Πως κυβερνοεγκληματίες έπεισαν ένα στέλεχος εταιρίας να μεταφέρει $500.000 σε ένα δήθεν ξένο επενδυτή- 9 παραδείγματα επιθέσεων social engineering
21/05/2023 10:22
Σε όλες τις περιπτώσεις κοινωνικής μηχανικής, επιτήδειοι εκμεταλλεύονται την ανθρώπινη φύση, όπως την προθυμία να εμπιστευόμαστε τους άλλους, με στόχο να εξαπατήσουν τους ανθρώπους για να αποκαλύψουν ευαίσθητες πληροφορίες.
Παρόλο που είναι ευρέως διαδεδομένη, αποτελεί μεγάλη πρόκληση να βάλουμε την κοινωνική μηχανική σε ένα «καλούπι» ή να την συνοψίσουμε. Αυτός είναι και ένας από τους λόγους που το 82% των παραβιάσεων δεδομένων έχουν σχέση με το ανθρώπινο στοιχείο.
Η κοινωνική μηχανική έφτασε να αποτελεί τη ραχοκοκαλιά πολλών κυβερνοαπειλών, από μηνύματα ηλεκτρονικού «ψαρέματος» έως τις επιθέσεις «smishing» και «vishing». Σε αυτή την ανάρτηση η Terranova περιγράφει ορισμένες από τις δημοφιλέστερες τεχνικές κοινωνικής μηχανικής όπως και τα συναισθήματα που χρησιμοποιούν οι χάκερ για να εξαπατήσουν τα θύματα τους.
9 από τα πιο κοινότυπα παραδείγματα επιθέσεων κοινωνικής μηχανικής
Χωρίς να έχουν τοποθετηθεί σε κάποια συγκεκριμένη σειρά, παρακάτω ακολουθούν εννέα κοινές κυβερνοαπειλές που αξιοποιούν τεχνικές και τακτικές κοινωνικής μηχανικής για να αποκτηθεί πρόσβαση σε ευαίσθητες ή εμπιστευτικές πληροφορίες. Αν και οι περισσότερες από αυτές τις επιθέσεις πραγματοποιούνται διαδικτυακά, πολλές μπορούν να σηκώσουν κεφάλι σε φυσικούς χώρους όπως σε γραφεία, πολυκατοικίες ή ακόμα και καφετέριες.
1. Phishing
Ο πλέον παρεμβατικός τρόπος εφαρμογής της κοινωνικής μηχανικής. Οι hackers θα χρησιμοποιήσουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου, ιστοσελίδες και μηνύματα κειμένου για να κλέψουν ευαίσθητες προσωπικές ή οργανωτικές πληροφορίες από τα ανυποψίαστα θύματα τους.
Παρόλο που οι τεχνικές μηνυμάτων ηλεκτρονικού ψαρέματος είναι πλέον πασίγνωστες, 1 στους 5 εργαζόμενους εξακολουθεί να κάνει κλικ σε αυτούς τους ύποπτους συνδέσμους.
2. Spear Phishing
Αυτή η απάτη μέσω μηνυμάτων ηλεκτρονικού ψαρέματος (μέσω ηλεκτρονικού ταχυδρομείου) χρησιμοποιείται για τη διεξαγωγή στοχευμένων επιθέσεων κατά ατόμων ή επιχειρήσεων. Το spear phishing είναι πιο περίπλοκο από το μέσο μαζικό ηλεκτρονικό ψάρεμα, καθώς απαιτεί εις βάθος έρευνα για τους πιθανούς στόχους και τους οργανισμούς που εργάζονται.
3. Δόλωμα
Αυτός ο τύπος επίθεσης μπορεί να γίνει διαδικτυακά ή σε φυσικό περιβάλλον. Ο κυβερνοεγκληματίες συνήθως υπόσχονται στο θύμα κάποια ανταμοιβή με αντάλλαγμα ευαίσθητες πληροφορίες ή γνώσεις που έχει.
4. Κακόβουλο λογισμικό
Μια κατηγορία επιθέσεων που περιλαμβάνει ransomware. Στα θύματα αποστέλλεται ένα μήνυμα με την υποσημείωση του κατεπείγοντος για να εγκαταστήσουν κακόβουλο λογισμικό στις συσκευές τους.
Κατά ειρωνικό τρόπο, μία δημοφιλής τακτική είναι να λένε στο θύμα ότι το κακόβουλο λογισμικό έχει ήδη εγκατασταθεί στον υπολογιστή του και ότι ο αποστολέας θα αφαιρέσει το λογισμικό εφόσον πληρώσει κάποια χρήματα.
5. Πρόφαση (pretexting)
Σε αυτό το είδος επίθεσης, ο δράστης χρησιμοποιεί μία ψεύτικη ταυτότητα για να ξεγελάσει τα θύματα και να εκμαιεύσει πληροφορίες. Η συγκεκριμένη επίθεση χρησιμοποιείται συχνά σε οργανισμούς με άφθονα δεδομένα πελατών, όπως τράπεζες, χρηματοπιστωτικά ιδρύματα και οργανισμούς κοινής ωφέλειας.
6. Δούναι και λαβείν (Quid Pro Quo)
Αυτή η επίθεση επικεντρώνεται γύρω από την ανταλλαγή πληροφοριών ή υπηρεσιών για να πείσει το θύμα να αναλάβει δράση. Κανονικά, οι κυβερνοεγκληματίες που προχωρούν στην υλοποίηση αυτού του σεναρίου δεν προχωρούν σε κάποια πιο εξελιγμένη ή βαθιά έρευνα για τον στόχο τους και προσφέρονται να παρέχουν «βοήθεια» παριστάνοντας κάποιον άλλον, όπως έναν επαγγελματία τεχνικής υποστήριξης.
7. Tailgating
Αυτή η επίθεση έχει στόχο κάποιο άτομο που μπορεί να δώσει σε έναν εγκληματία φυσική πρόσβαση σε ένα προστατευμένο ή ελεγχόμενο κτίριο ή περιοχή. Αυτές οι απάτες αποδεικνύονται πολύ συχνά επιτυχημένες λόγω της ευγένειας του θύματος, όπως όταν κρατάς την πόρτα ανοιχτή για να περάσει ένας άγνωστος, κουστουμαρισμένος «υπάλληλος».
8. Vishing
Σε αυτό το σενάριο, οι κυβερνοεγκληματίες αφήνουν φωνητικά μηνύματα προφασιζόμενοι ότι είναι επείγον για να πείσουν τα θύματα τους ότι πρέπει να δράσουν γρήγορα για να προστατευτούν από τη σύλληψη ή από κάποιον άλλο κίνδυνο. Οι τράπεζες, οι κρατικές υπηρεσίες και οι υπηρεσίες επιβολής του νόμου πέφτουν συνήθως θύματα πλαστοπροσωπίας στις συγκεκριμένες απάτες.
9. Water–Holing (Λάκκος με νερό)
Αυτή η επίθεση χρησιμοποιεί προηγμένες τεχνικές κοινωνικής μηχανικής για να μολύνει έναν ιστότοπο και τους επισκέπτες του με κακόβουλο λογισμικό. Η μόλυνση συνήθως εξαπλώνεται μέσω μίας ιστοσελίδας που σχετίζεται με τα θύματα (π.χ. έχει σχέση με τον κλάδο εργασίας τους), όπως μία δημοφιλής ιστοσελίδα που επισκέπτονται τακτικά.
Γιατί πραγματοποιούνται επιθέσεις κοινωνικής μηχανικής;
Η κοινωνική μηχανική επιτυγχάνει τους στόχους της λόγω του ανθρώπινου ενστίκτου εμπιστοσύνης. Οι κυβερνοεγκληματίες έχουν μάθει ότι ένα προσεκτικά διατυπωμένο μήνυμα ηλεκτρονικού ταχυδρομείου, ένα φωνητικό μήνυμα ή κάποιο μήνυμα κειμένου μπορεί να πείσει τους ανθρώπους να μεταφέρουν χρήματα, να παραδώσουν εμπιστευτικές πληροφορίες ή να κατεβάσουν ένα αρχείο που εγκαθιστά κακόβουλο λογισμικό στο εταιρικό δίκτυο.
Δείτε το παρακάτω αυτό το παράδειγμα spear phishing που έπεισε έναν υπάλληλο να μεταφέρει $500.000 σε έναν ξένο επενδυτή:
- Χάρη σε μία προσεκτική έρευνα spear-phishing, ο κυβερνοεγκληματίας γνωρίζει ότι η Διευθύνων Σύμβουλος της εταιρείας βρίσκεται σε επαγγελματικό ταξίδι.
- Ένα μήνυμα ηλεκτρονικού ταχυδρομείου αποστέλλεται σε έναν υπάλληλο της εταιρείας που μοιάζει σαν να προήλθε από την Διευθύνουσα Σύμβουλο. Υπάρχει μια μικρή απόκλιση στη διεύθυνση ηλεκτρονικού ταχυδρομείου, αλλά η ορθογραφία του ονόματος της Διευθύνοντος Συμβούλου είναι σωστή.
- Στο μήνυμα, ο υπάλληλος καλείται να βοηθήσει τον Διευθύνοντα Σύμβουλο μεταφέροντας $500.000 σε νέο ξένο επενδυτή. Στο μήνυμα ηλεκτρονικού ταχυδρομείου χρησιμοποιείται επείγουσα αλλά φιλική γλώσσα που πείθει τον υπάλληλο ότι θα βοηθήσει τόσο τη Διευθύνουσα Σύμβουλο όσο και την εταιρεία.
- Στο μήνυμα τονίζεται ότι η Διευθύνουσα Σύμβουλος θα έκανε μόνη της αυτή τη μεταφορά, αλλά δεν μπορεί να πραγματοποιήσει τη μεταφορά του κεφαλαίου εγκαίρως ώστε να εξασφαλιστεί η επενδυτική συνεργασία καθώς ταξιδεύει.
- Χωρίς να επαληθεύσει τις λεπτομέρειες, ο υπάλληλος αποφασίζει να ενεργήσει. Πιστεύει πραγματικά ότι συμμορφούμενος με το αίτημα που γίνεται μέσω του μηνύματος βοηθά τόσο τη Διευθύνουσα Σύμβουλο όσο και την εταιρεία και τους συναδέλφους του.
- Λίγες μέρες αργότερα, ο υπάλληλος, η Διευθύνων Σύμβουλος και οι συνάδελφοι του στην εταιρεία συνειδητοποιούν ότι έπεσαν θύματα επίθεσης κοινωνικής μηχανικής, με αποτέλεσμα την απώλεια 500.000 δολαρίων.
Παραδείγματα σεναρίων επίθεσης κοινωνικής μηχανικής
Οι έμπειροι κυβερνοεγκληματίες γνωρίζουν ότι η κοινωνική μηχανική λειτουργεί καλύτερα όταν επικεντρώνεται στο ανθρώπινο συναίσθημα και στον κίνδυνο. Το να εκμεταλλευτείς το ανθρώπινο συναίσθημα είναι πολύ πιο εύκολο από το να τολμήσεις να παραβιάσεις ένα δίκτυο ή να αναζητήσεις ευπάθειες ασφαλείας.
Ακολουθούν μερικές επισημάνσεις που εξηγούν τους λόγους που οι επιθέσεις κοινωνικής μηχανικής είναι επαναλαμβανόμενα επιτυχημένες.
Φόβος
Λαμβάνετε ένα φωνητικό μήνυμα που λέει ότι είστε υπό έρευνα για φορολογική απάτη και πρέπει να τηλεφωνήσετε αμέσως για να αποτρέψετε τη σύλληψη και την ποινική έρευνα. Αυτή η επίθεση κοινωνικής μηχανικής συμβαίνει κατά τη διάρκεια της φορολογικής περιόδου, όταν οι άνθρωποι είναι ήδη αγχωμένοι με τη φορολογία.
Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται το στρες και το άγχος της υποβολής της φορολογικής δήλωσης και εκμεταλλεύονται το συναίσθημα του φόβου για να ξεγελάσουν τα θύματα τους ώστε να συμμορφωθούν με τις εντολές του φωνητικού ταχυδρομείου.
Απληστία
Φανταστείτε αν μπορούσατε να μεταφέρετε ηλεκτρονικά $10 σε έναν επενδυτή και να τα δείτε να αυξάνονται σε $10.000 χωρίς να καταβάλετε την παραμικρή προσπάθεια εκ μέρους σας. Οι κυβερνοεγκληματίες εκμεταλλεύονται τα βασικά ανθρώπινα συναισθήματα της εμπιστοσύνης και της απληστίας για να πείσουν τα θύματα ότι πράγματι μπορούν να βγάλουν κάτι από το τίποτα.
Ένα προσεκτικά διατυπωμένο μήνυμα ηλεκτρονικού ταχυδρομείου που λειτουργεί ως δόλωμα λέει στα θύματα να παράσχουν τα στοιχεία του τραπεζικού τους λογαριασμού και τα χρήματα θα μεταφερθούν την ίδια μέρα.
Περιέργεια
Οι απατεώνες και κυβερνοεγκληματίες εστιάζουν σε γεγονότα που καλύπτονται εκτενώς από τον ειδησεογραφικό κόσμο και στη συνέχεια εκμεταλλεύονται την ανθρώπινη περιέργεια για να ξεγελάσουν τα θύματα τους. Για παράδειγμα, μετά το δεύτερο αεροπορικό δυστύχημα του Boeing MAX8, κυβερνοεγκληματίες ξεκίνησαν να αποστέλλουν μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα αρχεία τα οποία ισχυρίζονταν ότι περιείχαν δεδομένα που διέρρευσαν για τη συντριβή.
Το συνημμένο εγκαθιστούσε μια έκδοση του Hworm RAT στον υπολογιστή του θύματος.
Παροχή βοήθειας
Οι άνθρωποι εμπιστεύονται και βοηθούν ο ένας τον άλλον. Αφού πρώτα πραγματοποιήσαν μία έρευνα σε μια εταιρεία, κυβερνοεγκληματίες έβαλαν στόχο δύο ή τρεις υπαλλήλους αποστέλλοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου που έμοιαζε να προέρχεται από τον διευθυντή τους.
Στο μήνυμα ηλεκτρονικού ταχυδρομείου ζητούσαν από τους υπαλλήλους-στόχους να στείλουν στον διαχειριστή πληροφορικής τον κωδικό πρόσβασης για τη λογιστική βάση δεδομένων -τονίζοντας ότι ο διαχειριστής τον χρειάζεται για να διασφαλιστεί ότι όλοι θα λάβουν τον μισθό τους στην ώρα τους.
Ο τόνος που χρησιμοποίησαν στο μήνυμα του ηλεκτρονικού ταχυδρομείου έδειχνε ότι πρόκειται για κάτι το επείγον, με αποτέλεσμα να ξεγελάσουν τα θύματα ώστε να πιστέψουν ότι θα βοηθήσουν τον διευθυντή τους αν ενεργήσουν γρήγορα.
Επείγουσα κατάσταση
Λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την υποστήριξη πελατών ενός ηλεκτρονικού καταστήματος από το οποίο αγοράζετε συχνά και το οποίο σας λέει ότι πρέπει να επιβεβαιώσουν τα στοιχεία της πιστωτικής σας κάρτας για να προστατεύσουν τον λογαριασμό σας.
Η γλώσσα που χρησιμοποιείτε στο μήνυμα ηλεκτρονικού ταχυδρομείου σας προτρέπει να απαντήσετε γρήγορα για να διασφαλίσετε ότι οι εγκληματίες δεν θα κλέψουν τα στοιχεία της πιστωτικής σας κάρτας.
Χωρίς να το σκεφτείτε διπλά, στέλνετε τις πληροφορίες, με αποτέλεσμα ο παραλήπτης να χρησιμοποιήσει τα στοιχεία σας για να προχωρήσει σε αγορές χιλιάδων ευρώ.
Πως να προστατεύσετε τα δεδομένα και τις πληροφορίες σας από τις επιθέσεις κοινωνικής μηχανικής
Αν και οι τακτικές και οι τεχνικές κοινωνικής μηχανικής είναι κοινότυπες, τα παραδείγματα που αναφέρονται στη συγκεκριμένη ανάρτηση στην ιστοσελίδα της Terranova υπογραμμίζουν πόσο δύσκολο είναι να εντοπιστούν και το σημαντικότερο να αποκαλυφθούν για να τους αντισταθεί κάποιος. Η αντίδραση με βάση την ανθρώπινη φύση ωθεί πολλούς ανθρώπους προς το αποτέλεσμα που επιθυμεί να πετύχει ο κυβερνοεγκληματίας.
Για να προστατευτείτε από τις τακτικές κοινωνικής μηχανικής, είναι απαραίτητο να οπλιστείτε με τα σωστά εργαλεία και τις κατάλληλες γνώσεις. Το Cyber Security Hub της Terranova προσφέρει μια ολοκληρωμένη πηγή πληροφοριών για την ασφάλεια στον κυβερνοχώρο, συμπεριλαμβανομένων και των πιο πρόσφατων πληροφοριών που σχετίζονται με τις απειλές κοινωνικής μηχανικής.
Παραμένοντας ενημερωμένοι και έχοντας τη δύναμη του Cyber Security Hub δίπλα σας, μπορείτε να προστατεύσετε προληπτικά τον εαυτό σας και τα ευαίσθητα δεδομένα σας από τις απάτες και τις κυβερνοεπιθέσεις. Αποκτήστε δωρεάν πρόσβαση στο Cyber Security Hub σήμερα για να προστατεύσετε τα ψηφιακά περιουσιακά στοιχεία σας και να είστε πάντα τουλάχιστον ένα βήμα μπροστά από τις πιθανές απειλές.