Старые тактики в новых пакетах возглавляют список современных атак социальной инженерии. Эксперты приводят примеры из реальной жизни.
Это было время бума социальной инженерии. Пандемия паники, отчаяние, вызванное ростом опасений по поводу доходов, и беспокойство о здоровье и благополучии, облегчили преступникам возможность проникнуться страхом.
Социальная инженерия, конечно, означает нападение на пользователя, а не на саму вычислительную систему, попытка извлечь информацию или спровоцировать действие, которое приведет к компрометации. Он стар, как ложь, с новым названием компьютерной эры - и это прекрасная метафора развития тактики социальной инженерии.
«Обычно это те же самые уловки, заключенные в новую упаковку - и это именно то, что мы видим», - сказал Перри Карпентер, главный евангелист и директор по стратегии KnowBe4, компании, занимающейся обучением вопросам безопасности.
Как известно специалистам по безопасности, упаковка имеет значение, и знакомая атака может проскользнуть сквозь защиту в незнакомом обличье.
Вот некоторые тактические приемы, которые, по мнению экспертов по социальной инженерии, в 2021 году будут набирать популярность.
1. Вредоносные QR-коды.
В прошлом году на экране радара стали появляться фишинговые мошенничества, связанные с QR-кодами .
QR-коды - эти машиночитаемые черно-белые матричные коды, расположенные в квадрате - становятся все более популярным способом для компаний взаимодействовать с потребителями и предоставлять услуги в разгар COVID-19. Например, многие рестораны отказались от бумажных меню и вместо этого позволяют посетителям сканировать QR-код с помощью своего смартфона. Точно так же этой весной многие девушки-скауты разместили QR-коды для бесконтактного заказа и доставки файлов cookie.
Но многие веб-сайты, на которые отправляют людей QR-коды, обслуживаются сторонними поставщиками. При сканировании вредоносный QR-код может подключать телефоны к злоумышленникам - так же, как нажатие на плохую ссылку. Та же концепция; новая обертка.
«Люди могут просто предположить, что код и веб-сайт являются законными», - сказал Карпентер.
Методы «доставки» этой тактики социальной инженерии различаются. Оз Алаше (Oz Alashe), генеральный директор британской компании CybSafe, занимающейся безопасностью и аналитикой, сказал, что слышал о том, что в некоторых районах падают листовки с мошенническими кодами, которые обещают: «Отсканируйте этот QR-код, чтобы получить шанс выиграть Xbox».
«Часто код ведет на хитрый сайт, который загружает вредоносное ПО на их телефон», - сказал Алаше.
2. Взлом уведомлений браузера.
Веб-сайты в течение нескольких лет просили посетителей одобрять «уведомления» с сайта. То, что когда-то было полезным способом взаимодействовать с читателями и держать их в курсе, теперь, конечно, также является инструментом социальной инженерии.
«Это так называемые push-уведомления, и их можно использовать в качестве оружия», - сказал Карпентер. «Проблема в том, что многие пользователи вслепую нажимают« да », чтобы разрешить эти уведомления». Хотя многие пользователи усвоили определенный уровень осторожности при работе с веб-браузерами, уведомления больше похожи на системные сообщения от самого устройства, а не от браузера.
Даже для пользователей, которые не говорят «да» вслепую, мошенники находят способы установить свои скрипты уведомлений. Тактика включает маскировку согласия на подписку под другое действие, например CAPTCHA, или переключение кнопок «принять» и «отклонить» в предупреждениях о подписке в середине действия.
Как только мошенник получает согласие пользователя (полученное нечестным путем), они начинают заваливать его сообщениями - обычно это фишинговые схемы или мошеннические уведомления, содержащие вредоносное ПО.
3. Мошенничество, связанное с совместной работой
По словам Алаше, с помощью этой тактики социальной инженерии киберпреступники нацелены на профессионалов в областях сотрудничества, включая дизайнеров, разработчиков и даже исследователей безопасности. Приманка - это приглашение к совместной работе.
Недавние ограничения на пандемию и расширение работы на дому повысили комфорт людей с помощью удаленного сотрудничества, поэтому эта тактика хорошо вписывается в наше время.
«Злоумышленники отправляют проект Visual Studio, содержащий вредоносный код. Пользователь самостоятельно запускает программу, и его устройство довольно быстро заражается. Эта атака, по сути, эксплуатирует желание или потребность помогать или помогать другим в увлеченных проектах », - сказал Алаше.
Цури Бар Йохай, соучредитель и технический директор охранной фирмы Reblaze, сказал, что примеры этой атаки часто хорошо продуманы и демонстрируют большое внимание к деталям.
«Злоумышленники выдавали себя за активных исследователей и создавали социальное доказательство» - с очевидной проверкой их исследований третьими сторонами - «используя блог, включающий статьи из отраслевых источников в качестве« гостевых постов », учетных записей Twitter, видео на YouTube, LinkedIn, Discord и т. Д.», - сказал он. сказал. Подозрительная цель может быть облегчена этим, казалось бы, широким социальным следом.
4. Выдача себя за партнера по цепочке поставок.
Джордж Герчоу, руководитель службы безопасности Sumo Logic, сказал, что атаки, использующие части цепочки поставок организации, в настоящее время представляют собой большую проблему.
«Нелегко защищать то, что вы не видите, и вы настолько сильны, насколько сильны самые слабые звенья», - сказал Герхов. «Например, было множество целевых электронных писем, которые выглядели так, как будто они были от ваших доверенных партнеров, но на самом деле являются плохими актерами, которые выдают себя за сотрудников, которых вы, возможно, знаете в своей сети».
Гершоу сказал, что он впервые заметил, как мошенники предлагают подарочные карты сотрудникам Sumo Logic, замаскированные под поощрения или благодарности от реальных деловых партнеров компании.
Но со временем атаки стали еще более детализированными.
«Теперь мы видим эти долгие и изощренные попытки построить доверительные отношения или отношения с некоторыми из наших исходящих команд, вся работа которых состоит в том, чтобы помогать. Злоумышленники даже выдавали себя за поставщиков, использующих наш продукт с бесплатными учетными записями, и рассмотрели варианты использования и сценарии, чтобы привлечь опыт внутри нашей компании».
Устанавливая эти доверительные отношения, конечная цель злоумышленников - сделать стандартные тактики социальной инженерии более эффективными, получая помощь в обходе мер безопасности или рассылая вредоносное ПО, которое скомпрометирует системы целевой компании.
Заголовок решений нападения на SolarWinds является примером цепной атаки питания - в этого случая конкретной версия называется поставщика электронной почты компромиссных атак (VEC). Как отметили официальные лица SolarWinds, «учетная запись электронной почты была взломана и использовалась для программного доступа к учетным записям целевого персонала SolarWinds на рабочих и технических должностях».
5. Записи Deepfake
Социальные инженеры теперь используют дипфейки - изначально реалистичные записи, в которых используется искусственный интеллект для имитации внешнего вида или голоса конкретного человека, - чтобы обманом заставить жертв разгласить информацию или выполнить действие, которое приносит пользу злоумышленнику.
Бар Йохай из Reblaze сказал, что атаки с использованием аудио дипфейка, в которых злоумышленник использует «клонированный» голос, почти неотличимый от голоса реального человека, для создания мошеннической аудиозаписи, вызывают растущую озабоченность. Один из первых успешных примеров - 2019 год, когда фальшивая запись голоса генерального директора использовалась для указания сотруднику немедленно перевести деньги на международный счет.
«Запись была оставлена в качестве голосовой почты для подчиненного, который выполнил мошеннические инструкции и отправил злоумышленникам 243 000 долларов», - сказал Бар Йохай.
Герхов также сказал, что видел, как преступники использовали дипфейки с записями, чтобы манипулировать персоналом с целью отправки денег или предоставления личной информации - пока только аудиозаписи, но Герхов считает, что дипфейки видео - это всего лишь вопрос времени.
«Обучение, осведомленность, самоотчетность и прозрачность - единственный способ повысить уровень защиты от этих атак», - сказал Герхов. «Безопасность должна быть доступной и, конечно же, все регистрировать».
6. Текстовое мошенничество
Некоторое время текст использовался для мошенничества с социальной инженерией, но Ребекка Херольд, эксперт по конфиденциальности и безопасности IEEE, говорит, что тактика текстовых сообщений становится все более популярной.
«Мы становимся обществом, в котором большая часть населения предпочитает общаться с помощью текстовых сообщений, а не телефона. Сейчас люди чрезвычайно привыкли передавать очень конфиденциальную информацию с помощью текстовых сообщений », - говорит Херольд.
Поскольку за последний год выросли масштабы доставки продуктов и еды, количество мошеннических текстов, связанных с доставкой, растет. Другие распространенные приманки включают тексты, которые обещают информацию о проверках стимулов COVID, которые связывают жертв с веб-сайтом, который выглядит как сайт IRS, и запрашивает конфиденциальную личную информацию, такую как дата рождения и номер социального страхования.
Херольд сказала, что она также видела текстовые мошенничества, в которых мошенники выдают себя за Министерство здравоохранения и социальных служб США и говорят жертвам, что они должны пройти «обязательный онлайн-тест на COVID», используя предоставленную ссылку.
«Затем, как и в случае с другими видами мошенничества, их личная информация изымается, и на их вычислительные устройства часто загружается вредоносное ПО», - сказал Херольд.
Как и в случае с QR-кодами, жертвы просто не достигли необходимого уровня осведомленности и осторожности.
7. Типосквоттинг или похожие домены.
Карпентер сказал, что типосквоттинг - или похожие домены - часто используются при атаке компрометации корпоративной электронной почты (BEC). Мошенники выдают себя за законные домены, чтобы заставить жертв думать, что они находятся в безопасном месте.
Они делают это с помощью множества уловок, включая неправильное написание домена (подумайте о Gooogle вместо Google) или добавление другого домена верхнего уровня (.uk вместо .co.uk). В отличие от зачастую небрежных версий прежних дней, сегодня эти сайты могут иметь сложный дизайн, тщательно детализированную имитацию законных сайтов и сложную функциональность.
«Жертвы социальной инженерии обычно обманом заставляют либо почувствовать психологическую безопасность по своему выбору, либо искать психологическую безопасность таким образом, чтобы это сыграло на руку злоумышленнику», - сказал Карпентер.
Преступники настраивают эти сайты не только для доставки вредоносного ПО, но и для сбора информации о кредитных картах или других конфиденциальных данных с помощью поддельных полей входа или других поддельных форм.
Это было время бума социальной инженерии. Пандемия паники, отчаяние, вызванное ростом опасений по поводу доходов, и беспокойство о здоровье и благополучии, облегчили преступникам возможность проникнуться страхом.
Социальная инженерия, конечно, означает нападение на пользователя, а не на саму вычислительную систему, попытка извлечь информацию или спровоцировать действие, которое приведет к компрометации. Он стар, как ложь, с новым названием компьютерной эры - и это прекрасная метафора развития тактики социальной инженерии.
«Обычно это те же самые уловки, заключенные в новую упаковку - и это именно то, что мы видим», - сказал Перри Карпентер, главный евангелист и директор по стратегии KnowBe4, компании, занимающейся обучением вопросам безопасности.
Как известно специалистам по безопасности, упаковка имеет значение, и знакомая атака может проскользнуть сквозь защиту в незнакомом обличье.
Вот некоторые тактические приемы, которые, по мнению экспертов по социальной инженерии, в 2021 году будут набирать популярность.
1. Вредоносные QR-коды.
В прошлом году на экране радара стали появляться фишинговые мошенничества, связанные с QR-кодами .
QR-коды - эти машиночитаемые черно-белые матричные коды, расположенные в квадрате - становятся все более популярным способом для компаний взаимодействовать с потребителями и предоставлять услуги в разгар COVID-19. Например, многие рестораны отказались от бумажных меню и вместо этого позволяют посетителям сканировать QR-код с помощью своего смартфона. Точно так же этой весной многие девушки-скауты разместили QR-коды для бесконтактного заказа и доставки файлов cookie.
Но многие веб-сайты, на которые отправляют людей QR-коды, обслуживаются сторонними поставщиками. При сканировании вредоносный QR-код может подключать телефоны к злоумышленникам - так же, как нажатие на плохую ссылку. Та же концепция; новая обертка.
«Люди могут просто предположить, что код и веб-сайт являются законными», - сказал Карпентер.
Методы «доставки» этой тактики социальной инженерии различаются. Оз Алаше (Oz Alashe), генеральный директор британской компании CybSafe, занимающейся безопасностью и аналитикой, сказал, что слышал о том, что в некоторых районах падают листовки с мошенническими кодами, которые обещают: «Отсканируйте этот QR-код, чтобы получить шанс выиграть Xbox».
«Часто код ведет на хитрый сайт, который загружает вредоносное ПО на их телефон», - сказал Алаше.
2. Взлом уведомлений браузера.
Веб-сайты в течение нескольких лет просили посетителей одобрять «уведомления» с сайта. То, что когда-то было полезным способом взаимодействовать с читателями и держать их в курсе, теперь, конечно, также является инструментом социальной инженерии.
«Это так называемые push-уведомления, и их можно использовать в качестве оружия», - сказал Карпентер. «Проблема в том, что многие пользователи вслепую нажимают« да », чтобы разрешить эти уведомления». Хотя многие пользователи усвоили определенный уровень осторожности при работе с веб-браузерами, уведомления больше похожи на системные сообщения от самого устройства, а не от браузера.
Даже для пользователей, которые не говорят «да» вслепую, мошенники находят способы установить свои скрипты уведомлений. Тактика включает маскировку согласия на подписку под другое действие, например CAPTCHA, или переключение кнопок «принять» и «отклонить» в предупреждениях о подписке в середине действия.
Как только мошенник получает согласие пользователя (полученное нечестным путем), они начинают заваливать его сообщениями - обычно это фишинговые схемы или мошеннические уведомления, содержащие вредоносное ПО.
3. Мошенничество, связанное с совместной работой
По словам Алаше, с помощью этой тактики социальной инженерии киберпреступники нацелены на профессионалов в областях сотрудничества, включая дизайнеров, разработчиков и даже исследователей безопасности. Приманка - это приглашение к совместной работе.
Недавние ограничения на пандемию и расширение работы на дому повысили комфорт людей с помощью удаленного сотрудничества, поэтому эта тактика хорошо вписывается в наше время.
«Злоумышленники отправляют проект Visual Studio, содержащий вредоносный код. Пользователь самостоятельно запускает программу, и его устройство довольно быстро заражается. Эта атака, по сути, эксплуатирует желание или потребность помогать или помогать другим в увлеченных проектах », - сказал Алаше.
Цури Бар Йохай, соучредитель и технический директор охранной фирмы Reblaze, сказал, что примеры этой атаки часто хорошо продуманы и демонстрируют большое внимание к деталям.
«Злоумышленники выдавали себя за активных исследователей и создавали социальное доказательство» - с очевидной проверкой их исследований третьими сторонами - «используя блог, включающий статьи из отраслевых источников в качестве« гостевых постов », учетных записей Twitter, видео на YouTube, LinkedIn, Discord и т. Д.», - сказал он. сказал. Подозрительная цель может быть облегчена этим, казалось бы, широким социальным следом.
4. Выдача себя за партнера по цепочке поставок.
Джордж Герчоу, руководитель службы безопасности Sumo Logic, сказал, что атаки, использующие части цепочки поставок организации, в настоящее время представляют собой большую проблему.
«Нелегко защищать то, что вы не видите, и вы настолько сильны, насколько сильны самые слабые звенья», - сказал Герхов. «Например, было множество целевых электронных писем, которые выглядели так, как будто они были от ваших доверенных партнеров, но на самом деле являются плохими актерами, которые выдают себя за сотрудников, которых вы, возможно, знаете в своей сети».
Гершоу сказал, что он впервые заметил, как мошенники предлагают подарочные карты сотрудникам Sumo Logic, замаскированные под поощрения или благодарности от реальных деловых партнеров компании.
Но со временем атаки стали еще более детализированными.
«Теперь мы видим эти долгие и изощренные попытки построить доверительные отношения или отношения с некоторыми из наших исходящих команд, вся работа которых состоит в том, чтобы помогать. Злоумышленники даже выдавали себя за поставщиков, использующих наш продукт с бесплатными учетными записями, и рассмотрели варианты использования и сценарии, чтобы привлечь опыт внутри нашей компании».
Устанавливая эти доверительные отношения, конечная цель злоумышленников - сделать стандартные тактики социальной инженерии более эффективными, получая помощь в обходе мер безопасности или рассылая вредоносное ПО, которое скомпрометирует системы целевой компании.
Заголовок решений нападения на SolarWinds является примером цепной атаки питания - в этого случая конкретной версия называется поставщика электронной почты компромиссных атак (VEC). Как отметили официальные лица SolarWinds, «учетная запись электронной почты была взломана и использовалась для программного доступа к учетным записям целевого персонала SolarWinds на рабочих и технических должностях».
5. Записи Deepfake
Социальные инженеры теперь используют дипфейки - изначально реалистичные записи, в которых используется искусственный интеллект для имитации внешнего вида или голоса конкретного человека, - чтобы обманом заставить жертв разгласить информацию или выполнить действие, которое приносит пользу злоумышленнику.
Бар Йохай из Reblaze сказал, что атаки с использованием аудио дипфейка, в которых злоумышленник использует «клонированный» голос, почти неотличимый от голоса реального человека, для создания мошеннической аудиозаписи, вызывают растущую озабоченность. Один из первых успешных примеров - 2019 год, когда фальшивая запись голоса генерального директора использовалась для указания сотруднику немедленно перевести деньги на международный счет.
«Запись была оставлена в качестве голосовой почты для подчиненного, который выполнил мошеннические инструкции и отправил злоумышленникам 243 000 долларов», - сказал Бар Йохай.
Герхов также сказал, что видел, как преступники использовали дипфейки с записями, чтобы манипулировать персоналом с целью отправки денег или предоставления личной информации - пока только аудиозаписи, но Герхов считает, что дипфейки видео - это всего лишь вопрос времени.
«Обучение, осведомленность, самоотчетность и прозрачность - единственный способ повысить уровень защиты от этих атак», - сказал Герхов. «Безопасность должна быть доступной и, конечно же, все регистрировать».
6. Текстовое мошенничество
Некоторое время текст использовался для мошенничества с социальной инженерией, но Ребекка Херольд, эксперт по конфиденциальности и безопасности IEEE, говорит, что тактика текстовых сообщений становится все более популярной.
«Мы становимся обществом, в котором большая часть населения предпочитает общаться с помощью текстовых сообщений, а не телефона. Сейчас люди чрезвычайно привыкли передавать очень конфиденциальную информацию с помощью текстовых сообщений », - говорит Херольд.
Поскольку за последний год выросли масштабы доставки продуктов и еды, количество мошеннических текстов, связанных с доставкой, растет. Другие распространенные приманки включают тексты, которые обещают информацию о проверках стимулов COVID, которые связывают жертв с веб-сайтом, который выглядит как сайт IRS, и запрашивает конфиденциальную личную информацию, такую как дата рождения и номер социального страхования.
Херольд сказала, что она также видела текстовые мошенничества, в которых мошенники выдают себя за Министерство здравоохранения и социальных служб США и говорят жертвам, что они должны пройти «обязательный онлайн-тест на COVID», используя предоставленную ссылку.
«Затем, как и в случае с другими видами мошенничества, их личная информация изымается, и на их вычислительные устройства часто загружается вредоносное ПО», - сказал Херольд.
Как и в случае с QR-кодами, жертвы просто не достигли необходимого уровня осведомленности и осторожности.
7. Типосквоттинг или похожие домены.
Карпентер сказал, что типосквоттинг - или похожие домены - часто используются при атаке компрометации корпоративной электронной почты (BEC). Мошенники выдают себя за законные домены, чтобы заставить жертв думать, что они находятся в безопасном месте.
Они делают это с помощью множества уловок, включая неправильное написание домена (подумайте о Gooogle вместо Google) или добавление другого домена верхнего уровня (.uk вместо .co.uk). В отличие от зачастую небрежных версий прежних дней, сегодня эти сайты могут иметь сложный дизайн, тщательно детализированную имитацию законных сайтов и сложную функциональность.
«Жертвы социальной инженерии обычно обманом заставляют либо почувствовать психологическую безопасность по своему выбору, либо искать психологическую безопасность таким образом, чтобы это сыграло на руку злоумышленнику», - сказал Карпентер.
Преступники настраивают эти сайты не только для доставки вредоносного ПО, но и для сбора информации о кредитных картах или других конфиденциальных данных с помощью поддельных полей входа или других поддельных форм.
