Zanim przejdziemy do omówienia rodzajów ataków socjotechnicznych, których ofiary padają ofiarą na co dzień, a także nadchodzących ataków, które szturmem zdobyły internet, zastanówmy się najpierw, na czym polega socjotechnika.

W uproszczeniu można powiedzieć, że socjotechnika to taktyka wdrażania cyberataków, w której podmioty wykorzystujące zagrożenia stosują manipulację psychologiczną, aby wykorzystać swoje ofiary i wyłudzić od nich pieniądze.

Inżynieria społeczna: Definicja i przykłady

Co to jest atak socjotechniczny?

W przeciwieństwie do cyberprzestępców, którzy włamują się do komputera lub systemu poczty elektronicznej, ataki socjotechniczne polegają na próbie wpłynięcia na opinię ofiary i skłonienia jej do ujawnienia poufnych informacji. Analitycy ds. bezpieczeństwa potwierdzili, że ponad 70% cyberataków, które mają miejsce w Internecie w skali roku, to ataki socjotechniczne.

Przykłady inżynierii społecznej

Przyjrzyj się przykładowi przedstawionemu poniżej:

Tutaj możemy zaobserwować reklamę online, która wabi ofiarę obietnicą zarobienia 1000 dolarów na godzinę. Reklama ta zawiera złośliwy odsyłacz, który może zainicjować instalację złośliwego oprogramowania w systemie.

Ten typ ataku jest powszechnie znany jako Online Baiting lub po prostu Baiting i jest formą ataku socjotechnicznego.

Poniżej podano inny przykład:

Jak pokazano powyżej, ataki socjotechniczne mogą być przeprowadzane również z wykorzystaniem poczty elektronicznej jako skutecznego medium. Powszechnym przykładem takiego ataku jest phishing. W następnym rozdziale zajmiemy się tymi atakami bardziej szczegółowo.

Rodzaje ataków socjotechnicznych

1. Vishing i Smishing

Załóżmy, że otrzymałeś dziś wiadomość SMS od swojego banku (rzekomo) z prośbą o zweryfikowanie swojej tożsamości poprzez kliknięcie linku, w przeciwnym razie Twoje konto zostanie dezaktywowane. Jest to bardzo powszechna wiadomość, która jest często rozpowszechniana przez cyberprzestępców w celu oszukania niczego niepodejrzewających osób. Po kliknięciu linku zostaniesz przekierowany na fałszywą stronę, która wymaga podania informacji bankowych. Możesz być pewien, że jeśli w końcu podasz swoje dane bankowe atakującym, opróżnią oni twoje konto.

Podobnie Vishing, czyli phishing głosowy, jest inicjowany za pomocą rozmów telefonicznych, a nie SMS-ów.

2. Przynęta online / Przynęta

Codziennie, przeglądając strony internetowe, natrafiamy na różne reklamy internetowe. Choć większość z nich jest nieszkodliwa i autentyczna, może się wśród nich kryć kilka złych jabłek. Można to łatwo rozpoznać, zauważając reklamy, które wydają się zbyt piękne, aby mogły być prawdziwe. Zazwyczaj mają one absurdalne twierdzenia i przynęty, takie jak trafienie w dziesiątkę lub zaoferowanie ogromnej zniżki.

Pamiętaj, że to może być pułapka (vel a przynęta). Jeśli coś wydaje się zbyt piękne, aby mogło być prawdziwe, prawdopodobnie takie jest. Dlatego lepiej jest unikać podejrzanych reklam w Internecie i nie klikać ich.

3. Phishing

Ataki socjotechniczne najczęściej przeprowadzane są za pośrednictwem poczty elektronicznej i określane są mianem phishingu. Ataki phishingowe sieją spustoszenie na skalę globalną niemal tak długo, jak istnieje poczta elektroniczna. Od 2020 r., w związku z gwałtownym wzrostem liczby wiadomości e-mail, wzrosła również liczba ataków phishingowych, które wyłudzają pieniądze od dużych i małych organizacji i codziennie trafiają na pierwsze strony gazet.

Ataki phishingowe można podzielić na Spear phishing, Whaling oraz CEO fraud, które polegają na podszywaniu się pod konkretnych pracowników w organizacji, osoby decyzyjne w firmie oraz dyrektora generalnego.

4. Oszustwa romansowe

Federalne Biuro Śledcze (FBI) definiuje internetowe oszustwa romansowe jako "oszustwa, które mają miejsce, gdy przestępca przyjmuje fałszywą tożsamość internetową, aby zdobyć sympatię i zaufanie ofiary. Oszust wykorzystuje następnie iluzję romantycznego lub bliskiego związku, aby manipulować ofiarą i/lub okradać ją".

Oszustwa romansowe zaliczają się do rodzajów ataków socjotechnicznych, ponieważ osoby atakujące stosują taktykę manipulacji w celu nawiązania bliskiej, romantycznej relacji z ofiarą, zanim przystąpią do realizacji swojego głównego celu, czyli wyłudzenia danych. W 2021 r. oszustwa romansowe zajęły pierwsze miejsce wśród najbardziej szkodliwych finansowo cyberataków tego roku, tuż za nimi uplasowało się oprogramowanie ransomware.

5. Spoofing

Spofing domen to bardzo rozwinięta forma ataku socjotechnicznego. Polega on na tym, że atakujący podrabia domenę prawdziwej firmy, aby wysyłać wiadomości e-mail do klientów w imieniu organizacji wysyłającej. Atakujący manipuluje ofiarami, aby uwierzyły, że wspomniana wiadomość e-mail pochodzi z autentycznego źródła, tj. z firmy, na której usługach polegają.

Ataki typu spoofing są trudne do wyśledzenia, ponieważ wiadomości e-mail są wysyłane z domeny firmowej. Istnieją jednak sposoby na rozwiązanie tego problemu. Jedną z popularnych metod stosowanych i zalecanych przez ekspertów branżowych jest minimalizowanie spoofingu za pomocą protokołu DMARC Konfiguracja.

6. Podawanie pretekstów

Pretexting można określić mianem poprzednika ataku socjotechnicznego. Polega on na tym, że atakujący tworzy hipotetyczną historię, aby poprzeć swoje żądanie zdobycia poufnych informacji firmowych. W większości przypadków podszywanie się jest przeprowadzane za pośrednictwem rozmów telefonicznych, podczas których atakujący podszywa się pod klienta lub pracownika i żąda od firmy poufnych informacji.

Jaka jest powszechna metoda stosowana w inżynierii społecznej?

Najczęstszą metodą stosowaną w inżynierii społecznej jest Phishing. Przyjrzyjmy się kilku statystykom, aby lepiej zrozumieć, że Phishing stanowi coraz większe zagrożenie na świecie:

W raporcie 2021 Cybersecurity Threat Trends opracowanym przez CISCO podkreślono, że aż 90% przypadków naruszenia bezpieczeństwa danych ma miejsce w wyniku phishingu.
IBM w swoim raporcie Cost of a Data Breach Report z 2021 r. przyznał phishingowi tytuł najbardziej kosztownego finansowo wektora ataku
Jak podaje FBI, z każdym rokiem liczba ataków phishingowych wzrasta o 400%.

Jak uchronić się przed atakami socjotechnicznymi?

Protokoły i narzędzia, które można skonfigurować:

Wdróż protokoły uwierzytelniania poczty e-mail w swojej organizacji, takie jak SPF, DKIM i DMARC. Zacznij od utworzenia darmowego rekordu DM ARC już dziś za pomocą naszego Generator rekordów DMARC.
Egzekwuj swoją politykę DMARC do p=reject w celu zminimalizowania bezpośredniego spoofingu domeny i ataków phishingowych
Upewnij się, że Twój system komputerowy jest chroniony za pomocą oprogramowania antywirusowego

Indywidualne działania, które możesz podjąć:

Podniesienie świadomości organizacji na temat typowych rodzajów ataków socjotechnicznych, wektorów ataków i znaków ostrzegawczych
Zdobądź wiedzę na temat wektorów i rodzajów ataków. Odwiedź naszą bazę wiedzy, wpisz hasło "phishing" w pasku wyszukiwania, naciśnij enter i zacznij się uczyć już dziś!
Nigdy nie podawaj poufnych informacji na zewnętrznych stronach internetowych
Włącz w urządzeniu przenośnym aplikacje do identyfikacji numeru rozmówcy
Pamiętaj, że bank nigdy nie poprosi Cię o podanie informacji o koncie i hasła za pośrednictwem poczty elektronicznej, SMS-a lub telefonu.
Zawsze sprawdzaj adres nadawcy i adres ścieżki zwrotnej wiadomości e-mail, aby upewnić się, że są one zgodne.
Nigdy nie klikaj na podejrzane załączniki lub łącza w wiadomościach e-mail, zanim nie upewnisz się w 100% co do autentyczności ich źródła.
Zastanów się dwa razy, zanim zaufasz osobom, z którymi kontaktujesz się w sieci, a których nie znasz w prawdziwym życiu
Nie należy przeglądać witryn, które nie są zabezpieczone połączeniem HTTPS (np. http://domain.com).