5 старых и 4 новых трюка социальной инженерии, на которые попадаются сотрудники

Вините в этом усталость от пандемии, удаленную работу или просто слишком много информации, но сотрудники, похоже, ослабляют бдительность, когда дело доходит до обнаружения уловок социальной инженерии. По данным Proofpoint, в прошлом году злоумышленники добились большего успеха в своих схемах социальной инженерии, чем годом ранее. 

По данным опроса 3500 специалистов, в 2021 году более 80% организаций подверглись успешной фишинговой атаке по электронной почте. Это на 46% больше, чем в 2020 году, пишет издание CSO.

«Очень много людей, особенно сегодня, когда легко можно отвлечься из-за окружающего шума, действуют на автопилоте, просто выполняя движения, - говорит Кевин Бивер, главный консультант охранной фирмы Principle Logic. - Их подсознание взяло на себя принятие часто важных решений. Плохие парни знают, что у них есть преимущество».

Исследование, проведенное учеными из Стэнфордского университета, показало, что около 88% всех утечек данных вызваны ошибкой сотрудников. Почти половина сотрудников (45%) назвали отвлечение основной причиной фишинга, а 57% удаленных сотрудников признают, что они больше отвлекаются, работая из дома. Основными причинами нажатия на фишинговые электронные письма являются предполагаемая легитимность электронного письма или то, что оно, по-видимому, пришло от старшего руководителя или известного бренда.

В 2021 году компания Proofpoint обнаружила около 15 миллионов фишинговых сообщений с вредоносным ПО, которые были напрямую связаны с программами-вымогателями более поздних стадий. По данным Sophos, средняя общая стоимость восстановления после атаки программ-вымогателей в 2021 году достигла 1,85 млн долларов.

Почему сотрудники все еще попадаются на те же старые уловки? В 2016 году генеральный директор KnowBe4 Стью Шоуверман назвал их семью смертельными пороками социальной инженерии, и большинство сотрудников до сих пор разделяют их: любопытство, вежливость, доверчивость, жадность, легкомыслие, застенчивость и апатия.

5 старых трюков социальной инженерии

Эксперты по безопасности говорят, что сотрудники все еще попадаются на эти пять старых уловок социальной инженерии, и они предупреждают о четырех новых аферах, которые добавляют изюминку к этим старым приемам.

1. Официальное электронное письмо

Кто устоит перед тем, чтобы не открыть электронное письмо, якобы отправленное генеральным директором вашей компании, с темой «Вы были упомянуты в этом документе» и со ссылкой на «Повышения и продвижения сотрудников в 2022 году»? «Да, люди по-прежнему попадаются на эти официально выглядящие электронные письма, в которых сообщения, кажется, были присланы законным источником или человеком, которого вы знаете», - говорит Джон Уилсон, старший научный сотрудник Agari по исследованию угроз HelpSystems. Уилсон недавно столкнулся с попыткой фишинга, но он был готов к такому развитию событий.

В подобных попытках «плохие парни пытаются фишинговать учетные данные», - говорит он. В этом случае, чтобы открыть документ, «он хочет, чтобы вы снова вошли в систему, используя свои учетные данные Office 365. Если они сделают его достаточно сочным, люди его откроют».

Независимо от предложенной приманки, урок здесь таков: «Нет веской причины, по которой вам придется снова входить в систему, чтобы что-то открыть», - говорит он. Уилсон также предлагает использовать менеджер паролей, который будет применять ваши учетные данные только в том случае, если вы находитесь на подлинном веб-сайте.

2. «Вот бесплатная флешка»

В январе ФБР предупредило американские предприятия о поддельных письмах, отправленных через Почтовую службу США и UPS, которые в некоторых случаях выдавали себя за Министерство здравоохранения и социальных служб и предлагали информацию о COVID-19, а в других - за Amazon. Оба включали USB-накопитель с вредоносным программным обеспечением.

По словам ФБР, если бы USB-накопитель был вставлен в компьютер, он мог бы предоставить хакерской группе доступ к сети организации для развертывания программы-вымогателя. Неясно, была ли какая-либо из фирм скомпрометирована в результате инцидентов, но это напоминание о том, что старые приемы социальной инженерии сохраняются.

3. Мошенничество с офисными подарочными картами

Одним из самых распространенных, если не самых эффективных приемов социальной инженерии, которые до сих пор циркулируют, является мошенничество с подарочными картами, когда кажется, что электронное письмо приходит от руководителя компании с просьбой о помощи. Обычно история такова: руководителю нужны подарочные карты, чтобы поощрить персонал, «и это сюрприз, так что никому не говорите», - говорит Уилсон. Цель состоит в том, чтобы заставить сотрудника купить карты, соскоблить серебряное покрытие, покрывающее коды, а затем отправить по электронной почте фотографию обратной стороны карт.

«Я бы сказал, что 1 из 100 [сотрудников] ответит в первый раз. Неясно, пойдет ли кто-нибудь и получит подарочную карту», ​​- говорит Уилсон, но его команда зарегистрировала около 10 300 инцидентов с января 2019 года и каждый день видит сотни таких попыток фишинга в данных по своей клиентской базе. «Это все еще происходит, так что кто-то попадается на это», - говорит он.

4. «У вас есть голосовое сообщение»

По словам Уилсона, внутренние голосовые сообщения с вредоносными программами, отправляемые по электронной почте, снова появились в последние месяцы, и некоторые сотрудники все еще поддаются на них. «Это продолжается вечно. Это просто хорошая приманка, потому что вы хотите получить свою электронную почту, - говорит он. - Эффективность этого зависит от того, кто находится на принимающей стороне и от их отдела. Инженер не ответит на вашу голосовую почту, но если вы занимаетесь продажами и думаете, что голосовая почта может быть заказом или потенциальным клиентом, вы можете ее открыть».

Получатели должны спросить себя, использует ли их компания систему, которая отправляет голосовую почту по электронной почте. Если это так, всегда наводите курсор на адрес электронной почты, чтобы убедиться, что он от известного отправителя, говорит Уилсон.

5. «Возникла проблема с доставкой посылки»

Поддельные уведомления о доставке посылок развивались и процветали более 15 лет, говорит Честер Вишневски, главный научный сотрудник Sophos. Эти попытки фишинга бывают разных вариаций, но предназначены для взимания с вас платы за пошлины или таможенные пошлины, в то время как другие представляют собой просто фишинговые атаки, предназначенные для того, чтобы вы «входили в систему, используя свою электронную почту, чтобы отслеживать посылку», и украли учетные данные. «Это часто адаптируется к региону получателя и будет подделывать глобальные логистические бренды, такие как DHL, UPS или FedEx», - добавляет он.

4 новых подводных камня социальной инженерии

Никогда не бывает недостатка в новых аферах с социальной инженерией, которые ждут, чтобы их использовали, но вот четыре наиболее распространенных, вопиющих или опасных новых трюка, основанных на старых пороках.

1. «Вот ваши юридические документы из DocuSign»

Популярным приемом социальной инженерии, особенно с началом пандемии COVID-19, является вредоносное ПО, замаскированное под запрос на подписание юридических документов через DocuSign. «Предположительно, в наши дни все больше юридических форм подписывается цифровой подписью, - говорит Вишневски. - Они предложат вам установить какой-то плагин, который на самом деле является компьютерным вредоносным ПО, чтобы продолжить просмотр предполагаемого документа».

2. Мошенничество с «отчетами об устаревании счетов»

В этом мошенничестве сотрудник, обычно занимающийся дебиторской задолженностью, получает электронное письмо, якобы от руководителя компании. В сообщении говорится, что он или она хочет провести исследование нашей непогашенной дебиторской задолженности, и просит получателя «пожалуйста, пришлите наш последний отчет о старении AR», который включает список всех клиентов, которые должны деньги, и количество просроченных платежей. Затем злоумышленники создают и регистрируют доменное имя, похожее на доменное, и нападают на всех в этом списке, говорит Уилсон.

«Злоумышленники знают, сколько причитается, когда причитается, условия платежа, а затем говорят: «Мы принимаем платежи ACH только на этот номер счета в будущем». К сожалению, поскольку вся информация совпадает, клиенты соглашаются». По общему мнению, этот трюк оказался довольно эффективным, говорит Уилсон. «Мошенничество особенно опасно, потому что ущерб наносится не вашей компании, а всем вашим клиентам».

3. «У вас проблема с вашим банковским счетом. Нажмите здесь, чтобы решить проблему»

Киберпреступники используют фишинговую электронную почту, чтобы убедить цель в том, что существует проблема с их банковским счетом, учетной записью электронной почты или другой важной учетной записью. Электронное письмо содержит ссылку, которая поможет целевому лицу решить срочную проблему. При нажатии на ссылку открывается окно веб-браузера, которое затем переводит их на страницу входа в эту учетную запись. Затем жертва вводит свои учетные данные, получает ожидаемое сообщение с запросом кода MFA, который также вводит жертва. Жертва не видит ничего плохого в учетной записи, думает, что сообщение о проблеме было ошибкой, и закрывает окно или вкладку браузера, которые они использовали для входа.

«Это новый и сложный способ обойти улучшенные средства безопасности (такие как многофакторная аутентификация) и использовать старые надежные приемы социальной инженерии», — говорит Эрих Крон, специалист по вопросам безопасности в KnowBe4. Многие организации научились определять обратные прокси-серверы, используемые для этого, что усложняет работу киберпреступников, добавляет Крон. «Однако киберпреступники дали отпор».

4. Фишинг по телефону

Появились новые виды мошенничества с использованием телефона. Вредоносное ПО, известное как BazarLoader, выдает себя за такие бренды, как Amazon, чтобы убедить вас, что с вас берут сотни долларов за подписку. Если вы хотите отменить, вам нужно позвонить по номеру телефона, чтобы поговорить с представителем. Преступники управляют настоящими колл-центрами, где по телефону инструктируют вас, как загрузить вредоносное ПО и запустить его на вашем компьютере. Другие варианты этого включают аналогичные приманки для отмены потоковых видеосервисов или журналов.

«Эти атаки никогда не исчезнут, нам просто нужно стараться сохранять бдительность и предупреждать других, когда мы обнаруживаем мошенничество, совершающее обход», - говорит Вишневски. Службы безопасности должны упростить сотрудникам отчет о том, что их обманули, «и дать понять, что у сотрудников нет проблем».