Bój się listów od szefów: jak socjotechnika jest wykorzystywana do hakowania danych

Ataki socjotechniczne polegają na manipulowaniu pracownikami w celu podania poufnych danych lub wykonania zadań ryzykownych dla firmy. Cyberataki tego typu spowodowały już znaczne straty finansowe dużym firmom na całym świecie, a skala katastrofy tylko rośnie.

W 2023 r. całkowite straty wynikające z cyberataków osiągnęły 10,3 miliarda dolarów, z czego ponad 2,7 miliarda dolarów wynikało z oszustw związanych z firmową pocztą elektroniczną i innymi formami ataków na komunikację pracowników.

W większości przypadków cyberprzestępcy atakują pracowników firm nietechnicznych, którzy nie posiadają dogłębnej wiedzy na temat cyberbezpieczeństwa. Mogą to być księgowi, HR, zastępcy menedżera lub menedżerowie sprzedaży. Przestępca modeluje wiarygodną sytuację, w której ofiara, nie wiedząc o tym, zapewnia wszystko, co niezbędne.

Wielu pracowników nie jest świadomych, że są manipulowani i często nie zgłaszają w odpowiednim czasie podejrzanych działań lub żądań. Albo zbyt późno uświadamiają sobie swój błąd i boją się o nim mówić, mając nadzieję, że nie będzie żadnych konsekwencji. W rezultacie ataki te pozostają niewykryte, dopóki nie spowodują znacznych szkód dla firmy.

Typowe oszustwa typu phishing obejmują wiadomości e-mail zachęcające pracowników do wprowadzenia nazwy użytkownika i hasła w fałszywej witrynie internetowej lub otwarcia złośliwego pliku. Ataki phishingowe mogą mieć charakter masowy (bezpośredni) lub ukierunkowany, a celem atakujących są określone firmy lub określonych pracowników.

Spear phishing wykorzystuje prawdziwe nazwiska pracowników i można go dostosować do bieżących procesów i okoliczności firmy. Osoba atakująca może na przykład znać bieżące transakcje i nazwiska zaangażowanych w nie osób i wykorzystać te informacje do płynnego zintegrowania ich z procesami biznesowymi.

Programy antywirusowe i inne środki bezpieczeństwa pomagają jedynie w przypadku nieukierunkowanych masowych wysyłek. Gdy atak jest już ukierunkowany, napastnicy wykonują wiele prac przygotowawczych przed wysłaniem wiadomości e-mail i złośliwych plików, aby mieć pewność, że złośliwa zawartość pozostanie niewykryta. Poniżej znajduje się przykład standardowej techniki ataku socjotechnicznego: • Brak. E-mail został wysłany błędnie. Według doniesień napastnicy przypadkowo wysłali list do niewłaściwego odbiorcy. Zawiera ważne informacje, takie jak premie, wynagrodzenia czy listy zwolnień. W takich przypadkach napastnicy polegają na ciekawości. • Brak regularnych listów formalnych. Symuluje prawdziwe wewnętrzne e-maile firmowe, na przykład informacje o promocjach partnerskich z rabatami noworocznymi lub harmonogramami wakacji. • Nie. To jest wiadomość od administratora. Oficjalny list od kierownictwa firmy: „Należy przeczytać i przestrzegać”. Może to być list dotyczący nowej zasady, przepisu lub szczególnej sytuacji, mający na celu zwrócenie uwagi pracownika. • Brak pisma od działu IT. Osoba atakująca w imieniu działu IT ogłasza wprowadzenie nowego systemu lub zmianę na serwerze pocztowym i prosi pracowników o podanie danych uwierzytelniających na nowej stronie internetowej. • Brak wiadomości związanych z procesami biznesowymi. Jest to trudna metoda wykrycia, gdyż treść listu sugeruje bezpośrednią odpowiedzialność potencjalnej ofiary. Może to na przykład obejmować wysłanie kopii powiadomienia z systemu śledzenia zadań o nowym zadaniu pracownika. Fałszywa witryna poprosi Cię o podanie danych logowania i hasła, aby wyświetlić „nowe zadanie”.

Istnieje wiele przykładów takich ataków, których ofiarami są duże firmy technologiczne, agencje rządowe i instytucje finansowe. Tym samym w latach 2013–2015 Facebook (należący do firmy Meta, uznanej w Rosji za organizację ekstremistyczną i zakazanej) i Google poniosły łącznie szkody na kwotę 100 milionów dolarów. Oszust przedstawił się jako Quanta Computer, duży tajwański producent sprzętu komputerowego, będący własnością obu firm. Naprawdę współpracowaliśmy. Wykorzystywał fałszywe faktury i umowy, aby przekonać pracowników do wpłat na jego konto.

Komunikator jest wygodny dla oszustów, ponieważ zachęca pracowników do natychmiastowej reakcji. Nie ma czasu na przemyślenie sytuacji i pokazanie komukolwiek swojego przesłania. Dodatkową presję wywołuje to, co pisze rzekomy przywódca.

Nawet w przypadku phishingu za pośrednictwem poczty e-mail pracownicy mogą wykryć oznaki sfałszowanej wiadomości e-mail, takie jak błędy w adresie nadawcy. Ponieważ jednak możesz nigdy nie poznać osobistego konta Messenger swojego szefa, nie ma szybkiego sposobu sprawdzenia jego autentyczności. Dane o fałszywych profilach (nazwisko, imię, patronimik administratora) można łatwo znaleźć w Internecie. Na przykład na stronie internetowej firmy, w sieciach społecznościowych lub w mediach.

W tym roku ofiarą hakerów padł Mark Read, dyrektor generalny WPP, największej na świecie grupy reklamowej. Napastnicy utworzyli konto WhatsApp i używali go do dzwonienia do starszych menedżerów Microsoft Teams. Przestępcy pozyskali zdjęcia z domeny publicznej oraz nagrania audio występów reżysera z YouTube. Na spotkaniu „Mark Reed” próbował żądać pieniędzy i poufnych danych. Czujny zespół WPP podejrzewał, że rozmówcą nie jest prawdziwy dyrektor generalny, a próba atakującego nie powiodła się.

Podczas gdy poprzednie ataki opierały się na fałszywych e-mailach lub wiadomościach, pracownicy mogą teraz otrzymać rozmowę wideo od „dyrektora generalnego” z prośbą o wykonanie pilnego zadania lub przeprowadzenie transakcji finansowej. Dzięki wizualnemu potwierdzeniu uprawnień i tożsamości pracownicy chętniej spełniają prośby bez zadawania pytań.

W 2019 roku do dyrektora generalnego brytyjskiej spółki energetycznej (której nazwa nie została ujawniona mediom) rzekomo zadzwonił dyrektor generalny jej niemieckiego oddziału. Głosem z niemieckim akcentem zażądał pilnego przelewu 220 tys. euro na konto węgierskiego dostawcy. Napastnicy wykorzystali technologię deepfake, aby imitować głos dyrektora. Pracownik przeniósł się bez podejrzeń o oszustwo. Jak się później okazało, pieniądze zostały przelane na konto oszusta.

Ataki socjotechniczne nie ograniczają się do poczty elektronicznej i komunikatorów internetowych. Nawet staromodne rozmowy telefoniczne są nadal skuteczne. Fałszywe numery telefonów lub fałszowanie identyfikatora rozmówcy są szczególnie niebezpieczne. Dzięki temu atakujący może wyświetlić dowolny numer telefonu komórkowego ofiary, w tym oficjalny numer telefonu firmy lub znanego partnera. Gdy na ekranie pojawiają się znajome liczby, czas skupienia uwagi pracowników maleje.

Skuteczny atak nie wymaga użycia technologii deepfake Voice. W dużych korporacjach pracownicy nie zawsze znają się osobiście i mogą nie znać swoich głosów, zwłaszcza jeśli chodzi o kolegów z innych branż lub krajów.

W miarę nasilania się ataków firmy muszą podejmować proaktywne działania w celu ochrony swoich danych, finansów i reputacji. Oto kluczowe strategie i rekomendacje, które pomogą Ci reagować na zagrożenia i minimalizować ryzyko:

Osoba posiadająca słabość jest najsłabszym ogniwem w łańcuchu bezpieczeństwa. Dlatego szkolenie pracowników powinno być priorytetem. Od czasu do czasu warto przeprowadzić szkolenie w zakresie rozpoznawania oznak phishingu i fałszywych połączeń. Możesz także tworzyć symulowane ataki. Możesz także przeprowadzić wewnętrzne testy phishingu, aby ocenić poziom czujności swoich ekspertów.

Jasno określone polityki i procedury pomagają ujednolicić podejście do bezpieczeństwa w całej organizacji. Narzędzia takie jak uwierzytelnianie wieloskładnikowe utrudniają atakującym dostęp do systemów wewnętrznych, nawet jeśli uzyskają dane uwierzytelniające pracownika. Zasada najmniejszych uprawnień gwarantuje, że pracownicy mają dostęp wyłącznie do systemów i danych, których potrzebują do wykonywania swojej pracy.

Ustanów procedury sprawdzania transakcji finansowych lub zmian na kontach za pośrednictwem niezależnych kanałów. Na przykład prośby o przelew dużych kwot należy potwierdzić telefonicznie lub osobiście.

Rozwiązania technologiczne mogą pomóc w wykrywaniu i zapobieganiu różnym atakom socjotechnicznym. Zaktualizuj i skonfiguruj systemy filtrowania poczty e-mail, aby wykrywały wiadomości e-mail phishingowe i złośliwe załączniki. Wdrażaj rozwiązania oparte na sztucznej inteligencji i uczeniu maszynowym, które potrafią wykryć nietypowe zachowania użytkowników lub systemów.

Stosujemy systemy kontroli dostępu, monitoringu wideo i kontroli gości, aby zapobiec nieuprawnionemu wejściu. Zmniejsza to prawdopodobieństwo, że osoba atakująca połączy się od wewnątrz z systemem wewnętrznym lub rozprzestrzeni złośliwy kod na „zapomniane” urządzenie USB.

Świat cyberbezpieczeństwa nieustannie się zmienia. Aby być na bieżąco z nowymi podejściami do cyberataków, śledź raporty ośrodków doradczo-rozwojowych, firm zajmujących się cyberbezpieczeństwem i agencji rządowych. Regularnie aktualizuj swój system operacyjny, aplikacje i funkcje zabezpieczeń, aby wyeliminować znane luki.

Inżynieria społeczna stała się jednym z najpoważniejszych zagrożeń współczesnego biznesu. W dobie transformacji cyfrowej, kiedy firmy aktywnie wdrażają zaawansowane technologie bezpieczeństwa, cyberprzestępcy skupiają się na czynniku ludzkim. Dla liderów biznesu jest to wezwanie do działania. Inwestycjom w rozwiązania technologiczne musi towarzyszyć rozwój kultury bezpieczeństwa w organizacji. Szkolenia pracowników, wdrażanie rygorystycznych polityk i procedur oraz proaktywne zarządzanie ryzykiem to kluczowe elementy ochrony w dzisiejszym świecie. Zachęcaj pracowników do zgłaszania podejrzanych e-maili, połączeń telefonicznych lub zachowań.

Ochrona danych i reputacji Twojej firmy jest strategicznym priorytetem w coraz bardziej konkurencyjnym i globalnym środowisku. Świadomość zagrożeń atakami z wykorzystaniem metod socjotechniki oraz kompleksowe działania mające na celu ich neutralizację pomogą Ci nie tylko utrzymać pozycję na rynku, ale także wzmocnią zaufanie Twoich klientów i partnerów.

Poglądy redaktora mogą nie odzwierciedlać poglądów autora.

Источник: Forbes Россия