Что такое атака самозванца?

Блог

В этой статье представлена подробная информация об атаках с использованием пароля, типах атак с использованием пароля, а также советы о том, как защититься от атак с использованием пароля по электронной почте.

Ахона Рудра

Время чтения: 9 мин
Что такое атака самозванца?
Оглавление-

Атака с целью выдать себя за другого - это попытка получить несанкционированный доступ к информационным системам, маскируясь под авторизованных пользователей. Эти атаки, основанные на идентификации, специально нацелены на цифровые идентификаторы людей или организаций и компрометируют их, используя уязвимости, связанные с управлением идентификацией и доступом, для кражи информации, например имен пользователей, паролей или личных данных, совершения мошенничества или других вредоносных действий.

По данным Security Magazineв период с 1 квартала 2020 года по 1 квартал 2021 года на 131 % увеличилось число случаев китобойства и подражания руководителям, причем 55 % специалистов по кибербезопасности заявили, что руководитель их компании был подделан. Кроме того, в отчете "Тенденции в области защиты цифровых идентификационных данных" за 2023 год отчет подготовленный Identity Defined Security Alliance (IDSA), показал, что за последний год 90 % организаций столкнулись хотя бы с одной атакой, связанной с цифровыми идентификационными данными. Только в прошлом году эти атаки обошлись предприятиям в 1,8 миллиарда долларов США, а неспособность защитить данные клиентов может привести к серьезным штрафам со стороны регулирующих органов и дорогостоящим судебным разбирательствам, как это видно из таких случаев, как урегулирование спора с Equifax на сумму 575 миллионов долларов США после взлома.

Проблема настолько распространена, что 1 из каждых 3 226 электронных писем, получаемых руководителем (раз в 24 дня), является попыткой выдать себя за другого.

В этой статье мы расскажем все, что вам нужно знать об атаках типа "имперсонация", их типах, способах обнаружения и защите вашей организации от них.

Ключевые выводы

  1. Атаки с использованием самозванства - одна из основных форм киберугроз, основанных на идентификации личности, - используют социальную инженерию для имитации доверенных лиц с целью несанкционированного доступа или мошенничества.
  2. Эти атаки, затронувшие в последнее время 90 % организаций, представляют собой значительные финансовые, репутационные и юридические риски, требующие неотложного внимания.
  3. Тактика варьируется от подмены электронной почты и поддельных доменов (фишинг) до использования повторно используемых паролей (credential stuffing) и перехвата коммуникаций (MitM).
  4. Бдительность в отношении подозрительных признаков (срочность, странные запросы, некачественные электронные письма) и тщательное обучение пользователей - важнейшие первые линии защиты.
  5. Для защиты необходима многоуровневая техническая защита, включающая строгую аутентификацию (MFA), проверку электронной почты (DMARC), регулярное обновление и, возможно, модель "нулевого доверия".

Что такое атака самозванца?

Атака на выдачу себя за другого - это форма социальной инженерии, при которой злоумышленник выдает себя за другого человека или выдает себя за законного пользователя (или группу пользователей), чтобы получить доступ к информации, на которую он не имеет права, украсть данные, связанные с личностью, совершить мошенничество или провести другие вредоносные действия.

В этом типе атак злоумышленник часто использует методы социальной инженерии, манипулируя психологией и доверием людей, чтобы получить информацию о системе и/или цели, например, представляясь сотрудником ИТ-отдела и запрашивая учетные данные для входа в систему. Эти атаки постоянно совершенствуются, в них используются передовые методы и целенаправленный сбор информации.

Атаки с целью самозванства могут быть совершены лично, по телефону или в Интернете. И могут быть катастрофическими, если их не обнаружить.

 

Защититесь от атак самозванца с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

Как осуществляется атака с использованием имперсонации?

Имперсонация - это когда злоумышленник выдает себя за легитимного пользователя или службу, чтобы получить доступ к защищенной информации. Атаки с использованием самозванца легко осуществить, но они могут быть очень разрушительными, в зависимости от типа данных, которые пытается получить злоумышленник, и потенциально могут привести к значительным финансовым потерям или ущербу репутации.

Все, что нужно сделать злоумышленнику, - это собрать достаточно информации о законном пользователе или службе, чтобы обмануть других и заставить их думать, что они те, за кого себя выдают. Затем злоумышленник попытается заставить свою цель (или цели) раскрыть конфиденциальную информацию, которая в противном случае была бы защищена мерами безопасности.

Во многих случаях злоумышленники используют электронную почту или другие виды связи для атак с целью выдать себя за другого человека. Они рассылают письма, выдавая себя за другого человека (так называемый спуфинг), в том числе фишинговые письма, содержащие ссылки для загрузки вредоносного ПО в систему ничего не подозревающего пользователя.

Еще один метод, используемый злоумышленниками, известен как "китобойный промысел"; он включает в себя кражу личности руководителя или владельца и рассылку электронных писем с указанием сотрудникам перевести средства или предоставить другую конфиденциальную информацию. Поскольку электронное письмо, по всей видимости, исходит от авторитетного человека, многие сотрудники будут беспрекословно следовать инструкциям.

Как планируются атаки с использованием самозванства?

Для того чтобы составить план атаки с целью выдать себя за другого, хакеры сначала должны собрать информацию о своей цели. Они часто используют общедоступную информацию, например, профили в социальных сетях и общедоступную информацию на сайте компании. Хакеры могут использовать эту информацию для создания реалистичной личности и начать взаимодействовать с сотрудниками целевой компании.

Хакер будет связываться с сотрудниками, используя методы, соответствующие тому, что ожидается от этой личности. Хакер может отправлять электронные письма, текстовые сообщения или звонить сотрудникам, используя поддельный адрес электронной почты или номер телефона, который максимально совпадает с реальным адресом электронной почты или номером телефона компании - разница есть, но она почти незаметна невооруженным глазом.

Это дает сотруднику ощущение, что он общается с известным человеком в своей организации.

Вот пример пародирования электронной почты:

[email protected]

[email protected]

Как вы можете видеть выше, различия между двумя письмами едва заметны, и их легко пропустить, особенно если вы получаете сотни писем в день.

Завоевав доверие сотрудника, хакер отправляет ему электронное письмо, которое выглядит как письмо от подлинного источника компании. Эти письма часто содержат ссылки на веб-сайты, которые запрашивают личную информацию или требуют от сотрудника выполнения каких-либо действий (например, загрузки файлов). Эти сайты и файлы заражены вредоносным ПО, которое позволяет хакерам получить доступ к данным, украсть личную информацию или осуществить другие кибератаки на сеть компании.

Поддельные адреса отправителей, подобные этим, отклоняются с помощью строгой политика DMARCкоторую вы можете использовать для своих писем, чтобы оставаться защищенными от атак самозванцев.

Некоторые распространенные тактики атак на самозванцев

Существует несколько способов, с помощью которых злоумышленники могут попытаться выдать себя за вас или вашего знакомого. Вот некоторые распространенные тактики:

1. Атака на бесплатный аккаунт электронной почты

Злоумышленник использует бесплатную службу электронной почты для отправки сообщений с адреса электронной почты, аналогичного тому, который использует объект атаки. Эта тактика может быть использована для того, чтобы убедить людей посетить вредоносный веб-сайт, загрузить вредоносное ПО или предоставить информацию, например, пароли или номера кредитных карт.

2. Атака на двоюродного брата

При атаке на двоюродный домен злоумышленник создает сайт, который выглядит почти так же, как сайт вашего банка, но заканчивается на .com, а не на .org или .net, например. Затем они отправляют электронные письма с этого поддельного сайта: когда люди нажимают на ссылки в этих письмах, они попадают на поддельный сайт вместо настоящего сайта банка.

3. Атака на отправителя поддельного конверта

Злоумышленник создает электронное письмо с адресом отправителя, который выглядит как адрес известной компании, например "[email protected]". Поскольку этот адрес выглядит законным, он обходит фильтры большинства почтовых серверов. Затем злоумышленник направляет свое сообщение жертвам, заманивая их перейти по ссылкам или открыть вложения, что позволяет вредоносному ПО заразить их компьютеры.

4. Атака на отправителя поддельного заголовка

Атака на отправителя заголовка - это тип подделки электронной почты, который может быть использован для того, чтобы обмануть людей и заставить их поверить, что сообщение было отправлено кем-то другим, а не его истинным источником. При этом типе атаки поле "отправитель" в заголовке сообщения электронной почты изменяется таким образом, чтобы включить адрес, отличный от реального, который отправил сообщение. Это может быть сделано путем изменения полей "From:" или "Return-Path:", или обоих полей. Цель таких атак - создать видимость того, что письмо было отправлено кем-то другим, например, деловым партнером или другом, чтобы обмануть получателей и заставить их открыть сообщения от знакомых им людей.

5. Атака на взломанную учетную запись электронной почты

При этой атаке злоумышленник получает доступ к законной учетной записи электронной почты, а затем использует ее для отправки электронных писем и сообщений другим сотрудникам организации. Злоумышленник может выдавать себя за сотрудника, обладающего специальными знаниями или полномочиями, или выдавать себя за другого человека, обладающего специальными знаниями или полномочиями.

6. Мошенническая атака на генерального директора

При этой атаке злоумышленники выдают себя за генерального директора компании и пытаются убедить сотрудников или клиентов, что им нужен доступ к конфиденциальной информации. Злоумышленники часто используют методы социальной инженерии, такие как фишинговые электронные письма или телефонные звонки, которые создают впечатление, что они звонят из ИТ-отдела вашей компании. Они часто используют язык, характерный для вашей отрасли или бизнеса, чтобы казаться более легитимными и заслуживающими доверия, и при этом просят предоставить конфиденциальную информацию, например, пароли или номера кредитных карт.

7. Атака "человек посередине" (MITM)

Этот тип атаки предполагает перехват злоумышленником ваших сообщений с легитимной службой и последующую их передачу легитимной службе, как будто они исходят от вас. Таким образом, злоумышленник может подслушать ваше сообщение, изменить его или вообще предотвратить его.

8. Набивка мандатов

Эта атака использует распространенную практику повторного использования паролей в различных онлайн-сервисах. Злоумышленники получают списки украденных имен пользователей и паролей, полученных в результате предыдущих утечек данных (часто доступные в темной паутине), и систематически пробуют эти учетные данные на других сайтах или системах. Если пользователь повторно использовал свой пароль, злоумышленник получает несанкционированный доступ. Утечка данных компании Target в 2013 году, в результате которой были скомпрометированы данные более 41 миллиона потребителей, а сумма мирового соглашения составила 18,5 млн долларов, была вызвана тем, что злоумышленники использовали украденные учетные данные для доступа к подключенной системе поставщика.

Как распознать атаку самозванства?

Чувство срочности: Злоумышленник может призывать получателя к немедленным действиям (например, к немедленному переводу денег, иначе его счет будет навсегда заблокирован), используя в своих сообщениях срочный тон. Это заставляет жертву действовать без раздумий.

Конфиденциальность: Злоумышленник может указать, что запрашиваемая им информация должна оставаться конфиденциальной, подразумевая, что ее разглашение может привести к серьезным последствиям.

Запрос на предоставление конфиденциальной информации: Злоумышленник может попросить вас предоставить информацию, которая известна только вашему банку, например номер счета или пароль. Он также может попросить вас поделиться корпоративными учетными данными, к которым имеете доступ только вы. Это, в свою очередь, позволит им получить доступ к базам данных вашей компании и слить конфиденциальную информацию.

Измененные адреса электронной почты: Например, если вы получили электронное письмо от человека, выдающего себя за представителя компании "Amazon", который просит вас войти в систему и обновить информацию об учетной записи, но на самом деле адрес электронной почты - "[email protected]", то это может быть атака с целью выдать себя за другого.

Плохо написанные электронные письма: Фишинговые письма написаны некачественно, часто с орфографическими и грамматическими ошибками, так как они обычно создаются массово.

Наличие вредоносных ссылок или вложений: Вредоносные ссылки и вложения являются распространенным способом проведения атаки с целью выдать себя за другого человека. Эти виды атак можно определить по наличию:

  • Ссылки, которые открываются в новой вкладке, а не в текущей.
  • Вложения со странными названиями или расширениями файлов (например, "attachment" или ".zip").
  • Вложения, содержащие исполняемый файл (например, .exe).

Защита от самозванства

Предотвращение атак на основе идентификации, таких как выдача себя за другого, требует многоуровневого подхода, сочетающего информированность пользователей и технические средства контроля.

1. Обучение кибербезопасности: Компании должны понимать, что обучение по вопросам кибербезопасности крайне важно. Обучение должно включать в себя:

  • Как злоумышленники могут выдавать себя за пользователей и получать доступ к системам
  • Как распознать признаки того, что кто-то пытается выдать себя за вас, чтобы вы могли принять меры до того, как будет нанесен ущерб
  • Понимание важности превентивного контроля

2. Надежная аутентификация: Внедрите надежные методы аутентификации.

  • Многофакторная аутентификация (MFA): Включайте MFA везде, где это возможно. Это требует от пользователей предоставления двух или более факторов проверки (например, пароль плюс OTP, биометрические данные или ответ на вопрос безопасности), что значительно затрудняет несанкционированный доступ даже в случае кражи учетных данных.
  • Использование надежных паролей: Поощряйте пользователей к созданию сложных, уникальных паролей для разных учетных записей. Поощряйте использование надежных менеджеров паролей для создания и безопасного хранения надежных паролей. Избегайте легко угадываемых шаблонов.

3. Безопасность электронной почты: Защитите свой основной канал связи.

  • Защита домена: Домен электронной почты компании должен быть защищен от подделки. Используйте домен, характерный для вашего бизнеса (например, "@yourbusinessnamehere.com"), а не общие провайдеры, такие как "@gmail.com".
  • Реализация DMARC: Внедрите протоколы аутентификации электронной почты, такие как DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC позволяет владельцам доменов указывать, как принимающие почтовые серверы должны обрабатывать письма, не прошедшие проверки SPF (Sender Policy Framework) или DKIM (DomainKeys Identified Mail), что помогает блокировать поддельные письма. Применение строгой политики DMARC (p=reject или p=quarantine) предотвращает несанкционированное использование вашего домена в фишинговых и имперсонационных атаках.
  • Фильтрация электронной почты: Используйте передовые решения для защиты электронной почты, которые позволяют обнаруживать подозрительные ссылки, вложения и аномалии отправителя.

4. Безопасность систем и программного обеспечения: Поддерживать безопасную ИТ-среду.

  • Регулярные обновления и управление исправлениями: Поддерживайте операционные системы, приложения и программное обеспечение безопасности в актуальном состоянии с помощью последних исправлений, устраняющих известные уязвимости, используемые злоумышленниками.
  • Решения для обеспечения безопасности: Установите и поддерживайте надежное антивирусное/антивирусное программное обеспечение и рассмотрите возможность внедрения систем обнаружения вторжений (IDS) для мониторинга подозрительной сетевой активности.
  • Откажитесь от устаревших систем: Замените устаревшие системы, которые могут иметь непропатченные уязвимости или слабые средства контроля безопасности, поскольку они часто становятся мишенью злоумышленников.

5. Защита данных: Защита конфиденциальной информации.

  • Шифрование данных: Шифруйте конфиденциальные данные как при их хранении (в состоянии покоя), так и при передаче (в пути), чтобы защитить их даже в случае перехвата.

6. Принять модель нулевого доверия: Внедрите Безопасность с нулевым доверием подход, предполагающий, что ни один пользователь или устройство не заслуживают доверия по своей сути. Доступ предоставляется на основе непрерывной проверки и принципа наименьших привилегий, что сводит к минимуму потенциальное влияние скомпрометированной личности.

Применяя эти превентивные меры и формируя культуру кибербезопасности, организации могут значительно снизить свою уязвимость к самозванству и другим атакам на основе идентификационных данных. Не терять бдительности, адаптироваться к возникающим угрозам и постоянно обучать сотрудников - вот важнейшие составляющие надежной стратегии защиты.

Вам нужна круглосуточная защита от самозванства? PowerDMARC является поставщиком решений для аутентификации электронной почты - мы предоставляем услуги, направленные на то, чтобы предприятия могли защитить свои почтовые коммуникации. Мы помогаем вам управлять репутацией вашего домена, обеспечивая доставку через защищенные шлюзы только писем от авторизованных отправителей, а также защищая его от подделки киберпреступниками и фишерами.

Последние сообщения Ахона Рудра (см. все)
Топ-5 инструментов маркетинга электронной почты для онлайн-бизнесаТоп-5 инструментов маркетинга электронной почты для онлайн-бизнесаОбновление настроек аутентификации DKIM не удалосьКак исправить "Обновление настроек аутентификации DKIM не удалось"?