Inżynieria społeczna jest elementem zdecydowanej większości cyberataków, ale nowy raport firmy Proofpoint ujawnił pięć powszechnych założeń inżynierii społecznej, które nie tylko są błędne, ale są też często wykorzystywane przez złośliwych hakerów w ich atakach.

Komentując wyniki raportu, Sherrod DeGrippo, wiceprezes Proofpoint ds. badań nad zagrożeniami i wykrywania, stwierdził, że firma podjęła próbę obalenia błędnych założeń przyjmowanych przez organizacje i zespoły bezpieczeństwa, aby mogły one lepiej chronić pracowników przed cyberprzestępczością. "Pomimo najlepszych starań obrońców, cyberprzestępcy nadal wyłudzają, wymuszają i żądają okupów sięgających miliardów dolarów rocznie. Osoby podejmujące decyzje dotyczące bezpieczeństwa za priorytet uznały wzmocnienie ochrony infrastruktury fizycznej i chmurowej, co doprowadziło do tego, że człowiek stał się najbardziej zaufanym punktem wejścia do systemu. W rezultacie, nadal opracowywany jest szeroki wachlarz treści i technik mających na celu wykorzystanie ludzkich zachowań i zainteresowań".

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Rzeczywiście, cyberprzestępcy posuwają się do kreatywnych i czasami niezwykłych działań, aby przeprowadzić kampanie socjotechniczne.

Oto pięć błędnych przekonań na temat inżynierii społecznej, które wzmacniają skuteczność ataków, przedstawionych przez Proofpoint.

1. Cyberprzestępcy nie prowadzą rozmów z celami

Według raportu błędne jest przekonanie, że osoby atakujące nie poświęcają czasu i wysiłku na rozmowy z ofiarami w celu zbudowania relacji. Badacze Proofpointa zaobserwowali w zeszłym roku, jak wielu uczestników zagrożeń wysyłało grzeczne e-maile, aby rozpocząć rozmowę. "Skuteczna socjotechnika polega na generowaniu w użytkowniku uczuć, które skłaniają go do zaangażowania się w treść. Wysyłając grzeczne e-maile z zamiarem wprowadzenia użytkownika w fałszywe poczucie bezpieczeństwa, autorzy zagrożeń przygotowują grunt pod relację, która może być łatwiejsza do wykorzystania" - czytamy w raporcie.

Proofpoint zaobserwował wiele kampanii typu business email compromise (BEC), dystrybucji złośliwego oprogramowania oraz kampanii typu advanced persistent threat (APT) wykorzystujących łagodne rozmowy do przeprowadzenia ataków, z których ostatnie obejmowały aktywność TA453, TA406 i TA499.

2. Legalne usługi są zabezpiecznoe przed nadużyciami z zakresu inżynierii społecznej

Użytkownicy mogą być bardziej skłonni do interakcji z treściami, jeśli wydają się pochodzić ze źródła, które rozpoznają i któremu ufają, ale zdaniem Proofpointa aktorzy zagrożeń regularnie nadużywają legalnych usług, takich jak dostawcy pamięci masowej w chmurze i sieci dystrybucji treści, aby hostować i dystrybuować złośliwe oprogramowanie, a także portale zbierające dane uwierzytelniające. "Aktorzy zagrożeń mogą preferować dystrybucję złośliwego oprogramowania za pośrednictwem legalnych usług ze względu na prawdopodobieństwo ominięcia zabezpieczeń w poczcie elektronicznej w porównaniu ze złośliwymi dokumentami. Łagodzenie zagrożeń hostowanych w legalnych usługach nadal jest trudnym wektorem obrony, ponieważ prawdopodobnie wymaga wdrożenia całościowego rozwiązania służącego do wykrywania lub opartego na polityce blokowania usług, które mogą być istotne dla biznesu" - czytamy w raporcie. Analiza przeprowadzona przez Proofpoint na poziomie kampanii wykazała, że usługą najczęściej wykorzystywaną przez czołowych przestępców internetowych jest OneDrive, a następnie Google Drive, Dropbox, Discord, Firebase i SendGrid.

3. Atakujący używają tylko komputerów, a nie telefonów

Istnieje tendencja do zakładania, że ataki socjotechniczne ograniczają się do poczty elektronicznej, ale Proofpoint wykrył wzrost liczby ataków przeprowadzanych przez podmioty wykorzystujące rozbudowany ekosystem zagrożeń e-mailowych opartych na call center i wymagających interakcji z ludźmi przez telefon. "Wiadomości e-mail same w sobie nie zawierają złośliwych linków ani załączników, a osoby fizyczne muszą proaktywnie zadzwonić pod fałszywy numer obsługi klienta podany w wiadomości e-mail, aby nawiązać kontakt z podmiotem stanowiącym zagrożenie. Proofpoint obserwuje ponad 250 000 tego typu zagrożeń każdego dnia".

W raporcie zidentyfikowano dwa rodzaje zagrożeń związanych z call center - jeden wykorzystujący darmowe, legalne oprogramowanie do zdalnej pomocy w celu kradzieży pieniędzy, a drugi wykorzystujący złośliwe oprogramowanie udające dokument, w celu narażenia komputera na niebezpieczeństwo (często kojarzone ze złośliwym oprogramowaniem BazaLoader, określanym także jako BazaCall). "Oba typy ataków są tym, co Proofpoint uważa za dostarczanie ataków ukierunkowanych na telefon (TOAD)" - dodano. Ofiary mogą stracić dziesiątki tysięcy dolarów w wyniku tego typu zagrożeń - Proofpoint przytacza przykład osoby, która straciła prawie 50 000 dolarów w wyniku ataku ze strony cyberprzestępcy podającego się za przedstawiciela firmy Norton LifeLock.

4. Odpowiadanie na istniejące konwersacje e-mail jest bezpieczne

Poczucie zaufania i bezpieczeństwa towarzyszące istniejącym rozmowom e-mailowym jest wykorzystywane przez oszustów poprzez porywanie wątków lub konwersacji - stwierdza Proofpoint. "Przestępca wykorzystujący tę metodę żeruje na zaufaniu danej osoby do istniejącej konwersacji e-mailowej. Zazwyczaj odbiorca spodziewa się odpowiedzi od nadawcy, dlatego jest bardziej skłonny do interakcji z wklejoną treścią" - napisano.

Aby skutecznie przejąć istniejącą konwersację, atakujący muszą uzyskać dostęp do skrzynek pocztowych legalnych użytkowników, który można uzyskać na różne sposoby, w tym poprzez phishing, ataki złośliwego oprogramowania, listy uwierzytelniające dostępne na forach hakerskich lub techniki rozpraszania haseł. Atakujący mogą również przejmować całe serwery e-mail lub skrzynki pocztowe i automatycznie wysyłać odpowiedzi z botnetów kontrolowanych przez cyberprzestępców. "W 2021 roku Proofpoint zaobserwował ponad 500 kampanii wykorzystujących porywanie wątków, związanych z 16 różnymi rodzinami złośliwego oprogramowania. Główni atakujący, w tym TA571, TA577, TA575 i TA542, regularnie wykorzystują hijacking wątków w kampaniach".

5. Oszuści wykorzystują jako przynętę tylko treści związane z biznesem

Chociaż złośliwi hakerzy często będą celować w pracowników biznesowych, założenie, że jako przynęty używają treści związanych z biznesem jest błędne - twierdzi Proofpoint. W rzeczywistości w znacznym stopniu wykorzystują aktualne wydarzenia, wiadomości i kulturę popularną, aby skłonić ludzi do zaangażowania się w złośliwe treści. W raporcie przytoczono kilka kampanii z zeszłego roku, w których zastosowano takie podejście, w tym:

- ataki BazaLoader wykorzystujące motywy walentynkowe, takie jak kwiaty i bielizna

- TA575 rozprzestrzeniający trojana bankowego Dridex przy użyciu motywów z serialu Netflixa Squid Game, skierowany do użytkowników w Stanach Zjednoczonych.

- Kampanie związane z Urzędem Skarbowym (Internal Revenue Service, IRS) wykorzystujące pomysł, że potencjalnej ofierze należy się dodatkowy zwrot pieniędzy, w celu pozyskania różnych informacji umożliwiających identyfikację osób (PII).

- średnio ponad sześć milionów zagrożeń związanych z COVID-19 dziennie w 2021 r.

Firmy muszą szkolić pracowników w zakresie taktyk socjotechnicznych i obalać błędne przekonania

Biorąc pod uwagę zarówno kreatywność taktyk inżynierii społecznej, jak i błędne przekonania na temat metod stosowanych przez oszustów, organizacje muszą zaangażować swoich pracowników, aby zwiększyć świadomość rzeczywistych zagrożeń związanych z inżynierią społeczną i zmienić nastawienie, które może być podatne na wykorzystanie. "Najbardziej skutecznym sposobem działania dla każdej firmy jest zmiana kultury organizacyjnej w kierunku postawy, w której identyfikacja nadchodzących zagrożeń jest rozumiana jako istotna i konieczna. Oznacza to zachęcanie do zapoznania się z szerokim wachlarzem treści, które mogą być wykorzystywane przez podmioty stanowiące zagrożenie oraz narzucanie niewielu przeszkód dla bardziej regularnego oznaczania treści jako potencjalnie złośliwych" - czytamy w raporcie Proofpoint.

Dla Raefa Meeuwisse, konsultanta ds. cyberbezpieczeństwa i autora książki „How to Hack a Human: Cybersecurity for the Mind”, pracownicy muszą być uświadamiani, że najbardziej przekonujące oszustwa socjotechniczne często wydają się równie autentyczne, jak wiele rzeczy, z którymi mają do czynienia w codziennej pracy - a nawet bardziej. "Lapsus$ posunął się nawet do wysyłania prawdziwych próśb o uwierzytelnienie wieloczynnikowe za pośrednictwem prawdziwej platformy bezpieczeństwa do prawdziwych pracowników - i wiele z tych fałszywych próśb zostało zatwierdzonych przez odbiorców" - mówi CSO.

Najlepszym sposobem na umożliwienie pracownikom wykrycia socjotechniki jest zwrócenie ich uwagi na wszelkie sytuacje, które wywołują nagłą panikę i potrzebę niezwłocznego działania, dodając, że jeśli użytkownicy doświadczają tych dwóch objawów razem, w 99,99% przypadków są ofiarami oszustwa za pomocą socjotechniki" - mówi Meeuwisse. "Oczywiście pracownicy powinni zostać przeszkoleni, aby zgłaszać potencjalne działania socjotechniczne do grupy reagowania na incydenty, a w razie wątpliwości prosić o wskazówki".

Jednak w kwestii obalania mitów na temat inżynierii społecznej Meeuwisse radzi również firmom, aby zdawały sobie sprawę, że zagrożenia nie zawsze pochodzą z zewnątrz organizacji. "To, o czym się zapomina lub całkowicie pomija, to metody zgłaszania, sprawdzania i monitorowania osób, które celowo podszywają się pod organizację, aby ją wykorzystać" - mówi. "Jest to problem znacznie poważniejszy, niż się wielu organizacjom wydaje, ponieważ poważne naruszenia spowodowane działaniami nieuczciwych osób wewnątrz organizacji są rzadko ujawniane w mediach, a mimo to statystyki wskazują, że nieuczciwe osoby wewnątrz organizacji stanowią poważny problem". Jeśli organizacja w niewielkim stopniu lub wcale nie sprawdza tożsamości, nie ma mechanizmu anonimowego zgłaszania nieprawidłowości lub (w dwóch przypadkach, z którymi się zetknął) ma nieuczciwego insidera odpowiedzialnego za weryfikację innych nieuczciwych insiderów, to - jak mówi - istnieje duża luka w zabezpieczeniach przed działaniami socjotechnicznymi.

Artykuł pochodzi z CSO