Stanowiska

Jak chronić się przed inżynierią społeczną?

Pierwszą linią obrony jest zachowanie czujności. W przypadku ataków socjotechnicznych, napastnik może zwabić Cię w rozmowę, która staje się bardziej przesłuchaniem. Jednak najlepszym sposobem ochrony przed inżynierią społeczną jest wiedza o tym, komu możesz zaufać i samemu być godnym zaufania. Musisz zidentyfikować każdego, kto może uzyskać dostęp do Twojego konta lub może na nie wpływać i upewnić się, że ma ku temu dobry powód. 

Dzięki dalszej lekturze dowiesz się, co jest częstą metodą stosowaną w inżynierii społecznej i jak możesz się chronić przed cyberatakami w przyszłości!

Co to jest atak socjotechniczny?

W atakach socjotechnicznych atakujący próbuje uzyskać dostęp do danych lub usług poprzez nawiązanie relacji z osobami, których zaufanie może wykorzystać.

Ataki socjotechniczne to forma hakowania, w której atakujący próbuje uzyskać dostęp lub informacje poprzez wykorzystanie zaufania. Jest to bardzo skuteczny atak, ponieważ wykorzystuje Twoją chęć pomocy ludziom, ciekawość i naiwność. Inżynier społeczny może zrobić z Ciebie nieświadomego wspólnika, używając manipulacji wysokiego poziomu, aby uzyskać to, czego chce atakujący. 

Wykorzystanie podstępu i sztuczki w celu uzyskania przewagi sięga czasów znacznie wcześniejszych niż powszechna dostępność komputerów osobistych i sieci WWW. Możemy jednak sięgnąć głębiej w historię, aby zobaczyć niektóre z najbardziej znamiennych przypadków ataków socjotechnicznych.

W najnowszym incydencie, który miał miejsce w lutym 2020 r. phishing próba z wykorzystaniem fałszywej faktury za remont zakończyła się sukcesem Barbary Corcoran z ABC's "Shark Tank" z prawie 400 000 dolarów.

Jeśli padłeś ofiarą ataków socjotechnicznych, koniecznie musisz wiedzieć, jak się przed nimi chronić. Poznaj znaki ostrzegawcze potencjalnego zagrożenia i dowiedz się, jak się chronić.

Related read: Czym jest inżynieria społeczna?

Jaka jest powszechna metoda wykorzystywana w inżynierii społecznej?

Częstą metodą stosowaną przez inżynierów społecznych w atakach socjotechnicznych jest podszywanie się pod wsparcie IT. Można to zrobić dzwoniąc do firmy i prosząc o rozmowę z działem IT lub wysyłając e-mail do firmy, mówiąc, że dzwonią z działu IT.

Gdy dzwoniący lub wysyłający wiadomości uzyska dostęp, może udawać, że jest z innego działu lub poprosić o informacje, których firma normalnie by nie udostępniła. Inżynier społeczny często zbiera również jak najwięcej informacji o swoim celu przed nawiązaniem kontaktu.

5 sposobów na ochronę przed atakami inżynierii społecznej

Tutaj zebraliśmy kilka pomocnych wskazówek lub pomysłów, które pomagają chronić się przed byciem atakowanym społecznie lub zapobiegać atakom inżynierii społecznej:

Nieznani nadawcy (e-maile a wiadomości tekstowe)

Zwróć baczną uwagę na adres e-mail nadawcy i treść wiadomości. Świadomość, że nie trzeba klikać w żadne podejrzane linki do dokumentów jest niezbędna. 

Przestań udostępniać dane osobowe

Zastanów się, zanim udostępnisz informacje osobiste, takie jak hasła i numery kart kredytowych. Żadna legalna firma ani osoba nie powinna prosić o tego typu poufne informacje. Zawsze używaj silnych haseł i zmieniaj je regularnie. Unikaj używania tych samych haseł do wielu kont, aby uchronić się przed ofiarą ataków socjotechnicznych.

Warstwy bezpieczeństwa

Używaj dwuskładnikowego uwierzytelniania, kiedy tylko jest to możliwe. Może ono dodać dodatkową warstwę bezpieczeństwa, wymagając od użytkowników wprowadzenia kodu wysłanego na telefon komórkowy oraz nazwy użytkownika i hasła. Zawsze ustawiaj kody uwierzytelniające z adresem e-mail i numerem telefonu, aby jeśli ktoś uzyskał dostęp do któregoś z tych systemów, nie mógł bezpośrednio korzystać z Twojego konta.

Oprogramowanie antywirusowe

Zainstaluj oprogramowanie antymalware i oprogramowanie antywirusowe na wszystkich swoich urządzeniach. Aktualizuj te programy, aby mogły chronić Cię przed najnowszymi zagrożeniami. Jednak gdy masz zainstalowany program antywirusowy na swoich urządzeniach, może on stanowić doskonałą tarczę przed atakami inżynierii społecznej.

Zawsze pamiętaj o ryzyku

Zawsze należy brać pod uwagę ryzyko. Upewnij się, że każda prośba o informacje jest dokładna poprzez podwójne i potrójne sprawdzenie. Zwracaj uwagę na wiadomości dotyczące cyberbezpieczeństwa, gdy dotknie Cię niedawne naruszenie. 

Jakie są przykłady inżynierii społecznej?

Ofiarowanie ludzi poprzez ataki socjotechniczne to świetny sposób na popełnienie oszustwa. Może się to odbywać na kilka sposobów. Oto kilka przykładów inżynierii społecznej:

Uzyskać dostęp

Hakerzy mogą uzyskać dostęp do konta bankowego, składając wniosek o kredyt w imieniu innej osoby. Oszustwo to często wiąże się z rozmową telefoniczną lub wiadomością e-mail wysyłaną do przyjaciół i rodziny, którzy są następnie proszeni o dokonanie płatności przelewem w celu szybkiego zwrotu kosztów hakera za jego wpływ na życie ofiary. 

Kradzież danych osobowych

Innym powszechnym sposobem, w jaki ludzie są oszukiwani w celu przekazania swoich danych osobowych, jest przekonanie, że wygrali nagrodę lub konkurs, w którym nigdy nie brali udziału, ale do którego się zapisali. A kiedy otrzymują takie telefony, aby upewnić się, że otrzymają nagrodę, gdy tylko podadzą swoje dane, to właśnie tam ofiary wpadają w pułapkę napastnika. 

Phishing

W tym ataku napastnicy wysyłają e-maile, które wyglądają jak pochodzące od legalnych firm lub organizacji, ale zawierają złośliwe linki lub załączniki. Ponadto, jest to jeden z najczęstszych ataków inżynierii społecznej na świecie. 

Pretexting

Inny masowy atak socjotechniczny polega na tworzeniu fałszywej tożsamości lub scenariusza w celu uzyskania dostępu do informacji osobistych. Jednym z najbardziej znanych przykładów inżynierii społecznej jest gdzie napastnicy uzyskują dostęp do manipulowania ludźmi poprzez wysyłanie SMS-ów.

Surfowanie na ramieniu

Jest to atak, w którym napastnik zagląda komuś przez ramię, aby uzyskać dostęp do poufnych informacji. Czasami atakujący to nic innego jak Twoi bliscy przyjaciele lub ukochani, którzy będą Cię szantażować po uzyskaniu informacji, które zawsze chcieli mieć. Należy więc mieć oko na takie osoby i nigdy nie podawać każdego osobistego szczegółu. 

Tailgating

Tailgating to sytuacja, w której atakujący podąża za kimś upoważnionym do wejścia do budynku lub zabezpieczonego obszaru, nie będąc do tego upoważnionym. Nie jest tak powszechny jak inne ataki socjotechniczne, ale nadal jest niebezpieczny i może pozostawić szkodliwe uwagi.

Wniosek

Aby chronić się przed atakami socjotechnicznymi, musisz nauczyć się stosować środki ostrożności przeciwko nim. Ponieważ dostarczyliśmy Ci już kilka standardowych metod ataków socjotechnicznych, które są stosowane od kilku wieków na świecie, upewnij się, że zaczniesz wdrażać środki ostrożności już teraz. Ataki socjotechniczne mogą zniszczyć plusy i życie zawodowe osoby w ciągu kilku sekund. Zawsze zabezpieczaj swoje urządzenia, hasła i inne loginy za pomocą dwóch ustawionych kodów weryfikacji uwierzytelniania dla zewnętrznej warstwy ochrony.

Zanim zrobisz cokolwiek innego, porozmawiaj z zaufanym specjalistą IT lub ekspertem ds. bezpieczeństwa, np. PowerDMARC. Mogą oni pomóc Ci zrozumieć ryzyko związane z atakami inżynierii społecznej i jak je zminimalizować.

/przez

Rodzaje ataków socjotechnicznych w 2022 r.

Zanim przejdziemy do omówienia rodzajów ataków socjotechnicznych, których ofiary padają ofiarą na co dzień, a także nadchodzących ataków, które szturmem zdobyły internet, zastanówmy się najpierw, na czym polega socjotechnika. 

W uproszczeniu można powiedzieć, że socjotechnika to taktyka wdrażania cyberataków, w której podmioty wykorzystujące zagrożenia stosują manipulację psychologiczną, aby wykorzystać swoje ofiary i wyłudzić od nich pieniądze.

Inżynieria społeczna: Definicja i przykłady

Co to jest atak socjotechniczny?

W przeciwieństwie do cyberprzestępców, którzy włamują się do komputera lub systemu poczty elektronicznej, ataki socjotechniczne polegają na próbie wpłynięcia na opinię ofiary i skłonienia jej do ujawnienia poufnych informacji. Analitycy ds. bezpieczeństwa potwierdzili, że ponad 70% cyberataków, które mają miejsce w Internecie w skali roku, to ataki socjotechniczne.

Przykłady inżynierii społecznej

Przyjrzyj się przykładowi przedstawionemu poniżej:

 

Tutaj możemy zaobserwować reklamę online, która wabi ofiarę obietnicą zarobienia 1000 dolarów na godzinę. Reklama ta zawiera złośliwy odsyłacz, który może zainicjować instalację złośliwego oprogramowania w systemie. 

Ten typ ataku jest powszechnie znany jako Online Baiting lub po prostu Baiting i jest formą ataku socjotechnicznego. 

Poniżej podano inny przykład:

Jak pokazano powyżej, ataki socjotechniczne mogą być przeprowadzane również z wykorzystaniem poczty elektronicznej jako skutecznego medium. Powszechnym przykładem takiego ataku jest phishing. W następnym rozdziale zajmiemy się tymi atakami bardziej szczegółowo.

Rodzaje ataków socjotechnicznych

1. Vishing i Smishing

Załóżmy, że dziś otrzymasz od swojego banku (rzekomo) wiadomość SMS z prośbą o zweryfikowanie swojej tożsamości przez kliknięcie łącza, w przeciwnym razie Twoje konto zostanie dezaktywowane. Jest to bardzo powszechna wiadomość, która często jest rozsyłana przez cyberprzestępców w celu oszukania niczego niepodejrzewających osób. Po kliknięciu odsyłacza zostaniesz przekierowany na fałszywą stronę, która wymaga podania informacji bankowych. Możesz być pewny, że jeśli podasz swoje dane bankowe napastnikom, to wyczyszczą oni Twoje konto. 

Podobnie Vishing, czyli phishing głosowy, jest inicjowany za pomocą rozmów telefonicznych, a nie SMS-ów.

2. Przynęta online / Przynęta 

Codziennie, przeglądając strony internetowe, natrafiamy na różne reklamy internetowe. Choć większość z nich jest nieszkodliwa i autentyczna, może się wśród nich kryć kilka złych jabłek. Można to łatwo rozpoznać, zauważając reklamy, które wydają się zbyt piękne, aby mogły być prawdziwe. Zazwyczaj mają one absurdalne twierdzenia i przynęty, takie jak trafienie w dziesiątkę lub zaoferowanie ogromnej zniżki.

Pamiętaj, że to może być pułapka (vel a przynęta). Jeśli coś wydaje się zbyt piękne, aby mogło być prawdziwe, prawdopodobnie takie jest. Dlatego lepiej jest unikać podejrzanych reklam w Internecie i nie klikać ich.

3. Phishing

Ataki socjotechniczne najczęściej przeprowadzane są za pośrednictwem poczty elektronicznej i określane są mianem phishingu. Ataki phishingowe sieją spustoszenie na skalę globalną niemal tak długo, jak istnieje poczta elektroniczna. Od 2020 r., w związku z gwałtownym wzrostem liczby wiadomości e-mail, wzrosła również liczba ataków phishingowych, które wyłudzają pieniądze od dużych i małych organizacji i codziennie trafiają na pierwsze strony gazet. 

Ataki phishingowe można podzielić na Spear phishing, Whaling oraz CEO fraud, które polegają na podszywaniu się pod konkretnych pracowników w organizacji, osoby decyzyjne w firmie oraz dyrektora generalnego.

4. Oszustwa romansowe

Federalne Biuro Śledcze (FBI) definiuje internetowe oszustwa romansowe jako "oszustwa, które mają miejsce, gdy przestępca przyjmuje fałszywą tożsamość internetową, aby zdobyć sympatię i zaufanie ofiary. Oszust wykorzystuje następnie iluzję romantycznego lub bliskiego związku, aby manipulować ofiarą i/lub okradać ją". 

Oszustwa romansowe zaliczają się do rodzajów ataków socjotechnicznych, ponieważ osoby atakujące stosują taktykę manipulacji w celu nawiązania bliskiej, romantycznej relacji z ofiarą, zanim przystąpią do realizacji swojego głównego celu, czyli wyłudzenia danych. W 2021 r. oszustwa romansowe zajęły pierwsze miejsce wśród najbardziej szkodliwych finansowo cyberataków tego roku, tuż za nimi uplasowało się oprogramowanie ransomware.

5. Spoofing

Spofing domen to bardzo rozwinięta forma ataku socjotechnicznego. Polega on na tym, że atakujący podrabia domenę prawdziwej firmy, aby wysyłać wiadomości e-mail do klientów w imieniu organizacji wysyłającej. Atakujący manipuluje ofiarami, aby uwierzyły, że wspomniana wiadomość e-mail pochodzi z autentycznego źródła, tj. z firmy, na której usługach polegają. 

Ataki typu spoofing są trudne do wyśledzenia, ponieważ wiadomości e-mail są wysyłane z domeny firmowej. Istnieją jednak sposoby na rozwiązanie tego problemu. Jedną z popularnych metod stosowanych i zalecanych przez ekspertów branżowych jest minimalizowanie spoofingu za pomocą protokołu DMARC Konfiguracja.

6. Podawanie pretekstów

Pretexting można określić mianem poprzednika ataku socjotechnicznego. Polega on na tym, że atakujący tworzy hipotetyczną historię, aby poprzeć swoje żądanie zdobycia poufnych informacji firmowych. W większości przypadków podszywanie się jest przeprowadzane za pośrednictwem rozmów telefonicznych, podczas których atakujący podszywa się pod klienta lub pracownika i żąda od firmy poufnych informacji.

Jaka jest powszechna metoda stosowana w inżynierii społecznej?

Najczęstszą metodą stosowaną w inżynierii społecznej jest Phishing. Przyjrzyjmy się kilku statystykom, aby lepiej zrozumieć, że Phishing stanowi coraz większe zagrożenie na świecie:

  • W raporcie 2021 Cybersecurity Threat Trends opracowanym przez CISCO podkreślono, że aż 90% przypadków naruszenia bezpieczeństwa danych ma miejsce w wyniku phishingu.
  • IBM w swoim raporcie Cost of a Data Breach Report z 2021 r. przyznał phishingowi tytuł najbardziej kosztownego finansowo wektora ataku
  • Jak podaje FBI, z każdym rokiem liczba ataków phishingowych wzrasta o 400%.

Jak uchronić się przed atakami socjotechnicznymi?

Protokoły i narzędzia, które można skonfigurować: 

  • Wdrażaj w swojej organizacji protokoły uwierzytelniania wiadomości e-mail, takie jak SPF, DKIM i DMARC. Zacznij od utworzenia bezpłatnego rekordu DMARC już dziś, korzystając z naszego Generator rekordów DMARC.
  • Egzekwuj swoją politykę DMARC do p=reject w celu zminimalizowania bezpośredniego spoofingu domeny i ataków phishingowych
  • Upewnij się, że Twój system komputerowy jest chroniony za pomocą oprogramowania antywirusowego

Indywidualne działania, które możesz podjąć:

  • Podniesienie świadomości organizacji na temat typowych rodzajów ataków socjotechnicznych, wektorów ataków i znaków ostrzegawczych
  • Zdobądź wiedzę na temat wektorów i rodzajów ataków. Odwiedź naszą bazę wiedzy, wpisz hasło "phishing" w pasku wyszukiwania, naciśnij enter i zacznij się uczyć już dziś!  
  • Nigdy nie podawaj poufnych informacji na zewnętrznych stronach internetowych
  • Włącz w urządzeniu przenośnym aplikacje do identyfikacji numeru rozmówcy
  • Pamiętaj, że bank nigdy nie poprosi Cię o podanie informacji o koncie i hasła za pośrednictwem poczty elektronicznej, SMS-a lub telefonu.
  • Zawsze sprawdzaj adres nadawcy i adres ścieżki zwrotnej wiadomości e-mail, aby upewnić się, że są one zgodne. 
  • Nigdy nie klikaj na podejrzane załączniki lub łącza w wiadomościach e-mail, zanim nie upewnisz się w 100% co do autentyczności ich źródła.
  • Zastanów się dwa razy, zanim zaufasz osobom, z którymi kontaktujesz się w sieci, a których nie znasz w prawdziwym życiu
  • Nie należy przeglądać witryn, które nie są zabezpieczone połączeniem HTTPS (np. http://domain.com).

/przez