Inżynieria społeczna (w cybersecurity)

Inżynieria społeczna to szereg nietechnicznych metod ataków używanych przez cyberprzestępców do manipulowania użytkownikami w celu obejścia procedur bezpieczeństwa lub innych procesów biznesowych, wykonywania szkodliwych działań lub ujawnienia wrażliwych informacji.

5 minut czytania

5 minut czytania

Jak działa inżynieria społeczna?

Większość technik inżynierii społecznej nie wymaga od atakującego umiejętności technicznych, co oznacza, że mogą je stosować zarówno drobni przestępcy, jak i najbardziej wyrafinowani atakujący.

Istnieje wiele technik mieszczących się w ramach pojęcia inżynierii społecznej w cyberbezpieczeństwie. Wśród najbardziej znanych są spam i phishing:

Spam to wszelkie formy niezamówionej komunikacji wysyłanej masowo. Najczęściej spam to e-mail wysyłany do jak największej liczby użytkowników, ale może być również dostarczany za pośrednictwem wiadomości błyskawicznych, SMS-ów i mediów społecznościowych. Spam nie jest sam w sobie inżynierią społeczną, ale niektóre kampanie spamu wykorzystują techniki inżynierii społecznej, takie jak phishing, spearphishing, vishing, smishing lub rozsyłanie złośliwych załączników lub linków.

Phishing to forma cyberataku, w której przestępca podszywa się pod zaufaną jednostkę, aby poprosić ofiarę o wrażliwe informacje. Takie oszustwa zazwyczaj próbują stworzyć poczucie pilności lub stosują taktyki strachu, aby zmusić ofiarę do spełnienia żądań atakującego. Kampanie phishingowe mogą celować w dużą liczbę anonimowych użytkowników lub w konkretne osoby.

Ale to nie jedyne techniki. Uważaj także na:

Spearphishing to ukierunkowana forma phishingu, w której atakujący wysyła spersonalizowane wiadomości do ograniczonej grupy osób lub nawet do jednej osoby, mając na celu pozyskanie ich danych lub manipulowanie nimi, aby wykonały szkodliwe działania.

Vishing i Smishing to techniki inżynierii społecznej podobne do phishingu, ale realizowane innymi środkami niż e-mail. Vishing (voice phishing) używa fałszywych telefonów, podczas gdy smishing (SMS phishing) używa wiadomości SMS zawierających złośliwe linki lub treści.

Impersonacja w cyberbezpieczeństwie ma podobne znaczenie jak w świecie fizycznym. Cyberprzestępcy działają w imieniu zaufanej osoby i oszukują ofiary, zmuszając je do podjęcia działań, które szkodzą im samym lub ich organizacji. Typowym przykładem jest atakujący podszywający się pod dyrektora generalnego firmy – kiedy dyrektor jest nieobecny – i zlecający oraz zatwierdzający fałszywe transakcje.

Oszustwa związane z pomocą techniczną to zazwyczaj fałszywe rozmowy telefoniczne lub reklamy internetowe, w których napastnicy oferują ofiarom niechciane usługi pomocy technicznej. W rzeczywistości cyberprzestępcy próbują zarabiać pieniądze, sprzedając fałszywe usługi i usuwając nieistniejące problemy.

Scareware to oprogramowanie wykorzystujące różne techniki wywołujące lęk, aby manipulować ofiarami do zainstalowania dalszego złośliwego kodu na ich urządzeniach, a także zazwyczaj wymuszające płatności za niefunkcjonalne lub całkowicie złośliwe oprogramowanie. Typowym przykładem jest fałszywy produkt antywirusowy zaprojektowany w celu oszukania użytkowników, aby uwierzyli, że ich urządzenia zostały zainfekowane i potrzebują zainstalować określone (zwykle szkodliwe) oprogramowanie, aby usunąć problem.

Scam to oszukańcze schematy, które często wykorzystują jedną lub nawet kilka technik inżynierii społecznej opisanych w tej sekcji.

Dlaczego małe i średnie przedsiębiorstwa (SMB) powinny martwić się o inżynierię społeczną?

SMB są coraz bardziej świadome, że są celem cyberprzestępców, zgodnie z badaniem przeprowadzonym w 2019 roku przez Zogby Analytics na zlecenie US National Cyber Security Alliance. Prawie połowa (44%) firm zatrudniających od 251 do 500 pracowników zadeklarowała, że doświadczyła oficjalnego naruszenia danych w ciągu ostatnich 12 miesięcy. Badanie wykazało, że 88% małych firm uważa, że są co najmniej „dość prawdopodobnym” celem cyberprzestępców, w tym prawie połowa (46%), która uważa, że są „bardzo prawdopodobnym” celem.

Szkody są realne i rozległe, co dobrze ilustruje coroczny raport Centrum Przestępstw Internetowych FBI (IC3). FBI szacuje, że tylko w 2018 roku amerykańskie firmy straciły ponad 2,7 miliarda dolarów w wyniku cyberataków, w tym 1,2 miliarda dolarów związanych z oszustwami e-mailowymi (BEC)/kompromitacją kont e-mailowych (EAC), które umożliwiły nieautoryzowane transfery środków.

Jak rozpoznać atak inżynierii społecznej?

Istnieje kilka czerwonych flag, które mogą sygnalizować atak inżynierii społecznej. Niepoprawna gramatyka i ortografia to jeden z sygnałów ostrzegawczych. Tak samo jak poczucie pilności, które ma na celu nakłonienie odbiorcy do działania bez zadawania pytań. Jakiekolwiek prośby o wrażliwe dane powinny natychmiast wzbudzić alarm: renomowane firmy zazwyczaj nie proszą o hasła lub dane osobowe za pośrednictwem e-maili lub wiadomości tekstowych.

Niektóre czerwone flagi wskazujące na inżynierię społeczną:

1. Słaba i ogólna językowo treść

Zazwyczaj atakujący nie przykładają dużej uwagi do szczegółów, wysyłając wiadomości pełne literówek, brakujących słów i niepoprawnej gramatyki. Inny element językowy, który może wskazywać na próbę ataku, to ogólne powitania i sformułowania. Jeśli e-mail zaczyna się od „Drogi odbiorco” lub „Drogi użytkowniku”, bądź czujny.

2. Dziwny adres nadawcy

Większość spamerów nie poświęca czasu na podrabianie nazwy nadawcy lub domeny, aby wyglądały na zaufane. Jeśli e-mail pochodzi z adresu będącego mieszanką losowych cyfr i znaków lub jest nieznany odbiorcy, powinien trafić bezpośrednio do folderu spamu i zostać zgłoszony działowi IT.

3. Poczucie pilności

Przestępcy stojący za kampaniami inżynierii społecznej często starają się wystraszyć ofiary, używając do działania, fraz wywołujących lęk, takich jak „prześlij nam swoje dane natychmiast, w przeciwnym razie Twoja paczka zostanie odrzucona” lub „jeśli nie zaktualizujesz swojego profilu teraz, zamkniemy Twoje konto”. Banki, firmy kurierskie, instytucje publiczne, a nawet wewnętrzne działy zwykle komunikują się w sposób neutralny i rzeczowy. Dlatego, jeśli wiadomość stara się skłonić odbiorcę do szybkiego działania, jest prawdopodobnie złośliwa i potencjalnie niebezpiecznym oszustwem.

4. Prośba o wrażliwe informacje

Instytucje, a nawet inne działy w Twojej własnej firmie zazwyczaj nie będą prosić o wrażliwe informacje za pośrednictwem e-maila lub telefonu – chyba że kontakt został zainicjowany przez pracownika.

5. Jeśli coś brzmi zbyt dobrze, aby było prawdziwe, to prawdopodobnie tak jest

To samo dotyczy niezamówionych prezentów w mediach społecznościowych, jak i „doskonałych, ale czasowo ograniczonych okazji biznesowych”, które właśnie wylądowały w Twojej skrzynce odbiorczej.

5 sposobów, aby chronić organizację przed atakami inżynierii społecznej

1. Regularne szkolenie z zakresu cybersecurity dla wszystkich pracowników, w tym najwyższego kierownictwa i personelu IT. Pamiętaj, że takie szkolenie powinno przedstawiać lub symulować scenariusze z życia wzięte. Punkty nauki muszą być możliwe do wdrożenia i przede wszystkim, testowane aktywnie poza salą szkoleniową: techniki inżynierii społecznej polegają na niskiej świadomości bezpieczeństwa ich celów.

2. Skanowanie słabych haseł, które mogą stać się otwartymi drzwiami w sieci organizacji dla atakujących. Ponadto chroń hasła dodatkową warstwą bezpieczeństwa, implementując uwierzytelnianie wieloskładnikowe.

3. Implementacja rozwiązań technicznych do wykrywania fałszywych komunikatów, aby spam i phishing były wykrywane, poddawane kwarantannie, neutralizowane i usuwane. Rozwiązania zabezpieczające, w tym wiele oferowanych przez ESET, mają część lub wszystkie z tych funkcji.

4. Tworzenie zrozumiałych polityk bezpieczeństwa, które pracownicy mogą stosować, i które pomagają im zidentyfikować kroki, jakie należy podjąć w przypadku napotkania inżynierii społecznej.

5. Używanie rozwiązań zabezpieczających i narzędzi administracyjnych, takich jak ESET Cloud Administrator, aby chronić stacje robocze i sieci organizacji, dając administratorom pełny wgląd i możliwość wykrywania oraz łagodzenia potencjalnych zagrożeń w sieci.

Zwalczaj inżynierię społeczną już teraz

ESET PROTECT
Advanced

Chroń swoją organizację przed inżynierią społeczną, korzystając z rozwiązań zabezpieczających ESET, w tym ochrony wielowarstwowej stacji roboczych, ochrony sieciowej LiveGrid® oraz konsoli ESET PROTECT w chmurze, która daje administratorom pełny, szczegółowy wgląd w sieć 24/7.