Czym jest social engineering?

Możemy odbudować każdą interakcję socjotechniczną i rozłożyć ją na następujące elementy: 

• „Środek” służący nawiązaniu kontaktu z ofiarą, który można wykonać przez telefon, e-mail, sieć społecznościową lub bezpośrednią wiadomość. 

• „Kłamstwo”, w którym atakujący buduje fałsz, aby przekonać ofiarę do podjęcia działań w określonym czasie. Kłamstwo często ma również wbudowane poczucie pilności, takie jak ograniczenie czasu. 

• „Zapytanie”, czyli działanie, które ofiara powinna podjąć, takie jak podanie danych uwierzytelniających, wykonanie złośliwego pliku, zainwestowanie w określony proceder kryptograficzny lub wysłanie pieniędzy. 

Użyjmy typowego przykładu, który prawdopodobnie Ci się zna — stereotypowego oszustwa e-mailowego: 

Rysunek 1. Atak socjotechniczny polega na kłamstwie i pytaniu 

Od 2024 r. przestępcy docierają do swoich ofiar na wszystkie sposoby. Wykorzystują również wymyślone historie w swoich sztuczkach socjotechnicznych. Cele są zazwyczaj takie same, jak ujawnienie hasła, zainstalowanie złośliwego oprogramowania lub udostępnienie danych osobowych. 

Na przestrzeni lat widzieliśmy wiele różnych wykresów w dziedzinie inżynierii społecznej i wybaczymy Ci, że wszystkie pomysły zostały już wykorzystane. Jednak hakerzy co roku wymyślają nowe triki w zakresie socjotechniki. W tym artykule przyjrzymy się nowym usprawnieniom w zakresie inżynierii społecznej, które w przyszłości mogą zostać wykorzystane przez atakujących do oszukiwania użytkowników. Zmieniając medium, kłamstwo lub prośbę, atakujący mogą łatwo wymyślić nowe i innowacyjne rozwiązania, aby oszukać ofiary. 

Jakich nowych elementów możemy się spodziewać? Jakie nowe zmiany w starym programie możemy przewidzieć? Jak nowe technologie wpłyną na którekolwiek z tych technologii? 

W miarę pojawiania się nowych technologii atakujący zyskują więcej sposobów dotarcia do potencjalnych ofiar. Obejmuje to narzędzia SI, urządzenia VR, takie jak Apple Vision Pro, Humane Pin, okulary Ray-Ban oraz wszelkie nowe urządzenia, z których użytkownicy mogą zacząć korzystać w przyszłości. 

Każdego roku na rynek wchodzą nowe urządzenia, co zwiększa powierzchnię ataku o cyberprzestępców. Urządzenia ubieralne są szczególnie interesujące, ponieważ są zawsze włączone i cieszą się pełnym zaufaniem użytkowników. Każda praca związana z urządzeniami ubieralnymi ma większe szanse na przekonanie i zaufanie. Istnieje możliwość, że atakujący uzyska dostęp do urządzenia ubieralnego. Często nie są one przeznaczone do wdrażania narzędzi zabezpieczających ani nawet regularnego uwierzytelniania, często omijając normalne zabezpieczenia. 

Rysunek 2. Potencjalny scenariusz dotyczący urządzeń ubieralnych jako medium dla ataków socjotechnicznych 

Czatboty AI mogą być również wykorzystywane jako narzędzie umożliwiające dotarcie do użytkownika. Celem tego ataku jest przekazanie czatbotowi fałszywych informacji w celu zmanipulowania użytkownika i podjęcia działań. Zatrucie danych chatbota można wykonać na kilka sposobów, w tym podając złe informacje, przechwytując dane treningowe lub wykonując nowe polecenia. 

Nowym sposobem korzystania z klasycznego nośnika poczty e-mail i komunikatorów internetowych (IM) jest wykorzystanie bota opartego na modelu wielkojęzycznym (LLM) w celu zwiększenia skuteczności ataku BEC. Przestępca może wykorzystać bota LLM do zebrania całej historii wcześniejszych wiadomości pomiędzy ofiarą a dyrektorem generalnym. Następnie bot mógłby kontynuować wątek w tym zaufanym kanale, jakby to dyrektor generalny wykorzystywał styl pisania dyrektora generalnego, aby przekonać ofiarę do przelania pieniędzy. Dzieje się tak już ręcznie, ale nie można zignorować możliwości automatyzacji tego ataku za pomocą sztucznej inteligencji. 

Główną innowacją napędzającą rozwój społeczny jest sztuczna inteligencja. Faktyczne kłamstwo w historii inżynierii społecznej będzie się różnić w zależności od sezonu, kraju i grupy demograficznej, ale może się to bardzo szybko zmienić ze względu na skalowalność i elastyczność zapewnianą przez sztuczną inteligencję. Generacyjna sztuczna inteligencja (GenAI) doskonale sprawdza się w generowaniu obrazów, audio i wideo. W przypadku tekstu doskonale sprawdza się zarówno w tworzeniu wiarygodnych treści, jak i szybkim przetwarzaniu dużych ilości tekstu. Ta nowa skalowalność otwiera wiele nowych rozwiązań w zakresie inżynierii społecznej. 

Nowym tematem, który mogą wykorzystać do tworzenia kłamstw, jest sama technologia SI. Na przykład tworzenie kłamstw na temat ChatGPT lub VR może być skuteczne ze względu na generowane przez nie zainteresowanie. Ponadto atakujący mogą tworzyć fałszywe narzędzia związane z AI, które w rzeczywistości są złośliwym oprogramowaniem. Projektanci grafiki są na ogół ciekawi tworzenia obrazów i filmów o głębokim profilu. Narzędzie, które haker może zaoferować, aby to ułatwić, prawdopodobnie zostanie pobrane i uruchomione. Analogicznie, włączenie obrazów i filmów z wykorzystaniem głębokiego fałszerstwa do istniejących udanych oszustw może zwiększyć ich wiarygodność. Strategia ta wyraźnie opiera się na wzroście obecnego krajobrazu zagrożeń. Uważamy, że fałszerstwa mogą być bardzo przełomowe w oszustwach socjotechnicznych i że atakujący będą z nich korzystać w niedalekiej przyszłości. 

Rysunek 3. Jak głębokie fałszerstwa mogą poprawić oszustwa telefoniczne i głosowe