Proste kroki w celu ochrony przed atakami z zakresu inżynierii społecznej COVID-19

Ludzie na całym świecie stają w obliczu lęków i obaw związanych z wirusem COVID-19, przestępcy również zwracają na to uwagę. Niestety, wykorzystują to jako okazję do kradzieży pieniędzy i danych osobowych poprzez oszustwa z zakresu inżynierii społecznej dokonywane za pomocą poczty elektronicznej, wiadomości tekstowych oraz rozmów telefonicznych.

W ciągu ostatnich kilku tygodni wzrosła liczba prób zwabienia niczego niepodejrzewających ofiar na złośliwe strony, klikanie w złośliwe linki lub podawanie danych osobowych przez telefon w związku z rzekomą pandemią koronawirusa. Wielu oszustów próbuje podszywać się pod legalnie działające organizacje, takie jak Centrum Zwalczania Chorób czy Światowa Organizacja Zdrowia, oferując fałszywe aktualizacje informacji, a nawet dostęp do szczepionek, ale wszystko oczywiście odbywa się za określoną cenę!

Inżynieria społeczna nieustannie żeruje na jednym zagrożeniu, którego nie da się naprawić: ludziach takich jak Ty i ja

Co więcej, nikt nie jest zabezpieczony przed tymi wysiłkami – od pracowników administracyjnych, wykonawców, stażystów, aż po kadrę zarządzającą, a nawet partnerów biznesowych, którzy mogą być celem uzyskania dostępu do naszych sieci i informacji wrażliwych. A dla tych z nas, którzy obecnie łączą się z biurem poprzez sieci domowe, nawet dzieci są potencjalnymi celami. To nieustanne bombardowanie, codziennie, w każdej minucie dnia, 24/7/365.

Przestępcy w celu wygenerowania profili ofiar idą po linii najmniejszego oporu. Włamują się do psychiki osób będących ich celem (które rzadko zdają sobie sprawę z ich nieprawdziwej tożsamości), a także polegają na publicznie dostępnej informacji. Cyberprzestępcy są ekspertami w sztuce maskowania, manipulowania, wywierania wpływu i wymyślania przynęt, aby oszukiwać cele i w konsekwencji ujawnić poufne dane i uniemożliwić im dostęp do naszych sieci lub obiektów.

Po co marnować kosztowne 0Days, skoro inżyniera społeczna jest tak skuteczna?

Zrozumienie podstawowych wektorów ataku używanych przez przeciwnika jest kluczowe, jeśli chodzi o odstraszanie. Oto przykłady ataków opartych na inżynierii społecznej:

Ataki cyfrowe

Phishing/Spearphishing – ataki za pomocą poczty elektronicznej, które są skierowane do wielu albo konkretnych osób lub roli w organizacji w celu nakłonienia do kliknięcia w złośliwe linki, wprowadzenia danych uwierzytelniających czy innych danych osobowych

Oszustwa w mediach społecznościowych – ataki polegające na tworzeniu fałszywych profili, w celu zaprzyjaźnienia się z ofiarami, udając obecnego lub byłego współpracownika, pracownika rekrutacji lub kogoś, kto ma wspólne zainteresowania w mediach społecznościowych, a zwłaszcza na LinkedIn. Ich celem jest oszukanie ofiary w celu dostarczenia przez nią poufnych informacji lub pobrania złośliwego oprogramowania na jej urządzenie.

Pretexting – napastnicy skupiają się na tworzeniu dobrego pretekstu albo fałszywej, ale wiarygodnej sfabrykowanej historii, tak aby mogli wykorzystać ją do udawania, że potrzebują pewnych informacji do swojego celu, aby potwierdzić tożsamość.

WaterHoling – strategia, w ramach której atakujący zbierają informacje o grupie docelowej osób w danej organizacji, branży lub regionie dotyczące tego, jakie strony internetowe często odwiedzają. Atakujący szukają na tych stronach podatności, aby zainfekować je złośliwym oprogramowaniem. Ostatecznie osoby należące do grupy docelowej odwiedzają te witryny, a następnie ulegają infekcji.

Ataki telefoniczne

Smishing – atak na wiadomości tekstowe podszywające się pod legalne źródło w celu zwabienia ofiary do pobrania wirusów i złośliwego oprogramowania na swój telefon komórkowy lub inne urządzenie mobilne.

Vishing – atak telefoniczny, w którym atakujący dzwonią na telefon komórkowy, podszywając się pod legalne źródło, np. bank, aby przekonać cel do ujawnienia informacji poufnych, takich jak dane o kartach kredytowych lub numerach ubezpieczenia społecznego. Taktyki stosowane prze tych oszustów często opierają się na tzw. „spoofingu tożsamości rozmówcy”. ID spoofing pozwala im na generowanie połączeń telefonicznych, które wydają się pochodzić z legalnych lub lokalnych źródeł.

Naszym celem jest wyprzedzenie ataków, ale nawet najbardziej zaawansowana technologia nie jest w stanie zapewnić wystarczającej blokady przed ciągłymi cyberatakami, zwłaszcza w zakresie inżynierii społecznej. Problem polega na tym, że 95% wszystkich naruszeń bezpieczeństwa polega na błędzie ludzkim. Dlatego też konieczne jest zapewnienie, że Ty i Twoi współpracownicy staniecie się pierwszą linią obrony, a to wymaga uświadomienia sobie kwestii bezpieczeństwa.

Zwiększ bezpieczeństwo, podejmując proste kroki, aby chronić swoje dane osobowe i zastrzeżone

  • Bądź podejrzliwy wobec wszystkich wiadomości e-mail oraz SMS-ów z prośbą o podanie poufnych informacji lub danych dotyczących transakcji finansowych.
  • Przesuń kursor nad i przejrzyj wszystkie hiperłącza przed kliknięciem, aby potwierdzić, że pochodzą z legalnych źródeł.
  • Wykorzystaj wieloskładnikowe uwierzytelnianie w celu uzyskania bezpiecznego dostępu do wrażliwych systemów i baz danych.
  • Upewnij się, że Twoja przeglądarka, urządzenia przenośne i systemy komputerowe są na bieżąco aktualizowane o najnowsze zabezpieczenia.
  • Nigdy nie używaj ponownie haseł na wielu kontach i urządzeniach. Unikalność i złożoność haseł mają kluczowe znacznie dla zabezpieczenia przed dodatkowym ryzykiem dla naszych sieci.

W ciągu ostatnich kilku tygodni wszyscy praktykowaliśmy dystans społeczny, aby chronić się przed wirusami i chorobami. Podobnie powinniśmy rozważyć zdystansowanie się od atakujących w cyberprzestrzeni. Trzymaj się z dala od cyberprzestępców, uważaj na podejrzane żądania, nieznane próby kontaktu i niechciane informacje. Bądź obrońcą swoich informacji, sieci i zdrowia.