Czym jest social engineering?

Możemy odbudować każdą interakcję socjotechniczną i rozbić ją na następujące elementy: 

• „Medium” do nawiązania połączenia z ofiarą, które może być wykonane za pośrednictwem telefonu, poczty elektronicznej, sieci społecznościowej lub bezpośredniej wiadomości, 
• „Kłamstwo”, w którym atakujący buduje fałsz, aby przekonać ofiarę do podjęcia działań w określonym czasie. Kłamstwo często ma również wbudowane poczucie pilności, takie jak ograniczenie czasu. 
• „Prośba”, czyli działanie, które ma zostać podjęte przez ofiarę, takie jak podanie danych uwierzytelniających, wykonanie złośliwego pliku, zainwestowanie w określony schemat kryptograficzny lub wysłanie pieniędzy. 

Posłużmy się typowym przykładem, który prawdopodobnie znasz - stereotypowym oszustwem e-mailowym: 

Rysunek 1. Atak socjotechniczny polega na kłamstwie i pytaniu

Od 2024 r. przestępcy docierają do swoich ofiar na wszystkie sposoby. Wykorzystują również wymyślone historie w swoich sztuczkach socjotechnicznych. Cele są zazwyczaj takie same, jak ujawnienie hasła, zainstalowanie złośliwego oprogramowania lub udostępnienie danych osobowych. 

Na przestrzeni lat widzieliśmy wiele różnych wykresów w dziedzinie inżynierii społecznej i wybaczymy Ci, że wszystkie pomysły zostały już wykorzystane. Jednak hakerzy co roku wymyślają nowe triki w zakresie socjotechniki. W tym artykule przyjrzymy się nowym usprawnieniom w zakresie inżynierii społecznej, które w przyszłości mogą zostać wykorzystane przez atakujących do oszukiwania użytkowników. Zmieniając medium, kłamstwo lub prośbę, atakujący mogą łatwo wymyślić nowe i innowacyjne rozwiązania, aby oszukać ofiary. 

Jakich nowych elementów możemy się spodziewać? Jakie nowe zmiany w starym programie możemy przewidzieć? Jak nowe technologie wpłyną na którekolwiek z nich? 

W miarę pojawiania się nowych technologii atakujący zyskują więcej sposobów dotarcia do potencjalnych ofiar. Obejmuje to narzędzia AI, urządzenia VR, takie jak Apple Vision Pro, Humane pin, okulary Ray-Ban lub wszelkie nowe urządzenia, z których użytkownicy mogą zacząć korzystać w przyszłości. 

Każdego roku na rynek wchodzą nowe urządzenia, co zwiększa powierzchnię ataku o cyberprzestępców. Urządzenia ubieralne są szczególnie interesujące, ponieważ są zawsze włączone i cieszą się pełnym zaufaniem użytkowników. Każda praca związana z urządzeniami ubieralnymi ma większe szanse na przekonanie i zaufanie. Istnieje możliwość, że atakujący uzyska dostęp do urządzenia ubieralnego. Często nie są one zaprojektowane do wdrażania narzędzi bezpieczeństwa lub nawet regularnego uwierzytelniania się, często omijając normalne kontrole bezpieczeństwa. 

Rysunek 2. Potencjalny scenariusz dotyczący urządzeń ubieralnych jako medium dla ataków socjotechnicznych

Czatboty AI mogą być również wykorzystywane jako narzędzie umożliwiające dotarcie do użytkownika. Celem tego ataku jest przekazanie czatbotowi fałszywych informacji w celu zmanipulowania użytkownika i podjęcia działań. Zatruwanie danych chatbota można osiągnąć na kilka sposobów, w tym poprzez podawanie mu złych informacji, przechwytywanie danych szkoleniowych lub wstrzykiwanie nowych poleceń. 

Nowym sposobem korzystania z klasycznego nośnika poczty e-mail i komunikatorów internetowych (IM) jest wykorzystanie bota opartego na modelu wielkojęzycznym (LLM) w celu zwiększenia skuteczności ataku BEC. Przestępca może wykorzystać bota LLM do zebrania całej historii wcześniejszych wiadomości pomiędzy ofiarą a dyrektorem generalnym. Następnie bot mógłby kontynuować wątek w tym zaufanym kanale, jakby to dyrektor generalny wykorzystywał styl pisania dyrektora generalnego, aby przekonać ofiarę do przelania pieniędzy. Dzieje się to już ręcznie, ale nie można ignorować potencjału zautomatyzowania tego ataku za pomocą sztucznej inteligencji.

Główną innowacją napędzającą rozwój społeczny jest sztuczna inteligencja. Faktyczne kłamstwo w historii inżynierii społecznej będzie się różnić w zależności od sezonu, kraju i grupy demograficznej, ale może się to bardzo szybko zmienić ze względu na skalowalność i elastyczność zapewnianą przez sztuczną inteligencję. Generacyjna sztuczna inteligencja (GenAI) doskonale sprawdza się w generowaniu obrazów, audio i wideo. W przypadku tekstu doskonale sprawdza się zarówno w tworzeniu wiarygodnych treści, jak i szybkim przetwarzaniu dużych ilości tekstu. Ta nowa skalowalność otwiera wiele nowych rozwiązań w zakresie inżynierii społecznej. 

Nowym tematem, który mogą wykorzystać do tworzenia kłamstw, jest sama technologia SI. Na przykład tworzenie kłamstw na temat ChatGPT lub VR może być skuteczne ze względu na generowane przez nie zainteresowanie. Ponadto atakujący mogą tworzyć fałszywe narzędzia związane z AI, które w rzeczywistości są złośliwym oprogramowaniem. Projektanci grafiki są na ogół ciekawi tworzenia obrazów i filmów o głębokim profilu. Narzędzie, które haker może zaoferować, aby to ułatwić, prawdopodobnie zostanie pobrane i uruchomione. Analogicznie, włączenie obrazów i filmów z wykorzystaniem głębokiego fałszerstwa do istniejących udanych oszustw może zwiększyć ich wiarygodność. Strategia ta wyraźnie opiera się na wzroście obecnego krajobrazu zagrożeń. Uważamy, że deepfake'i mają potencjał, by być wysoce destrukcyjnymi w oszustwach socjotechnicznych i że atakujący będą je szeroko wykorzystywać w najbliższej przyszłości. 

Rysunek 3. JJak oszustwa telefoniczne i głosowe mogą zostać wzmocnione przez deepfakes