Definicja inżynierii społecznej 

Inżynieria społeczna to sztuka manipulacji, wywierania wpływu lub oszukiwania użytkownika w celu uzyskania kontroli nad jego systemem komputerowym. Haker może użyć telefonu, poczty elektronicznej, poczty tradycyjnej lub bezpośredniego kontaktu, aby uzyskać nielegalny dostęp.  

Przykładami są: phishing, spear phishing i CEO Fraud. 

Kto wykorzystuje inżynierię społeczną?

OK, więc kim są ci ludzie? Może to być haker np. z Korei Północnej, który chce wyrządzić szkody lub zakłócić spokój. Może to być członek mafii cyberprzestępczej z regionu Europy Zachodniej, który próbuje przeniknąć do Twojej sieci i ukraść gotówkę z Twojego internetowego konta bankowego. Albo może to być chiński haker, który próbuje dostać się do systemów w Twojej organizacji w celu szpiegostwa przemysłowego. 

Powszechne metody ataków socjotechnicznych 

Zrozumienie różnych wektorów ataku w przypadku tego typu przestępstw jest kluczowe. Oto jak robią to cyberprzestępcy: 

 

Pretexting ( Ciekawy scenariusz) 

Wymyślony scenariusz jest wykorzystywany do zainteresowania potencjalnej ofiary, aby zwiększyć szansę, że się nabierze. Jest to fałszywy motyw, zwykle wykorzystujący pozyskaną wcześniej wiedzę o ofierze (np. datę urodzenia, numer PESEL itp.) w celu uzyskania jeszcze większej ilości informacji. 

 Diversion Theft( Kradzież przez przekierowanie ) 

Przekręt stosowany przez zawodowych złodziei, zazwyczaj wymierzony w firmę transportową lub kurierską. Celem jest nakłonienie firmy do dostarczenia przesyłki w inne miejsce niż zamierzone. 
Phishing 

Proces polegający na próbie zdobycia poufnych informacji, takich jak nazwa użytkownika, hasła i dane karty kredytowej, poprzez podszywanie się pod godny zaufania podmiot za pomocą masowo wysyłanych wiadomości e-mail, które próbują ominąć filtry antyspamowe.  

Wiadomości e-mail podające się za pochodzące z popularnych serwisów społecznościowych, banków, serwisów aukcyjnych lub od administratorów IT są powszechnie wykorzystywane do wabienia niczego niepodejrzewających osób. Jest to forma przestępczego oszustwa socjotechnicznego. 

 Spear Phishing (Ukierunkowany Phishing ) 

Ukierunkowany atak za pośrednictwem poczty elektronicznej na konkretną osobę lub organizację, mający na celu spenetrowanie jej systemów. Atak typu spear phishing jest przeprowadzany po zbadaniu celu i zawiera konkretny, spersonalizowany element, który ma skłonić cel do zrobienia czegoś wbrew jego własnym interesom. 
Water-Holing ( Wodopój ) 

Technika ta wykorzystuje strony internetowe, które ludzie regularnie odwiedzają i którym ufają. Atakujący wybiera popularne strony, a następnie testuje je pod kątem luk w zabezpieczeniach i możliwości wprowadzenia na nie złośliwego kodu.  

Z czasem jeden lub więcej użytkowników strony zostanie zainfekowanych, a atakujący uzyska dostęp do ich zabezpieczonych systemów. 

 Baiting ( Przynęta ) 

Przynęta oznacza podrzucenie czegoś ofierze, w celu podjęcia przez nią działania. Może się to odbywać za pośrednictwem  portalu społecznościowego w formie filmu (pornograficznego) do pobrania lub dysku USB z napisem „Q1 Plan zwolnień” pozostawionego w miejscu publicznym, aby ofiara mogła go znaleźć. Po użyciu tego urządzenia lub pobraniu złośliwego pliku komputer ofiary zostaje zainfekowany, co umożliwia przestępcy przejęcie kontroli nad siecią. 
Quid Pro Quo  

Po łacinie oznacza „coś za coś”, w tym przypadku jest to korzyść dla ofiary w zamian za informacje. Dobrym przykładem są hakerzy podszywający się pod pracowników działu IT. Dzwonią do każdego, kogo znajdą w firmie aby powiedzieć, że mają szybki sposób na rozwiązanie problemu i „wystarczy wyłączyć system AV”. Każdy, kto da się na to nabrać, otrzymuje złośliwe oprogramowanie, np. ransomware, zainstalowane na swoim komputerze. 

 Tailgating (Siedzenie na ogonie) 

Metoda stosowana w celu uzyskania dostępu do budynku lub innego chronionego obszaru. Tailgater czeka, aż uprawniony użytkownik otworzy i przejdzie przez zabezpieczone wejście, a następnie podąża tuż za nim. 
Honeytrap ( Pułapka miodowa ) 

Sztuczka, która skłania mężczyzn do interakcji z fikcyjną, atrakcyjną kobietą w sieci. Wywodzi się ze starych taktyk szpiegowskich, w których wykorzystywano prawdziwą kobietę. 

 Rogue ( Łobuz ) 

Również Rogue Scanner, rogue anti-spyware, rogue anti-malware lub scareware, rogue security software jest formą złośliwego oprogramowania komputerowego, które oszukuje lub wprowadza użytkowników w błąd, zmuszając ich do płacenia za fałszywe lub symulowane usunięcie złośliwego oprogramowania. W ostatnich latach nieuczciwe oprogramowanie zabezpieczające stało się rosnącym i poważnym zagrożeniem dla bezpieczeństwa komputerów osobistych. Jest ono bardzo popularne i istnieją dziesiątki takich programów. 

Inżynieria społeczna i ostatnia linia obrony 

Zapewne słyszeliście o programie antywirusowym Norton, opublikowanym przez firmę Symantec. Dyrektor techniczny Symantec Security Response powiedział, że cyberprzestępcy generalnie nie próbują wykorzystywać luk technicznych w systemie Windows. Zamiast tego idą za tobą. „Nie potrzebujesz zaawansowanych umiejętności technicznych, aby znaleźć jedną osobę, która w chwili słabości może chcieć otworzyć załącznik zawierający złośliwe treści”. Tylko około 3% złośliwego oprogramowania, które napotkali, próbuje wykorzystać lukę techniczną. Pozostałe 97% próbuje oszukać użytkownika za pomocą jakiegoś schematu socjotechniki. Oznacza to, że nie ma znaczenia, czy Twoja stacja robocza to komputer PC czy Mac. Ostatnia linia obrony to… zgadliście: WY!

Przykłady każdego czynnika w krajobrazie zagrożeń:

E-mail Media społecznościowe
i Internet 		Trendy Grupy przestępcze Wektory ataków
  • Phishing
  • Spear phishing
  • Oszustwo dyrektora generalnego (znane również jako Business Email Compromise lub BEC)
  • Rozpoznanie
  • Fałszywi znajomi
  • Ataki na wodopoju
  • Wykorzystanie danych dotyczących włamań
  • Oprogramowanie ransomware
  • Pseudo- ransomware
  • Operacje fałszywej flagi
  • Wymuszenia
  • Automatyzacja
  • Zatruwanie wyników wyszukiwania
  • Złośliwi insiderzy
  • Przestępczość zorganizowana
  • Haktywiści
  • Państwa narodowe
  • Terroryści
  • Fizyczne ataki lokalne
  • Stacje robocze
  • Urządzenia mobilne
  • Sieć
  • Chmura
  • IoT

Przykłady ataków socjotechnicznych  

Phishing  

Klasycznym przykładem jest oszustwo związane z pomocą techniczną, które występuje w wielu odmianach i na wielu poziomach zaawansowania. W ciągu ostatnich kilku lat dostawcy usług online aktywnie wysyłali wiadomości do klientów, gdy wykryli nietypową aktywność na kontach swoich użytkowników. Nic dziwnego, że cyberprzestępcy wykorzystali ten trend na swoją korzyść. Wiele takich przestępczych e-maili jest źle zaprojektowanych, zawiera złą gramatykę itp., ale inne wyglądają na wystarczająco wiarygodne, aby ktoś kliknął.  

 

Spear Phishing  

W ataku spear phishing cyberprzestępcy wykorzystują głęboką wiedzę o potencjalnych ofiarach, aby je zaatakować – podejście pozwala im dostosować atak. Te wiadomości e-mail są bardziej przekonujące i trudniejsze do wykrycia niż zwykłe wiadomości phishingowe. Atakujący dokładnie wie, w kogo i co celuje. W przeciwieństwie do masowych wiadomości phishingowych, które mogą próbować rozpowszechniać oprogramowanie ransomware lub gromadzić indywidualne dane logowania w celu szybkiego zarobienia pieniędzy, spear phisherzy zwykle szukają informacji poufnych, tajemnic biznesowych itp. 

 

Oszustwo dyrektora generalnego (CEO) 

Oto przykład próby oszustwa dyrektora generalnego (CEO), wymierzonej w klienta KnowBe4. Pani otrzymała wiadomość e-mail od osoby, która rzekomo jest prezesem firmy. Pracownica początkowo odpowiedziała, a następnie przypomniała sobie swoje szkolenie i zgłosiła wiadomość e-mail za pomocą naszego przycisku ostrzegania (Phish Alert Button) o wyłudzaniu informacji, informując swój dział IT o próbie oszustwa. 

Kiedy Pani nie wykonała przelewu, dostała kolejnego e-maila od cyberprzestępców. Ponieważ ta pracownica odbyła odpowiednie szkolenie w zakresie świadomości bezpieczeństwa, była w stanie uchronić swoją firmę przed stratą. Niestety nie każdy ma tyle szczęścia! 

 

Media społecznościowe  

Cyberprzestępcy tworzą fałszywe profile w mediach społecznościowych i próbują Cię oszukać. Będą podszywać się pod celebrytę lub jednego z twoich przyjaciół lub współpracowników. Profile te wyglądają bardzo podobnie do prawdziwych i łatwo się nabrać. Załóżmy, że udało się im nabrać Cię na fałszywy profil w sieci społecznościowej.  Następnym krokiem jest próba zmuszenia Cię do kliknięcia linku lub zainstalowania złośliwego oprogramowania, często nakłaniają do obejrzenia filmu lub przejrzenia zdjęć. Jeśli klikniesz lub wykonasz tę instalację, jest bardzo prawdopodobne, że zainfekujesz swój komputer złośliwym oprogramowaniem, które pozwoli atakującemu przejąć Twój komputer. 

Zapobieganie atakom socjotechnicznym  

Zebraliśmy kilka zasobów, które pomogą Ci bronić się przed atakami socjotechnicznymi.  

Dobrym początkiem jest upewnienie się, że masz przygotowane wszystkie poziomy obrony. Czytaj dalej, aby dowiedzieć się, jak możesz stać się trudnym celem, zdobyć dodatkowe treści dla siebie i swoich użytkowników oraz być na bieżąco z socjotechniką w wiadomościach za pośrednictwem naszego bloga.  

Ataki socjotechniczne, w tym oprogramowanie ransomware, włamywanie się do biznesowej poczty e-mail i phishing to problemy, których nigdy nie da się rozwiązać, a tylko można nimi zarządzać poprzez ciągłe szkolenia w zakresie świadomości bezpieczeństwa. Obejrzyj ten wywiad wideo ze Stu Sjouwermanem, który wyjaśnia dlaczego ten problem jest ciągły i jakie kroki należy podjąć, aby go rozwiązać:   

  1. Zacznij od podstawowego testu bezpieczeństwa przed phishingiem, aby ocenić wstępny procent Phish-prone™ Twojej organizacji.
  2. Przeprowadź użytkowników przez interaktywne szkolenia uświadamiające.
  3. Przeprowadzaj częste symulowane testy socjotechniczne, aby utrzymać użytkowników w gotowości do poprawnej reakcji na prawdziwy atak.  

10 sposobów na to, aby Twoja organizacja stała się trudnym celem 

  1. W przypadku każdej infekcji ransomware usuń zainfekowany system i zainstaluj go ponownie z czystego obrazu. 
  2. Zaopatrz się w bezpieczną bramę poczty elektronicznej i bramę internetową, która obejmuje filtrowanie adresów URL i upewnij się, że są one prawidłowo skonfigurowane. 
  3. Upewnij się, że stacje robocze są regularnie łatane. Zarówno system operacyjny jak i aplikacje oraz sterowniki. Wykorzystaj rozwiązanie do monitorowania podatności np. Qualys.  
  4. Upewnij się, że Twoje hosty i bramy internetowe mają warstwy bezpieczeństwa nowej generacji i są często aktualizowane. 
  5. Zidentyfikuj użytkowników, którzy mają do czynienia z poufnymi informacjami i wymuś dla nich uwierzytelnianie wieloskładnikowe. 
  6. Dokonaj przeglądu wewnętrznych polityk i procedur bezpieczeństwa, zwłaszcza dotyczących transakcji finansowych, aby zapobiec oszustwom z tym związanych. 
  7. Sprawdź konfigurację zapory sieciowej i upewnij się, że żaden przestępczy ruch sieciowy z twojej sieci nie jest dopuszczany do serwerów C&C. 
  8. Wykorzystaj nowatorskie szkolenia z zakresu budowania świadomości bezpieczeństwa, które obejmują częste testy socjotechniczne z wykorzystaniem wielu kanałów, nie tylko poczty elektronicznej. 
  9. Musisz mieć kopie zapasowe najwyższej jakości. 
  10. Popracuj nad budżetem na bezpieczeństwo, aby był on w coraz większym stopniu zorientowany na wymierną redukcję ryzyka, a nie na rozwiązania punktowe, ukierunkowane na jedno lub drugie zagrożenie. 

Arkusze z poradami dotyczącymi zagrożeń socjotechnicznych 

Te infografiki pokażą Twoim użytkownikom, na co powinni uważać w e-mailach i na urządzeniach mobilnych. Zalecamy wydrukowanie ich, są świetnym przypomnieniem przy biurku! 

Pobierz pdf

Pobierz pdf

DARMOWE NARZĘDZIA

 

 

Email Exposure Check

SPRAWDŹ ZA DARMO czy Twoi użytkownicy są łatwym celem spear phishingu?

Domain Spoof Test

SPRAWDŹ ZA DARMO czy hakerzy mogą podrobić adres e-mail twojej domeny?

Phishing Security Test

SPRAWDŹ ZA DARMO ilu z Twoich użytkowników połknie przynętę i zareaguje na spreparowaną wiadomość e-mail?

Informacje kontaktowe

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa

Kontakt z partnerem w Polsce:
Formularz Kontaktowy

O serwisie

Serwis IMNS Polska poświęcony rozwiązaniu KnowBe4.

Usługi IMNS w zakresie KnowBe4

Konsultacje  przedwdrożeniowe
Wsparcie przy wdrożeniu platformy szkoleniowej
Administrowanie platformą