачила, був дуже короткий електронний лист про те, що дружина або чоловік найняли відправника, щоб підготувати документи на розлучення. Вам пропонується натиснути посилання, щоб завантажити копію".
Шеррод Деґріпо, Аналіз загроз Microsoft
Звичка
Зловмисники уважно спостерігають за поведінкою та звертають особливу увагу на ті звички та розпорядок, які люди виконують "автоматично", не замислюючись.
Приклад. Загальна звичка
У техніці, яка називається "квішинг3", шахраї видають себе за надійну компанію та просять відсканувати QR-код в отриманому електронному листі. Наприклад, вони можуть стверджувати, що користувачеві потрібно відсканувати код, оскільки його платіж за рахунком не оброблено, або що йому потрібно скинути пароль.
"Джерела загрози підлаштовуються від ритмів бізнесу. Вони чудово вміють використовувати приманки, які мають сенс у контексті, у якому ми зазвичай отримуємо їх".
Джек Мотт, Аналіз загроз Microsoft
Іноді межа між особистою та професійною ідентичністю працівника стає розмитою. Працівник може використовувати свою робочу електронну пошту для особистих облікових записів, які він застосовує для роботи. Джерела загрози іноді намагаються скористатися цим, видаючи себе за одну з цих програм, щоб отримати доступ до корпоративної інформації працівника.
"У шахрайстві з фішингом електронної пошти кіберзловмисники перевіряють свої "приманки" на корпоративні адреси електронної пошти. Особисті адреси електронної пошти не варті їхнього часу. Робочі адреси є більш цінними, тому більше ресурсів і зусиль витрачається на ручне налаштування атак на такі облікові записи".
Джек Мотт, Аналіз загроз Microsoft
довга афера
Атаки з використанням соціотехніки загалом повільні. Соціальні інженери намагаються зміцнити довіру жертв, використовуючи трудомісткі методи, які починаються з дослідження. Цикл такого типу маніпуляцій може виглядати описаним нижче чином.
- Розслідування Інженери визначають ціль і збирають довідкову інформацію, як-от потенційні точки входу або протоколи безпеки.
- Проникнення Інженери зосереджуються на завоювання довіри цілі. Вони вигадують історію, захоплюють ціль і контролюють взаємодію, щоб спрямувати її так, щоб це було їм вигідно.
- Експлойт З часом соціальні інженери отримують інформацію про ціль. Зазвичай ціль надає цю інформацію добровільно, й інженери можуть використовувати її, щоб отримати доступ до ще більш конфіденційної інформації.
- Відступ Соціальні інженери доведуть взаємодію до природного кінця. Кваліфікований інженер зробить це таким чином, щоб не викликати жодних підозр у цілі.
Особливістю атак із порушенням безпеки корпоративної електронної пошти, яка вирізняє їх із-поміж інших кіберзлочинів, є акцент на соціотехніку й мистецтво введення в оману. Збитки, понесені організаціями внаслідок вдалих атак, становлять сотні мільйонів доларів на рік. У 2022 році Центр скарг на злочини в Інтернеті Федерального бюро розслідувань повідомив про скориговані збитки на понад 2,7 мільярда доларів США (USD), пов’язані з 21 832 поданими скаргами щодо порушення безпеки корпоративної електронної пошти.4
Основними цілями таких атак є керівники, фінансові менеджери й персонал відділу кадрів, які мають доступ до записів працівників, як-от ідентифікаційних номерів, податкових декларацій та інших персональних даних. Нові співробітники також є цілями, оскільки вони з меншою ймовірністю перевірятимуть незвичні електронні листи із запитами.
Кіберзловмисники активно використовують майже всі форми атак із порушенням безпеки корпоративної електронної пошти. Нижче наведено поширені типи атак із порушенням безпеки корпоративної електронної пошти5.
- Пряме порушення безпеки корпоративної електронної пошти. Уражені облікові записи електронної пошти використовуються в тактиці соціотехніки, щоб обманом змусити людей, які виконують бухгалтерські функції, внутрішні або зовнішні, надіслати гроші на банківський рахунок зловмисника або змінити платіжну інформацію в обліковому записі.
- Порушення безпеки електронної пошти постачальника. Соціотехніка, яка використовує наявний зв’язок із постачальником через викрадення електронної пошти, пов’язаної з платежами, і видавання себе за працівників компанії, щоб переконати постачальника переспрямувати непогашені платежі на банківський рахунок зловмисників.
- Підроблення рахунків. Масове шахрайство із соціотехнікою, пов’язане з використанням брендів відомих компаній, щоб переконати компанії сплачувати фальшиві рахунки.
- Видавання себе за адвокатів. Використання надійних зв’язків із великими та відомими юридичними фірмами, щоб підвищити довіру керівників малого бізнесу та стартапів і переконати їх сплатити непогашені рахунки, зокрема перед великими подіями, такими як первинна публічна пропозиція. Після узгодження умов оплати платіж переспрямовується на банківський рахунок зловмисників.
Octo Tempest
Octo Tempest – це фінансово вмотивований колектив англомовних джерел загрози, відомий проведенням широкомасштабних кампаній, які в основному використовують методи супротивника посередині (AiTM), соціотехніку та можливості заміни SIM-карт.
Octo Tempest – це фінансово вмотивований колектив англомовних джерел загрози, відомий проведенням широкомасштабних кампаній, які в основному використовують методи супротивника посередині (AiTM), соціотехніку та можливості заміни SIM-карт.
Diamond Sleet
У серпні 2023 року зловмисник Diamond Sleet атакував мережу постачання програмного забезпечення німецького постачальника JetBrains, уразивши сервери, які використовувалися для розробки, тестування та розгортання програмного забезпечення. Оскільки Diamond Sleet успішно проникали в середовища розробки, корпорація Майкрософт вважає, що ця діяльність становить особливо високий ризик для вразливих організацій.
У серпні 2023 року зловмисник Diamond Sleet атакував мережу постачання програмного забезпечення німецького постачальника JetBrains, уразивши сервери, які використовувалися для розробки, тестування та розгортання програмного забезпечення. Оскільки Diamond Sleet успішно проникали в середовища розробки, корпорація Майкрософт вважає, що ця діяльність становить особливо високий ризик для вразливих організацій.
Sangria Tempest6
Джерело загрози Sangria Tempest, також відомий як FIN, славиться атаками на ресторанну індустрію та крадіжкою даних платіжних карток. Однією з найефективніших приманок цього джерела загрози є надсилання звинувачень у харчовому отруєнні, деталі якого можна побачити, відкривши зловмисне вкладення.
Джерело загрози Sangria Tempest, також відомий як FIN, славиться атаками на ресторанну індустрію та крадіжкою даних платіжних карток. Однією з найефективніших приманок цього джерела загрози є надсилання звинувачень у харчовому отруєнні, деталі якого можна побачити, відкривши зловмисне вкладення.
Група Sangria Tempest, учасники якої переважно є зі Східної Європи, використовує нелегальні форуми, щоб вербувати носіїв англійської мови, яких потім навчає зв’язуватися з магазинами для доставки електронних листів-приманок. У процесі група викрала десятки мільйонів даних платіжних карток.
Midnight Blizzard
Midnight Blizzard – це російське джерело загрози, головними цілями якого є державні адміністрації, дипломатичні представництва, неурядові організації та постачальники ІТ-послуг, насамперед у США та Європі.
Midnight Blizzard – це російське джерело загрози, головними цілями якого є державні адміністрації, дипломатичні представництва, неурядові організації та постачальники ІТ-послуг, насамперед у США та Європі.
Midnight Blizzard використовує повідомлення Teams, щоб надсилати приманки, призначені для викрадення облікових даних цільової організації, залучаючи користувача та обманом змушуючи його виконати запити багатофакторної автентифікації.
Цікавий факт.
Стратегію імен джерел загрози корпорації Майкрософт змінили на нову таксономію імен, натхненну темами, пов’язаними з погодою.
Стратегію імен джерел загрози корпорації Майкрософт змінили на нову таксономію імен, натхненну темами, пов’язаними з погодою.
Хоча атаки з використанням соціотехніки можуть бути складними, є заходи, щоб запобігти їм.7 Розумний підхід до конфіденційності та безпеки дає змогу перемогти зловмисників у їхній грі.
По-перше, попросіть користувачів використовувати особисті облікові записи лише для особистих справ, а не для робочих електронних листів або завдань, пов’язаних із роботою.
Також важливо забезпечити використання багатофакторної автентифікації. Соціальні інженери зазвичай шукають таку інформацію, як облікові дані. Увімкнувши багатофакторну автентифікацію, навіть якщо зловмисник отримає ваше ім’я користувача та пароль, він усе одно не зможе отримати доступ до облікових записів і персональних даних.8
Не відкривайте електронні листи та вкладення від підозрілих джерел. Якщо ви отримали посилання від друга, яке вам потрібно терміново натиснути, переконайтеся в цього друга, що повідомлення дійсно від нього. Зупиніться й запитайте себе, чи відправник справді той, за кого себе видає, перш ніж натискати щось.
Зробіть паузу й оцініть ситуацію
Будьте обережні з пропозиціями, які здаються занадто гарними, щоб бути правдою. Ви не можете виграти в лотерею, у якій не брали участі, і жодна іноземна королівська родина не залишає нікому великі суми грошей. Якщо щось здається надто спокусливим, проведіть швидкий пошук, щоб визначити, чи є пропозиція законною, чи це пастка.
Не варто ділитися надто великою кількістю інформації в Інтернеті. Щоб обман соціальних інженерів був ефективним, вони повинні завоювати довіру цілей своїх атак. Якщо вони знайдуть вашу особисту інформацію в профілях соцмереж, то можуть використати її, щоб додати довіри своїм шахрайствам.
Захистіть свої комп’ютери та пристрої. Використовуйте антивірусні програми, брандмауери та фільтри електронної пошти. Це гарантує, що якщо загроза потрапить на ваш пристрій, у вас будуть механізми захисту, які допоможуть захистити інформацію.
"Коли ми отримуємо підозрілий телефонний виклик або електронний лист, головне – просто сповільнитися й оцінити ситуацію. Люди роблять помилки, коли діють зашвидко, тому важливо нагадати працівникам, що вони не повинні реагувати миттєво в таких ситуаціях".
Джек Мотт, Аналіз загроз Microsoft
Дізнайтеся більше про те, як захистити свою організацію, переглянувши статтю Ризик довіри: загрози соціотехніки та захист від кіберзагроз.
- [2]
Вміст цього розділу взято з цього джерела: https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Примітка. Вміст взято з цього джерела: https://go.microsoft.com/fwlink/?linkid=2263229