Czym jest social engineering?
Inżynieria Społeczna: Definicja
Cyberprzestępcza „inżynieria społeczna” to taktyka, której istotą jest okłamywanie użytkownika poprzez tworzenie fałszywej narracji, która wykorzystuje łatwowierność, chciwość, ciekawość lub inne bardzo ludzkie cechy ofiary. Końcowym rezultatem jest to, że ofiara dobrowolnie przekazuje atakującemu prywatne informacje - czy to osobiste (np. imię i nazwisko, adres e-mail), finansowe (np. numer karty kredytowej, portfel kryptowalutowy), czy też nieumyślnie instalując złośliwe oprogramowanie/backdoory we własnym systemie.
Nowoczesne ataki możemy sklasyfikować w dwóch bardzo szerokich kategoriach według celu: Atakują maszynę lub użytkownika. „Atak na maszynę” rozpoczął się od ataków wykorzystujących luki w zabezpieczeniach w 1996 r. w artykule „Smashing the Stack for Fun and Profit”. Jednak „ataki na ludzi” (inżynieria społeczna) były — i nadal są — znacznie bardziej powszechne. Wszystkie znane ataki oparte na braku podatności mają element socjotechniczny, w którym atakujący próbuje przekonać ofiarę do zrobienia czegoś, co będzie dla niej szkodliwe.
Rodzaje ataków socjotechnicznych
Chociaż nie jest to wyczerpująca lista, poniżej wymieniono najważniejsze ataki socjotechniczne, o których należy wiedzieć:
Phishing
Phishing jest jednym z najczęstszych rodzajów ataków socjotechnicznych. Wykorzystuje pocztę elektroniczną i wiadomości tekstowe, aby zachęcić ofiary do klikania złośliwych załączników lub linków do szkodliwych stron internetowych.
Przynęcie
Ten atak wykorzystuje fałszywą obietnicę zachęcenia ofiary poprzez chciwość lub zainteresowanie. Ofiary są zwabiane w pułapkę, która narusza ich wrażliwe informacje lub infekuje ich urządzenia. Jednym z przykładów jest pozostawienie dysku flash zainfekowanego złośliwym oprogramowaniem w miejscu publicznym. Ofiara może być zainteresowana jej zawartością i może włożyć ją do swojego urządzenia — nieświadomie instalując złośliwe oprogramowanie.
Pretekstowanie
W tym ataku jeden atakujący kłamie na innego, aby uzyskać dostęp do danych. Na przykład atakujący może udawać, że potrzebuje danych finansowych lub osobowych, aby potwierdzić tożsamość odbiorcy.
Scareware
Zabezpieczenia powodują, że ofiary boją się fałszywych alarmów i zagrożeń. Użytkownicy mogą zostać oszukani, myśląc, że ich system jest zainfekowany złośliwym oprogramowaniem. Następnie instalują sugerowaną naprawę oprogramowania, ale może to być samo złośliwe oprogramowanie, na przykład wirus lub oprogramowanie szpiegujące. Typowymi przykładami są wyskakujące banery pojawiające się w przeglądarce, wyświetlające tekst taki jak „Twój komputer może być zainfekowany”. Zaoferuje zainstalowanie poprawki lub skieruje użytkownika na złośliwą stronę internetową.
Spear phishing i whaling
W przypadku spear phishingu atak jest ukierunkowany na konkretną osobę lub organizację. Podobnie, ataki typu whaling są wymierzone w wysoko postawionych pracowników, takich jak prezesi i dyrektorzy.
Tailgating
Znany również jako piggybacking,tailgating to sytuacja, w której atakujący wchodzi do zabezpieczonego budynku lub działu biurowego, podążając za kimś z kartą dostępu. Ten atak zakłada, że inni uznają, że haker może tam być.
Oszustwa oparte na sztucznej inteligencji
Oparte na sztucznej inteligencji oszustwa wykorzystują technologię AI do oszukiwania ofiar. Oto najpopularniejsze typy:
Oszustwo typu AI-Text: Zwodnicze wiadomości tekstowe generowane przez sztuczną inteligencję do wyłudzania informacji lub rozpowszechniania złośliwego oprogramowania.
Oszustwo AI-Image: Fałszywe obrazy utworzone przy użyciu sztucznej inteligencji w celu manipulowania i oszukiwania osób.
Oszustwo AI-Voice: Fałszywe wiadomości głosowe generowane przez sztuczną inteligencję w celu podszywania się pod zaufane podmioty i oszukiwania ofiar.
Oszustwo AI-Video: Zmanipulowane filmy stworzone przy użyciu sztucznej inteligencji, znane jako deepfakes, wykorzystywane do rozpowszechniania dezinformacji lub atakowania osób.
Odwiedź naszą stronę z 12 rodzajami ataków socjotechnicznych, jeśli chcesz dowiedzieć się o nich więcej.
Jak rozpoznać ataki socjotechniczne
Ponieważ ataki te mają wiele różnych kształtów i rozmiarów - i opierają się na ludzkiej omylności - identyfikacja ataków socjotechnicznych może być bardzo trudna. Niemniej jednak, jeśli natkniesz się na którąkolwiek z poniższych sytuacji, zostaniesz ostrzeżony, że są to główne sygnały ostrzegawcze i sugerujesz, że rozpoczyna się atak socjotechniczny:
Niezamówiona wiadomość e-mail lub wiadomość tekstowa od kogoś, kogo nie znasz.
Wiadomość rzekomo jest bardzo pilna.
Wiadomość wymaga kliknięcia łącza lub otwarcia załącznika.
Wiadomość zawiera wiele literówek i błędów gramatycznych.
Ewentualnie dzwoni do Ciebie ktoś, kogo nie znasz.
Dzwoniący próbuje uzyskać od Ciebie dane osobowe.
Dzwoniący próbuje skłonić Cię do pobrania czegoś.
Dzwoniący podobnie mówi z wielkim poczuciem pilności i/lub agresji.
Jak zapobiegać oszustwom socjotechnicznym?
Największą zbroją, jaką można zastosować w odniesieniu do taktyk inżynierii społecznej stosowanych obecnie przez oszustwa internetowe, jest posiadanie wiedzy na temat wielu sposobów wykorzystania luk w zabezpieczeniach mediów społecznościowych przez cyberprzestępcę. Wyzwanie stawiane przez cyberprzestępców jest czymś więcej niż zwykłymi konsekwencjami spamu, ataków phishingowych i infekcji złośliwym oprogramowaniem, a jednocześnie pozwala na zachowanie poufności danych.
Oprócz zwracania uwagi na powyższe sygnały ostrzegawcze, poniżej przedstawiono najlepsze praktyki, których należy przestrzegać:
Aktualizuj system operacyjny i oprogramowanie cyberbezpieczeństwa.
Użyj uwierzytelniania wieloskładnikowego i/lub menedżera haseł.
Nie otwieraj wiadomości e-mail i załączników z nieznanych źródeł.
Ustaw filtry spamu zbyt wysoko.
Usuwaj i ignoruj wszelkie prośby o informacje finansowe lub hasła.
Jeśli podejrzewasz coś podczas kontaktu, zachowaj spokój i działaj powoli.
Przeprowadzaj badania dotyczące witryn internetowych, firm i osób fizycznych.
Uważaj na to, co udostępniasz w mediach społecznościowych — korzystaj z ustawień prywatności.
Jeśli jesteś pracownikiem firmy, upewnij się, że znasz zasady bezpieczeństwa.
Przykłady ataków socjotechnicznych
Cyberprzestępcy, bardzo zmotywowani zyskiem, znacznie udoskonalili swoje metody pozyskiwania wrażliwych informacji od użytkowników internetowych w celu uzyskania korzyści finansowych.
Styczeń to początek sezonu podatkowego, co sprawia, że zarabianie jest ulubionym celem cyberprzestępców. Dzięki socjotechnice, popularnej taktyce, w której atak zbiega się z powszechnie znanymi okazjami, obchodzonymi świętami i popularnymi wiadomościami, cyberprzestępcy zarabiają wiele na ofiarach. Obywatele Stanów Zjednoczonych otrzymali próbki spamu, które próbowały przekazać jako wiadomość od amerykańskiego Urzędu Skarbowego (IRS).
Kliknij tutaj, aby dowiedzieć się więcej o ataku złośliwego oprogramowania w sezonie podatkowym
Wiadomości o nieterminowej śmierci Robina Williamsa 12 sierpnia 2014 r. były szokem dla ludzi na całym świecie. Podczas gdy wiadomości o jego śmierci rozprzestrzeniły się wśród przestępców, spamerzy i cyberprzestępcy rozmieścili spamowane wiadomości e-mail, które wymieniają imię przestępcy w temacie wiadomości. W wiadomości spamu odbiorcy są proszeni o pobranie filmu „shocking” na temat śmierci Williama, ale kliknięcie łącza wideo powoduje pobranie pliku wykonywalnego, który został wykryty jako WORM_GAMARUE.WSTQ.
Kliknij tutaj, aby dowiedzieć się więcej o ataku złośliwego oprogramowania na plotki o celebrytach.
Gdy wiadomości o pandemii Ebola zalały Internet, cyberprzestępcy wykorzystali okazję do wykorzystania powszechnych raportów jako przynęty, aby zwabić nieświadome ofiary do otwierania fałszywych wiadomości e-mail. E-maile te prowadzą do prób phishingu, w wyniku którego dochodzi do kradzieży informacji i danych uwierzytelniających ofiary.
Kliknij tutaj, aby dowiedzieć się więcej o tym fałszywym ataku na złośliwe oprogramowanie w wiadomościach e-mail.
Rok 2008 był przełomem ataków społecznych na sabotaż i zyski cyberprzestępców. Z zidentyfikowanymi celami ataki oparte na platformie były skierowane do użytkowników domowych, małych firm i dużych organizacji, co miało znaczący wpływ na kradzież własności intelektualnej. W dużej mierze oszuści internetowi opracowali sposoby atakowania użytkowników stron internetowych za pomocą portali społecznościowych, takich jak Facebook i Twitter.
W 2008 r. użytkownicy Facebooka zaczęli atakować złośliwe oprogramowanie typu robaka KOOBFACE. W 2009 r. Twitter stał się kopalnią złota dla cyberprzestępców, rozpowszechniając złośliwe łlinki, które okazały się być nosicielami konia trojańskiego.
Przyszłość ataków socjotechnicznych
Możemy odbudować każdą interakcję socjotechniczną i rozbić ją na następujące elementy:
- „Medium” do nawiązania połączenia z ofiarą, które może być wykonane za pośrednictwem telefonu, poczty elektronicznej, sieci społecznościowej lub bezpośredniej wiadomości,
- „Kłamstwo”, w którym atakujący buduje fałsz, aby przekonać ofiarę do podjęcia działań w określonym czasie. Kłamstwo często ma również wbudowane poczucie pilności, takie jak ograniczenie czasu.
- „Prośba”, czyli działanie, które ma zostać podjęte przez ofiarę, takie jak podanie danych uwierzytelniających, wykonanie złośliwego pliku, zainwestowanie w określony schemat kryptograficzny lub wysłanie pieniędzy.
Posłużmy się typowym przykładem, który prawdopodobnie znasz - stereotypowym oszustwem e-mailowym:
Rysunek 1. Atak socjotechniczny polega na kłamstwie i pytaniu
Od 2024 r. przestępcy docierają do swoich ofiar na wszystkie sposoby. Wykorzystują również wymyślone historie w swoich sztuczkach socjotechnicznych. Cele są zazwyczaj takie same, jak ujawnienie hasła, zainstalowanie złośliwego oprogramowania lub udostępnienie danych osobowych.
Na przestrzeni lat widzieliśmy wiele różnych wykresów w dziedzinie inżynierii społecznej i wybaczymy Ci, że wszystkie pomysły zostały już wykorzystane. Jednak hakerzy co roku wymyślają nowe triki w zakresie socjotechniki. W tym artykule przyjrzymy się nowym usprawnieniom w zakresie inżynierii społecznej, które w przyszłości mogą zostać wykorzystane przez atakujących do oszukiwania użytkowników. Zmieniając medium, kłamstwo lub prośbę, atakujący mogą łatwo wymyślić nowe i innowacyjne rozwiązania, aby oszukać ofiary.
Jakich nowych elementów możemy się spodziewać? Jakie nowe zmiany w starym programie możemy przewidzieć? Jak nowe technologie wpłyną na którekolwiek z nich?
Zmiany w medium
W miarę pojawiania się nowych technologii atakujący zyskują więcej sposobów dotarcia do potencjalnych ofiar. Obejmuje to narzędzia AI, urządzenia VR, takie jak Apple Vision Pro, Humane pin, okulary Ray-Ban lub wszelkie nowe urządzenia, z których użytkownicy mogą zacząć korzystać w przyszłości.
Wykorzystanie urządzeń ubieralnych jako nośnika
Każdego roku na rynek wchodzą nowe urządzenia, co zwiększa powierzchnię ataku o cyberprzestępców. Urządzenia ubieralne są szczególnie interesujące, ponieważ są zawsze włączone i cieszą się pełnym zaufaniem użytkowników. Każda praca związana z urządzeniami ubieralnymi ma większe szanse na przekonanie i zaufanie. Istnieje możliwość, że atakujący uzyska dostęp do urządzenia ubieralnego. Często nie są one zaprojektowane do wdrażania narzędzi bezpieczeństwa lub nawet regularnego uwierzytelniania się, często omijając normalne kontrole bezpieczeństwa.
Rysunek 2. Potencjalny scenariusz dotyczący urządzeń ubieralnych jako medium dla ataków socjotechnicznych
Chatboty jako medium
Czatboty AI mogą być również wykorzystywane jako narzędzie umożliwiające dotarcie do użytkownika. Celem tego ataku jest przekazanie czatbotowi fałszywych informacji w celu zmanipulowania użytkownika i podjęcia działań. Zatruwanie danych chatbota można osiągnąć na kilka sposobów, w tym poprzez podawanie mu złych informacji, przechwytywanie danych szkoleniowych lub wstrzykiwanie nowych poleceń.
Nowe ataki e-mail
Nowym sposobem korzystania z klasycznego nośnika poczty e-mail i komunikatorów internetowych (IM) jest wykorzystanie bota opartego na modelu wielkojęzycznym (LLM) w celu zwiększenia skuteczności ataku BEC. Przestępca może wykorzystać bota LLM do zebrania całej historii wcześniejszych wiadomości pomiędzy ofiarą a dyrektorem generalnym. Następnie bot mógłby kontynuować wątek w tym zaufanym kanale, jakby to dyrektor generalny wykorzystywał styl pisania dyrektora generalnego, aby przekonać ofiarę do przelania pieniędzy. Dzieje się to już ręcznie, ale nie można ignorować potencjału zautomatyzowania tego ataku za pomocą sztucznej inteligencji.
Poprawa jakości kłamstw
Główną innowacją napędzającą rozwój społeczny jest sztuczna inteligencja. Faktyczne kłamstwo w historii inżynierii społecznej będzie się różnić w zależności od sezonu, kraju i grupy demograficznej, ale może się to bardzo szybko zmienić ze względu na skalowalność i elastyczność zapewnianą przez sztuczną inteligencję. Generacyjna sztuczna inteligencja (GenAI) doskonale sprawdza się w generowaniu obrazów, audio i wideo. W przypadku tekstu doskonale sprawdza się zarówno w tworzeniu wiarygodnych treści, jak i szybkim przetwarzaniu dużych ilości tekstu. Ta nowa skalowalność otwiera wiele nowych rozwiązań w zakresie inżynierii społecznej.
Nowym tematem, który mogą wykorzystać do tworzenia kłamstw, jest sama technologia SI. Na przykład tworzenie kłamstw na temat ChatGPT lub VR może być skuteczne ze względu na generowane przez nie zainteresowanie. Ponadto atakujący mogą tworzyć fałszywe narzędzia związane z AI, które w rzeczywistości są złośliwym oprogramowaniem. Projektanci grafiki są na ogół ciekawi tworzenia obrazów i filmów o głębokim profilu. Narzędzie, które haker może zaoferować, aby to ułatwić, prawdopodobnie zostanie pobrane i uruchomione. Analogicznie, włączenie obrazów i filmów z wykorzystaniem głębokiego fałszerstwa do istniejących udanych oszustw może zwiększyć ich wiarygodność. Strategia ta wyraźnie opiera się na wzroście obecnego krajobrazu zagrożeń. Uważamy, że deepfake'i mają potencjał, by być wysoce destrukcyjnymi w oszustwach socjotechnicznych i że atakujący będą je szeroko wykorzystywać w najbliższej przyszłości.
Rysunek 3. JJak oszustwa telefoniczne i głosowe mogą zostać wzmocnione przez deepfakes
Kliknij tutaj, aby dowiedzieć się więcej o przyszłości inżynierii społecznej.
Rozwiązanie Vision One Platform Trend Micro
Trend Vision One™ to platforma cyberbezpieczeństwa, która upraszcza zabezpieczenia i pomaga przedsiębiorstwom szybciej wykrywać i powstrzymywać zagrożenia poprzez konsolidację wielu funkcji zabezpieczeń, umożliwiając większą kontrolę nad powierzchnią ataku w przedsiębiorstwie i zapewniając pełny wgląd w stan cyberbezpieczeństwa.
Platforma chmurowa wykorzystuje sztuczną inteligencję i analizy zagrożeń z 250 milionów czujników i 16 centrów badań zagrożeń na całym świecie, aby zapewnić kompleksowy wgląd w ryzyko, wcześniejsze wykrywanie zagrożeń oraz zautomatyzowane opcje reagowania na zagrożenia w jednym rozwiązaniu.