Trace Id is missing

Izkoriščanje ekonomije zaupanja: goljufije s socialnim inženiringom

Skupna raba
Silhueta osebe iz kode, ki drži masko in stopi iz telefona. Za njo so rdeči mehurčki, ki predstavljajo akterje groženj.

V vse bolj spletnem svetu, kjer je zaupanje hkrati valuta in ranljivost, poskušajo akterji groženj manipulirati z vedenjem ljudi in izkoristiti njihovo nagnjenost k temu, da želijo biti koristni. V tej infografiki bomo raziskali socialni inženiring, vključno s tem, zakaj akterji groženj najbolj cenijo poklicne identitete, in vas seznanili z nekaterimi načini, ki jih akterji uporabljajo za manipuliranje s človeško naravo, da bi dosegli svoje cilje.

Socialni inženiring in kriminalna privlačnost lažnega predstavljanja

Približno 901 odstotkov napadov z lažnim predstavljanjem vključuje taktike socialnega inženiringa, zasnovanih za namene manipuliranja z žrtvami – običajno po e-pošti – da bi te razkrile občutljive podatke, kliknile zlonamerne povezave ali odprle zlonamerne datoteke. Napadi z lažnim predstavljanjem so za napadalce stroškovno učinkoviti in prilagodljivi za izogibanje ukrepom za njihovo preprečevanje, hkrati pa se ponašajo z visoko stopnjo uspešnosti.

Dejavniki človeškega vedenja

Tehnike socialnega inženiringa običajno temeljijo na napadalčevi samozavesti in sposobnosti prepričevanja tarč v izvajanje dejanj, ki so sicer neobičajna. Trije učinkoviti dejavniki so nujnost, čustva in navada.2 Nujnost  Nihče ne želi zamuditi časovno omejene priložnosti ali zamuditi pomembnega roka. Občutek nujnosti lahko pogosto prevara sicer razumne tarče napada k posredovanju osebnih podatkov.
Primer: lažna nujnost
Obvestilo o e-podpisu: Dokument za pregled in podpis ponudnika DocuSign. Pomembno sporočilo.
»Značilnost e-poštnega sporočila z lažnim predstavljanjem je navedba določenega časovnega okvirja. Prevaranti vas želijo spodbuditi, da v kratkem času sprejmete odločitev.«
Jack Mott – Obveščanje o grožnjah Microsoft

Čustva

Čustvena manipulacija lahko kibernetskim napadalcem zagotovi prednost, saj so ljudje bolj nagnjeni k izvajanju tveganih dejanj, zlasti če je prisoten strah, krivda ali jeza.

 

Primer: čustvena manipulacija

»Najučinkovitejša vaba, ki sem jo videl, je bilo zelo kratko e-poštno sporočilo, v katerem je pisalo, da je vaš zakonski partner stopil v stik z določeno družbo, ki je pripravila ločitvene dokumente. Če želite prenesti kopijo, kliknite povezavo.«
Sherrod DeGrippo – Obveščanje o grožnjah Microsoft

Navada

Storilci kaznivih dejanj zelo dobro opazujejo vedenje ter so še posebej pozorni na navade in rutine, ki jih ljudje izvajajo »spontano«, brez posebnega premisleka.

 

Primer: Običajna navada

Pri tehniki, znani kot »lažno predstavljanje s kodo QR3«, se prevaranti predstavijo kot ugledno podjetje in zahtevajo, da optično preberete kodo QR v njihovem e-poštnem sporočilu. V sporočilu je lahko na primer navedeno, da morate optično prebrati kodo, ker plačilo računa ni bilo izvedeno, ali pa morate ponastaviti geslo.

»Akterji groženj se prilagajajo poslovnemu ritmu. Odlično znajo uvajati vabe, ki so smiselne v kontekstu, v katerem jih običajno prejmemo.«
Jack Mott – Obveščanje o grožnjah Microsoft

Meja med osebno in poklicno osebnostjo zaposlenega je lahko včasih zelo zamegljena. Zaposleni lahko službeni e-poštni naslov uporablja za osebne račune, ki jih uporablja za delo. Včasih poskušajo akterji groženj to izkoristiti tako, da se predstavijo kot eden od teh programov, da bi pridobili dostop do poslovnih podatkov zaposlenega.

Diagram prikazuje: programe zvestobe, družabna omrežja, dostavo, souporabo vozil, bančništvo/investicije, pretakanje. Ta diagram vključuje primere, kako akterji groženj poskušajo pridobiti dostop do poslovnih podatkov zaposlenih.
»Kibernetski kriminalci pri prevarah z e-poštnim lažnim predstavljanjem preverijo, ali so v njihovih »vabah« na voljo e-poštni naslovi podjetij. Osebni spletni e-poštni naslovi zanje niso koristni. Službeni naslovi so pomembnejši, zato akterji zanje namenijo več sredstev in se osredotočijo na napad s tipkovnico za prilagajanje napadov za te račune.«
Jack Mott – Obveščanje o grožnjah Microsoft

»dolga prevara«

Napadi s socialnim inženiringom običajno niso hitri. Socialni inženirji sčasoma pridobijo zaupanje svojih žrtev z uporabo delovno intenzivnih tehnik, ki se začnejo z raziskavami. Cikel te vrste manipulacije lahko poteka tako:
  • Raziskava: Inženirji prepoznajo tarčo in zberejo osnovne informacije, kot so morebitne vstopne točke ali varnostni protokoli.
  • Vrinjanje: Inženirji se osredotočajo na vzpostavitev zaupanja s tarčo. Ustvarijo zgodbo, pritegnejo tarčo in prevzamejo nadzor nad interakcijo ter jo usmerijo v njihovo korist.
  • Izkoriščanje: Socialni inženirji sčasoma pridobijo podatke o tarči. Običajno tarča te informacije posreduje prostovoljno, inženirji pa lahko to uporabijo v svojo korist in pridobijo dostop do še bolj zaupnih informacij.
  • Dokončanje: Socialni inženir interakcijo naravno dokonča. Izkušeni inženir ta postopek izvede tako, da pri tarči ne vzbudi nikakršnega suma morebitne neiskrenosti.

Napadi BEC se na področju kibernetske kriminalitete razlikujejo po tem, da poudarjajo socialni inženiring in umetnost prevare. Uspešni napadi BEC organizacije letno stanejo več sto milijonov dolarjev. Leta 2022 je Center za prijavo internetnih kaznivih dejanj Zveznega preiskovalnega urada (FBI) zabeležil prilagojene izgube v višini več kot 2,7 milijarde USD za 21.832 vloženih pritožb zaradi prevar BEC.4

Glavne tarče BEC so izvršni direktorji in drugi vodilni delavci, finančni vodje, kadrovsko osebje, ki imajo dostop do evidenc zaposlenih, kot so številke socialnega zavarovanja, davčni izpiski ali drugi osebni podatki. Ciljno skupino predstavljajo tudi novi zaposleni, za katere je morda manj verjetno, da bodo preverili neznane e-poštne zahteve.

Skoraj vse oblike napadov BEC so v porastu. Najpogostejše vrste napadov BEC vključujejo:5

  • Neposredno ogrožanje e-pošte (DEC): ogroženi e-poštni računi so uporabljeni za izvajanje socialnega inženiringa za pridobivanje internih računovodskih vlog ali računovodskih vlog tretjih oseb za namene nakazovanja sredstev na bančni račun napadalca ali spreminjanje podatkov za plačilo za obstoječi račun.
  • Ogrožanje e-pošte dobavitelja (VEC): socialni inženiring obstoječega odnosa z dobaviteljem z vdorom v e-poštno sporočilo, povezano s plačilom, in prevzemom identitete zaposlenih v podjetju, da bi prepričali dobavitelja v preusmeritev neporavnanega plačila na nezakonit bančni račun.
  • Prevara z lažnim računom: množična prevara s socialnim inženiringom, ki izkorišča znane poslovne blagovne znamke, da bi podjetja prepričala v plačilo lažnih računov.
  • Poosebljanje odvetnika: izkoriščanje zaupanja vrednih odnosov z velikimi in znanimi odvetniškimi pisarnami za povečanje verodostojnosti pri vodjih malih in novoustanovljenih podjetij za namene dokončanja plačila zapadlih računov, zlasti pred pomembnimi dogodki, kot so prve javne ponudbe. Preusmeritev plačila na nezakonit bančni račun je izvedena, ko je podpisana pogodba o pogojih plačila.

Octo Tempest

Octo Tempest je finančno motiviran kolektiv angleško govorečih akterjev groženj, ki je znan po izvajanju obsežnih napadov s tehnikami napada s posrednikom AiTM, socialnim inženiringom in zamenjavo kartic SIM.

Scenarij lažnega predstavljanja: Uporabnik vnese geslo, večkratno preverjanje pristnosti, preusmeritev; vključen zlonamerni proxy

Diamond Sleet

Avgusta 2023 je akter groženj Diamond Sleet izvedel napad na dobavno verigo programske opreme nemškega ponudnika programske opreme JetBrains, ki je ogrozila strežnike za postopke gradnje, testiranja in uvajanja programske opreme. Ker je Diamond Sleet v preteklosti že uspešno vdrl v okolja za gradnjo, je Microsoft ocenil, da ta dejavnost predstavlja posebno veliko tveganje za prizadete organizacije.

Sangria Tempest6

Akter groženj Sangria Tempest, znan tudi pod imenom FIN, cilja restavracije in krade podatke plačilnih kartic. Ena njegovih najučinkovitejših vab vključuje obtožbo o zastrupitvi s hrano, katere podrobnosti si lahko ogledate, ko odprete zlonamerno priponko.

Sangria Tempest, ki deluje večinoma v Vzhodni Evropi, uporablja »podzemne« forume za pridobivanje rojenih govorcev angleščine, ki so usposobljeni za ki so usposobljeni za klicanje trgovin pri dostavi e-poštne vabe. S tem postopkom je skupina ukradla več deset milijonov podatkov plačilnih karticah.

Midnight Blizzard

Midnight Blizzard je ruski akter groženj, za katerega je znano, da cilja predvsem vladne in diplomatske ustanove, nevladne organizacije ter ponudnike storitev IT zlasti v ZDA in Evropi.

Midnight Blizzard uporablja sporočila aplikacije Teams za pošiljanje vab, ki poskušajo ukrasti poverilnice ciljane organizacije tako, da vključijo uporabnika in zahtevajo odobritev pozivov večkratnega preverjanje pristnosti (MFA).

Ali ste vedeli?

Microsoftova strategija poimenovanja akterjev groženj je prešla na novo taksonomijo poimenovanja akterjev groženj, ki se zgleduje po motivih, povezanih z vremenom.

Seznam naravnih in kibernetskih groženj

Čeprav so napadi s socialnim inženiringom lahko dovršeni, jih lahko preprečite z izvedbo nekaterih ukrepov.7 Če ustrezno skrbite za svojo zasebnost in varnost, lahko napadalce premagate v njihovi lastni igri.

Najprej uporabnikom naročite, naj bodo njihovi osebni računi zasebni in naj jih ne uporabljajo za službena e-poštna sporočila ali opravila, povezana z delom.

Prav tako uvedite uporabo večkratnega preverjanja pristnosti. Socialni inženirji običajno iščejo informacije, kot so poverilnice za prijavo. Če imate omogočeno večkratno preverjanje pristnosti in napadalec vseeno pridobi vaše uporabniško ime in geslo, ne more pridobiti dostopa do vaših računov in osebnih podatkov.8

Ne odpirajte e-poštnih sporočil ali prilog sumljivih virov. Če vam prijatelj pošlje povezavo, ki jo morate nujno klikniti, se obrnite nanj in preverite, ali je sporočilo pristno. Preden kar koli kliknete, razmislite, ali je pošiljatelj res oseba oziroma entiteta, za katero se predstavlja.

Ne odzovite se takoj in prej preverite

Bodite previdni pri ponudbah, ki so preveč mamljive, da bi bile resnične. Ne morete zmagati v nagradni igri, v kateri ne sodelujete, in nobena tuja kraljevska družina vam ne bo zapustila velike vsote denarja. Če se vam zdi ponudba preveč mamljiva, jo hitro preglejte in ugotovite, ali je zakonita oziroma past.

Ne dajte jo v skupno rabo s prevelikim številom oseb v spletu. Socialni inženirji potrebujejo zaupanje svojih tarč, da so njihove prevare lahko uspešne. Če v profilih v družabnih omrežjih najdejo vaše osebne podatke, jih lahko uporabijo, da zagotovijo večjo verodostojnost prevare.

Zaščitite svoje računalnike in naprave. Uporabljajte protivirusno programsko opremo, požarne zidove in e-poštne filtre. Če je vaša naprava ogrožena, imate tako na voljo zaščito, s katero zavarujete podatke.

»Ko prejmete sumljiv telefonski klic ali e-poštno sporočilo, je ključno, da se ne odzovete takoj in prej preverite. Ljudje delajo napake, kadar ukrepajo prehitro, zato moramo zaposlene opozoriti, da se v takšnih primerih ni treba takoj odzvati.«
Jack Mott – Obveščanje o grožnjah Microsoft

Več informacij o tem, kako lahko zaščitite svojo organizacijo, je na voljo v videoposnetku Tveganje zaupanja: grožnje socialnega inženiringa in kibernetska obramba.

Sorodni članki

Strokovni nasveti o treh najbolj perečih izzivih kibernetske varnosti

Glavni vodja skupine Justin Turner, Microsoft Security Research, opisuje tri trajne izzive, s katerimi se je srečal v svoji karieri na področju kibernetske varnosti: upravljanje konfiguracije, popravljanje in vidnost naprav.
Več informacij

Storitev CaaS (cybercrime-as-a-service) nosi krivdo za 38 % porast goljufij na področju poslovne e-pošte

Ogrožanje poslovne e-pošte (BEC) je zdaj v porastu, saj lahko kibernetski kriminalci prikrijejo vir svojih napadov. Spoznajte storitev CaaS in kako lahko z njo zaščitite svojo organizacijo.
Več informacij

Microsoft, Amazon in mednarodni organi pregona so se združili v boju proti goljufijam na področju tehnične podpore

Oglejte si, kako sta Microsoft in Amazon prvič v zgodovini združila moči, da bi uničila nezakonite klicne centre za tehnično podporo po vsej Indiji.
Več informacij

Spremljajte Microsoftovo varnost