Атака на выдачу себя за другого - это попытка получить несанкционированный доступ к информационным системам, маскируясь под авторизованных пользователей.
По данным Security Magazineв период с 1 квартала 2020 года по 1 квартал 2021 года на 131% увеличилось количество китов и выдающих себя за руководителей компаний, причем 55% специалистов по кибербезопасности заявили, что в их компании подменили руководителя. Только в прошлом году эти атаки обошлись предприятиям в $1,8 млрд. убытков.
Проблема настолько распространена, что 1 из каждых 3 226 электронных писем, получаемых руководителем (раз в 24 дня), является попыткой выдать себя за другого.
В этой статье мы расскажем все, что вам нужно знать об атаках типа "имперсонация", их типах, способах обнаружения и защите вашей организации от них.
Что такое атака самозванца?
Атака с использованием имперсонации - это форма социальной инженерии, при которой злоумышленник выдает себя за другого человека или выдает себя за законного пользователя (или группу пользователей), чтобы получить доступ к информации, на которую он не имеет права.
В этом типе атаки злоумышленник часто использует методы социальной инженерии для получения информации о системе и/или цели, например, выдавая себя за сотрудника ИТ-отдела и запрашивая учетные данные для входа в систему.
Атаки с целью самозванства могут быть совершены лично, по телефону или в Интернете. И могут быть катастрофическими, если их не обнаружить.
Как осуществляется атака с использованием имперсонации?
Имперсонация - это когда злоумышленник выдает себя за законного пользователя или службу, чтобы получить доступ к защищенной информации. Атаки с использованием самозванства легко осуществить, и они могут быть очень разрушительными, в зависимости от типа данных, которые пытается получить злоумышленник.
Все, что нужно сделать злоумышленнику, - это собрать достаточно информации о законном пользователе или службе, чтобы обмануть других и заставить их думать, что они те, за кого себя выдают. Затем злоумышленник попытается заставить свою цель (или цели) раскрыть конфиденциальную информацию, которая в противном случае была бы защищена мерами безопасности.
Во многих случаях злоумышленники используют электронную почту или другие виды связи для атак с целью выдать себя за другого человека. Они рассылают письма, выдавая себя за другого человека (так называемый спуфинг), в том числе фишинговые письма, содержащие ссылки для загрузки вредоносного ПО в систему ничего не подозревающего пользователя.
Еще один метод, используемый злоумышленниками, известен как "китобойный промысел"; он включает в себя кражу личности руководителя или владельца и рассылку электронных писем с указанием сотрудникам перевести средства или предоставить другую конфиденциальную информацию. Поскольку электронное письмо, по всей видимости, исходит от авторитетного человека, многие сотрудники будут беспрекословно следовать инструкциям.
Как планируются атаки с использованием самозванства?
Для того чтобы составить план атаки с целью выдать себя за другого, хакеры сначала должны собрать информацию о своей цели. Они часто используют общедоступную информацию, например, профили в социальных сетях и общедоступную информацию на сайте компании. Хакеры могут использовать эту информацию для создания реалистичной личности и начать взаимодействовать с сотрудниками целевой компании.
Хакер будет связываться с сотрудниками, используя методы, соответствующие тому, что ожидается от этой личности. Хакер может отправлять электронные письма, текстовые сообщения или звонить сотрудникам, используя поддельный адрес электронной почты или номер телефона, который максимально совпадает с реальным адресом электронной почты или номером телефона компании - разница есть, но она почти незаметна невооруженным глазом.
Это дает сотруднику ощущение, что он общается с известным человеком в своей организации.
| Вот пример пародирования электронной почты:
accessorystore@mnmail.com accessarystore@mnmail.com Как вы можете видеть выше, различия между двумя письмами едва заметны, и их легко пропустить, особенно если вы получаете сотни писем в день. |
После того как хакер завоевал доверие сотрудника, он отправляет ему электронное письмо, которое выглядит как письмо от подлинного источника компании. Эти письма часто содержат ссылки на веб-сайты, которые запрашивают личную информацию или требуют действий от сотрудника (например, загрузки файлов). Эти сайты и файлы заражены вредоносным ПО, которое позволяет хакерам получить доступ к данным, украсть личную информацию или осуществить другие кибератаки на сеть компании.
Поддельные адреса отправителей, подобные этим, отклоняются с помощью строгой политика DMARCкоторую вы можете использовать для своих электронных писем, чтобы оставаться защищенными от атак самозванства.
Некоторые распространенные тактики атак на самозванцев
Существует несколько способов, с помощью которых злоумышленники могут попытаться выдать себя за вас или вашего знакомого. Вот некоторые распространенные тактики:
1. Атака на бесплатный аккаунт электронной почты
Злоумышленник использует бесплатную службу электронной почты для отправки сообщений с адреса электронной почты, аналогичного тому, который использует объект атаки. Эта тактика может быть использована для того, чтобы убедить людей посетить вредоносный веб-сайт, загрузить вредоносное ПО или предоставить информацию, например, пароли или номера кредитных карт.
2. Атака на двоюродного брата
При атаке на двоюродный домен злоумышленник создает сайт, который выглядит почти так же, как сайт вашего банка, но заканчивается на .com, а не на .org или .net, например. Затем они отправляют электронные письма с этого поддельного сайта: когда люди нажимают на ссылки в этих письмах, они попадают на поддельный сайт вместо настоящего сайта банка.
3. Атака на отправителя поддельного конверта
Злоумышленник создает электронное письмо с адресом отправителя, который выглядит как адрес известной компании, например "payments@apple.com". Поскольку этот адрес выглядит законным, он обходит фильтры большинства почтовых серверов. Затем злоумышленник направляет свое сообщение жертвам, заманивая их перейти по ссылкам или открыть вложения, что позволяет вредоносному ПО заразить их компьютеры.
4. Атака на отправителя поддельного заголовка
Атака на отправителя заголовка - это тип подделки электронной почты, который может быть использован для того, чтобы обмануть людей и заставить их поверить, что сообщение было отправлено кем-то другим, а не его истинным источником. При этом типе атаки поле "отправитель" в заголовке сообщения электронной почты изменяется таким образом, чтобы включить адрес, отличный от реального, который отправил сообщение. Это может быть сделано путем изменения полей "From:" или "Return-Path:", или обоих полей. Цель таких атак - создать видимость того, что письмо было отправлено кем-то другим, например, деловым партнером или другом, чтобы обмануть получателей и заставить их открыть сообщения от знакомых им людей.
5. Атака на взломанную учетную запись электронной почты
При этой атаке злоумышленник получает доступ к законной учетной записи электронной почты, а затем использует ее для отправки электронных писем и сообщений другим сотрудникам организации. Злоумышленник может выдавать себя за сотрудника, обладающего специальными знаниями или полномочиями, или выдавать себя за другого человека, обладающего специальными знаниями или полномочиями.
6. Мошенническая атака на генерального директора
При этой атаке злоумышленники выдают себя за генерального директора компании и пытаются убедить сотрудников или клиентов, что им нужен доступ к конфиденциальной информации. Злоумышленники часто используют методы социальной инженерии, такие как фишинговые электронные письма или телефонные звонки, которые создают впечатление, что они звонят из ИТ-отдела вашей компании. Они часто используют язык, характерный для вашей отрасли или бизнеса, чтобы казаться более легитимными и заслуживающими доверия, и при этом просят предоставить конфиденциальную информацию, например, пароли или номера кредитных карт.
7. Атака "человек посередине" (MITM)
Этот тип атаки предполагает перехват злоумышленником ваших сообщений с легитимной службой и последующую их передачу легитимной службе, как будто они исходят от вас. Таким образом, злоумышленник может подслушать ваше сообщение, изменить его или вообще предотвратить его.
Как распознать атаку самозванства?
Чувство срочности:Злоумышленник может побуждать получателя к немедленным действиям (например, к немедленному переводу денег, иначе его счет будет навсегда заблокирован), используя в своих сообщениях срочный тон. Это оказывает давление на жертву, заставляя ее действовать без раздумий.
Конфиденциальность: Злоумышленник может указать, что запрашиваемая им информация должна оставаться конфиденциальной, подразумевая, что ее разглашение может привести к серьезным последствиям.
Запрос на предоставление конфиденциальной информации: Злоумышленник может попросить вас предоставить информацию, которая известна только вашему банку, например, номер счета или пароль. Он также может попросить вас сообщить свои корпоративные учетные данные, которые являются конфиденциальной информацией, доступ к которой есть только у вас. Это, в свою очередь, позволит им получить доступ к базам данных вашей компании и утечку конфиденциальной информации.
Измененные адреса электронной почты: Например, если вы получили электронное письмо от человека, выдающего себя за представителя компании "Amazon", который просит вас войти в систему и обновить информацию об учетной записи, но на самом деле адрес электронной почты - "amaz0n@gmail.com", то это может быть атака с целью выдать себя за другого.
Плохо написанные электронные письма: Фишинговые письма написаны некачественно, часто с орфографическими и грамматическими ошибками, так как они обычно создаются массово.
Наличие вредоносных ссылок или вложений: Вредоносные ссылки и вложения являются распространенным способом проведения атаки с целью выдать себя за другого человека. Эти виды атак можно определить по наличию:
- Ссылки, которые открываются в новой вкладке вместо текущей вкладки.
- Вложения со странными названиями или расширениями файлов (например, "attachment" или ".zip").
- Вложения, содержащие исполняемый файл (например, .exe).
Защита от самозванства
1. Компании должны знать, что обучение кибербезопасности необходимо для защиты от этого типа атак. Обучение должно включать в себя:
- Как злоумышленники могут выдавать себя за пользователей и получать доступ к системам
- Как распознать признаки того, что кто-то пытается выдать себя за вас, чтобы вы могли принять меры до того, как будет нанесен ущерб
- Как превентивные средства контроля, такие как двухфакторная аутентификация, могут помочь предотвратить попытки несанкционированного доступа со стороны тех, кто пытается выдать себя за вас
2. Домен электронной почты компании также должен быть защищен от атак с целью выдать себя за другого. Это означает наличие строгих правил регистрации новых доменов и учетных записей в организации, а также отслеживание того, кто имеет доступ к каждому из них, чтобы при необходимости их можно было удалить.
3. Когда вы создаете учетную запись электронной почты для своего бизнеса, убедитесь, что в ней используется домен, относящийся именно к вашему бизнесу. Не используйте "@gmail" или "@yahoo", потому что эти домены слишком общие и могут быть использованы любым, кто захочет выдать себя за вас. Вместо этого используйте что-то вроде "@yourbusinessnamehere.com", где название вашей компании стоит вместо "yourbusinessnamehere". Таким образом, если кто-то попытается выдать себя за вас, отправив письмо с другого адреса электронной почты, никто ему не поверит, потому что он знает, какое доменное имя подходит вашему бизнесу.
4. Компании должны рассмотреть возможность внедрения таких решений по защите электронной почты, как DMARC-анализатор которые блокируют выдающие себя за других домены от доставки писем с подозрительными вложениями или ссылками (например, фишинговых писем) через аутентификацию.
Вам нужна круглосуточная защита от самозванства? PowerDMARC является поставщиком решений для аутентификации электронной почты - мы предоставляем услуги, направленные на то, чтобы предприятия могли защитить свои почтовые коммуникации. Мы помогаем вам управлять репутацией вашего домена, обеспечивая доставку через защищенные шлюзы только писем от авторизованных отправителей, а также защищая его от подделки киберпреступниками и фишерами.
- Как найти лучшего поставщика решений DMARC для вашего бизнеса? - 25 апреля 2024 г.
- PowerDMARC и Zendata заключили партнерство для повышения безопасности доменов - 25 апреля 2024 г.
- PowerDMARC сотрудничает с CNS для развития практики безопасности электронной почты на Ближнем Востоке - 24 апреля 2024 г.