Inżynieria społeczna
Inżynieria społeczna to sztuka manipulowania ludźmi, aby zrezygnowali z poufnych informacji. Każde cyberprzestępstwo zaczyna się od ataku inżynierii społecznej. Spójrzmy na to, jak to działa i jak można się przed nim chronić.
Developer
Wprowadzenie
Kiedy mowa o cyberbezpieczeństwie, większość osób myśli o atakach technicznych, takich jak ataki typu SQL injection, cross-site scripting, man-in-the-middle czy złośliwe oprogramowanie. Jednak najczęstsze i najskuteczniejsze ataki wcale nie są techniczne. Inżynieria społeczna to sztuka manipulowania ludźmi, aby zrezygnowali z poufnych informacji. Każde cyberprzestępstwo zaczyna się od ataku inżynierii społecznej.
Oto definicja z Wikipedii:
W kontekście bezpieczeństwa informacji, inżynieria społeczna to psychologiczna manipulacja ludźmi w celu wykonania pewnych działań lub ujawnienia poufnych informacji. Jest to rodzaj oszustwa mający na celu zbieranie informacji, oszustwa lub dostęp do systemu, różniąc się od tradycyjnego „oszustwa” tym, że często jest jednym z wielu kroków w bardziej złożonym schemacie oszustwa.[1] Zostało to również zdefiniowane jako „cokolwiek wpływa na osobę, aby podjęła działanie, które może, ale nie musi leżeć w jej najlepszym interesie”.
Rodzaje informacji, których szukają ci przestępcy, mogą się różnić, ale gdy celem są jednostki, przestępcy zazwyczaj starają się wprowadzić cię w błąd, abyś podał im swoje hasła, dane osobowe lub uzyskał dostęp do twojego komputera, aby potajemnie zainstalować złośliwe oprogramowanie, które da im dostęp do twoich haseł oraz danych bankowych, jak również pozwoli im przejąć kontrolę nad twoim komputerem.
Jak działa inżynieria społeczna?
Ataki inżynierii społecznej odbywają się w jednym lub kilku krokach. Większość ataków inżynierii społecznej polega na rzeczywistej komunikacji pomiędzy atakującymi a ofiarami. Często zdarza się, że ofiary są atakowane przez wielu napastników przez dłuższy okres czasu, a ataki są starannie opracowywane, aby uniknąć wykrycia. Udany atak obejmuje następujące kroki:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M129.192%2c62L124.147%2c66.167C119.102%2c70.333%2c109.012%2c78.667%2c103.967%2c86.333C98.922%2c94%2c98.922%2c101%2c98.922%2c104.5L98.922%2c108'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M98.922%2c166L98.922%2c170.167C98.922%2c174.333%2c98.922%2c182.667%2c98.922%2c190.333C98.922%2c198%2c98.922%2c205%2c98.922%2c208.5L98.922%2c212'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M98.922%2c270L98.922%2c274.167C98.922%2c278.333%2c98.922%2c286.667%2c103.453%2c294.575C107.984%2c302.484%2c117.046%2c309.969%2c121.577%2c313.711L126.107%2c317.453'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_D_A_3' d='M194.574%2c320L199.619%2c315.833C204.664%2c311.667%2c214.754%2c303.333%2c219.799%2c290.5C224.844%2c277.667%2c224.844%2c260.333%2c224.844%2c243C224.844%2c225.667%2c224.844%2c208.333%2c224.844%2c191C224.844%2c173.667%2c224.844%2c156.333%2c224.844%2c139C224.844%2c121.667%2c224.844%2c104.333%2c220.313%2c91.925C215.782%2c79.516%2c206.72%2c72.031%2c202.189%2c68.289L197.658%2c64.547'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(161.8828125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='118.71875' y='-27' x='-59.359375' style='' class='basic label-container'/%3e%3cg transform='translate(-29.359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='58.71875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eBadanie%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(98.921875%2c 139)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='112.453125' y='-27' x='-56.2265625' style='' class='basic label-container'/%3e%3cg transform='translate(-26.2265625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='52.453125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eHaczyk%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(98.921875%2c 243)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='181.84375' y='-27' x='-90.921875' style='' class='basic label-container'/%3e%3cg transform='translate(-60.921875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='121.84375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eGra na emocjach%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(161.8828125%2c 347)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='139.015625' y='-27' x='-69.5078125' style='' class='basic label-container'/%3e%3cg transform='translate(-39.5078125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='79.015625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eWykonanie%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
-
Badanie: Atakujący zbiera informacje o celu, takie jak potencjalne punkty wejścia i słabe protokoły bezpieczeństwa, potrzebne do przeprowadzenia ataku. W dzisiejszym świecie, bardzo łatwo znaleźć informacje o danej osobie w internecie. Na przykład, można znaleźć adres e-mail, numer telefonu, a nawet adres zamieszkania osoby na jej profilu w mediach społecznościowych. Można również dowiedzieć się, gdzie pracuje, czym się zajmuje i z kim współpracuje. Te informacje mogą być wykorzystane do stworzenia bardzo przekonującego e-maila phishingowego lub rozmowy telefonicznej na następnym etapie.
-
Haczyk: Atakujący wykorzystuje te informacje, aby stworzyć wiarygodny scenariusz mający na celu nakłonienie ofiary do zrobienia tego, czego chce napastnik. Na przykład, atakujący może zadzwonić do ofiary, udając agenta obsługi klienta z jej banku, prosząc ją o zweryfikowanie informacji o koncie. Albo może zadzwonić do pracownika w firmie i podszyć się pod osobę z działu IT, prosząc o zresetowanie hasła.
-
Gra na emocjach: Atakujący wykorzystuje emocje, aby skłonić ofiarę do natychmiastowego działania, bez zastanowienia. Na przykład, atakujący może grozić ofierze grzywnami, karami lub ściganiem, jeśli natychmiast nie spełni prośby. Albo może odwoływać się do chciwości ofiary, obiecując jej dużą sumę pieniędzy lub nagrodę w zamian za pomoc.
-
Wykonanie: Atakujący wykonuje atak, który może przybrać różne formy. Na przykład, mogą:
- Wprowadzić ofiarę w błąd, aby zainstalowała złośliwe oprogramowanie na swoim komputerze.
- Wprowadzić ofiarę w błąd, aby ujawniła poufne informacje e-mailem lub przez telefon.
- Wprowadzić ofiarę w błąd, aby wysłała pieniądze do atakującego.
- Wprowadzić ofiarę w błąd, aby kliknęła na złośliwy link w e-mailu lub wiadomości tekstowej.
Powyższe kroki mogą nastąpić w bardzo krótkim czasie, lub mogą odbyć się na przestrzeni tygodni lub miesięcy. Atakujący może obrać za cel jedną osobę, lub może obrać grupę ludzi. Połączenie może zostać nawiązane drogą telefoniczną, e-mailem, wiadomością tekstową lub przez czaty w mediach społecznościowych. Ale ostatecznie kończy się podjęciem przez ciebie działania, jak udostępnienie swoich informacji lub narażenie się na złośliwe oprogramowanie.
Rodzaje ataków inżynierii społecznej
Istnieje wiele rodzajów ataków inżynierii społecznej, z których każdy ma swój cel i cel. Oto niektóre z najczęstszych rodzajów ataków inżynierii społecznej:
Spam Phishing
Spam phishing to najczęstszy rodzaj ataku inżynierii społecznej. Jest to rodzaj ataku phishingowego, w którym atakujący wysyła miliony e-maili do losowych osób, mając nadzieję, że niektóre z nich nabiorą się na oszustwo. E-maile są zazwyczaj wysyłane z fałszywego adresu e-mail i często zawierają link do złośliwej strony internetowej lub złośliwego załącznika. Celem ataku jest nakłonienie ofiary do kliknięcia na link lub otwarcia załącznika, co spowoduje zainstalowanie złośliwego oprogramowania na jej komputerze.
Przykład
Wyobraź sobie, że otrzymujesz niezamówiony e-mail w swojej skrzynce odbiorczej z atrakcyjnym tematem, który twierdzi, że wygrałeś dużą nagrodę pieniężną. Tytuł wiadomości mówi, że wygrałeś 1 000 000 $ i musisz natychmiast odebrać swoją nagrodę.
Po otwarciu wiadomości znajdujesz gratulacje z powodu rzekomej wygranej na loterii. Może zawierać ekstrawaganckie obietnice, takie jak zmieniająca życie kwota pieniędzy. E-mail zwykle zawiera link lub dane kontaktowe, aby odebrać wygraną.
Ta wiadomość e-mail wykazuje klasyczne oznaki ataku typu spam phishing:
-
Niechciany: Nigdy nie brałeś udziału w żadnej loterii ani konkursie, więc nie powinieneś wygrać żadnej nagrody.
-
Zbyt Dobre, Aby Było Prawdziwe: Obietnica dużej sumy pieniędzy bez wyraźnego powodu jest powszechną taktyką stosowaną w celu wprowadzenia ofiary w błąd.
-
Natychmiastowe Działanie: W wiadomości e-mail może być napisane, że musisz szybko działać, aby odebrać nagrodę, tworząc poczucie pilności.
-
Prośby o Dane Osobowe lub Pieniądze: Aby „odebrać” swoją nagrodę, możesz zostać poproszony o podanie danych osobowych, wniesienie opłat lub przelanie pieniędzy na rzekome pokrycie kosztów przetworzenia.
Spear Phishing
Spear phishing to rodzaj ataku phishingowego, w którym atakujący obiera za cel konkretną osobę lub grupę ludzi. Atakujący przeprowadzi badania na temat celu, a następnie wyśle spersonalizowaną wiadomość e-mail, która wygląda, jakby pochodziła z zaufanego źródła. Wiadomość e-mail zazwyczaj zawiera link do złośliwej strony internetowej lub złośliwy załącznik. Celem ataku jest nakłonienie ofiary do kliknięcia na link lub otwarcia załącznika, co spowoduje zainstalowanie złośliwego oprogramowania na jej komputerze. W przeciwieństwie do spam phishingu, ataki spear phishing są bardzo ukierunkowane i spersonalizowane, przez co mają dużo większe szanse powodzenia.
Przykład
W tym scenariuszu spear phishingu otrzymujesz e-mail, kt�óry wydaje się pochodzić od kolegi lub osoby, którą znasz. Wiadomość e-mail zawiera temat sugerujący, że jest to ważne powiadomienie o bezpieczeństwie. Co odróżnia spear phishing od zwykłego phishingu to fakt, że atakujący celuje w konkretną osobę i często posiada pewną wiedzę na temat celu.
Po otwarciu wiadomości e-mail znajdujesz wiadomość, która twierdzi, że pochodzi od twojego doradcy IT, Charlesa. Zwraca się do ciebie pełnym imieniem i nazwiskiem oraz wspomina o rzekomym naruszeniu bezpieczeństwa twojego konta służbowego. Wiadomość e-mail prosi cię o kliknięcie na link lub pobranie załącznika w celu zabezpieczenia twojego konta. Klikasz na link, a on prowadzi cię do strony internetowej, która wygląda dokładnie jak strona logowania twojej firmy. Wprowadzasz swoją nazwę użytkownika i hasło, a atakujący uzyskuje teraz dostęp do twojego konta.
Ta wiadomość e-mail wykazuje klasyczne oznaki ataku spear phishing:
-
Personalizacja: Wiadomość e-mail zwraca się do ciebie pełnym imieniem i nazwiskiem, co nadaje jej wygląd wiarygodności.
-
Pilność: Wiadomość przekazuje poczucie pilności, sugerując, że musisz podjąć natychmiastowe działania, aby rozwiązać problem z bezpieczeństwem.
-
Prośby o Działanie: Wiadomość e-mail prosi cię o kliknięcie na link lub pobranie załącznika. Te linki lub załączniki często zawierają złośliwe oprogramowanie lub strony phishingowe.
Baiting
Baiting to rodzaj ataku inżynierii społecznej, w którym atakujący oferuje coś kuszącego ofierze w zamian za jej dane osobowe. Na przykład, atakujący może oferować darmową kartę podarunkową lub darmowy film do pobrania w zamian za adres e-mail ofiary. Celem ataku jest nakłonienie ofiary do podania swoich danych osobowych, które atakujący mo�że następnie wykorzystać do kradzieży tożsamości lub popełnienia oszustwa. Wykorzystuje ciekawość lub chciwość ofiary.
Przykład
W tym scenariuszu baitingu, atakujący zostawia pendrive w miejscu publicznym, takim jak kawiarnia lub parking. Pendrive jest oznaczony jako „Poufne” lub „Prywatne”, a jego zawartość zawiera złośliwy program, który zainstaluje malware na komputerze ofiary, gdy go podłączy. Celem ataku jest nakłonienie ofiary do podłączenia pendrive do swojego komputera, co spowoduje zainstalowanie złośliwego oprogramowania na jej komputerze.
Podłączasz pendrive do swojego komputera, mając nadzieję zobaczyć cenne informacje. Wydaje się, że zawiera plik o nazwie „Poufne_Dane_Projektu.csv”. Próbując otworzyć plik, uruchamiasz ukryty skrypt, który infekuje twój komputer złośliwym oprogramowaniem.
W tym ataku baitingu:
- Przynęta to pendrive, który jest oznaczony jako „Poufne” lub „Prywatne”, co czyni go kuszącym dla każdego, kto się na niego natknie, szczególnie w środowisku zawodowym lub w miejscu pracy.
- Czynnik Ciekawości: Ciekawość człowieka jest wykorzystywana jako podatność, skłaniając osoby do podjęcia działań, których normalnie by unikały.
Water holing
Water holing to rodzaj ataku inżynierii społecznej, w którym atakujący obiera za cel konkretną grupę ludzi, infekując witrynę, którą prawdopodobnie odwiedzą. Na przykład, atakujący może zainfekować popularną stronę z wiadomościami lub popularną stronę mediów społecznościowych. Celem ataku jest nakłonienie ofiary do odwiedzenia zainfekowanej witryny, co spowoduje zainstalowanie złośliwego oprogramowania na jej komputerze.
Przykład
Grupa atakujących chce naruszyć bezpieczeństwo konkretnego stowarzyszenia branżowego, które reprezentuje społeczność profesjonalistów ds. bezpieczeństwa cybernetycznego. Atakujący zamierzają ukraść dane wrażliwe i dostać się do systemów ekspertów ds. bezpieczeństwa cybernetycznego.
Atakujący identyfikują dobrze znaną i szanowaną witrynę używaną przez tę społeczność. W tym przypadku wybierają oficjalną stronę internetową stowarzyszenia branżowego zajmującego się bezpieczeństwem cybernetycznym. Atakujący identyfikują i wykorzystują lukę w witrynie stowarzyszenia branżowego. Mogą użyć metod technicznych, takich jak SQL injection lub cross-site scripting (XSS), aby uzyskać nieautoryzowany dostęp do systemu zarządzania treścią witryny. Gdy uzyskają dostęp do witryny, atakujący wstrzykują złośliwy kod do stron witryny. Kod ten jest zaprojektowany, aby dostarczać złośliwe oprogramowanie odwiedzającym zainfekowane strony.
Następnie atakujący czekają, aż eksperci ds. bezpieczeństwa cybernetycznego odwiedzą witrynę. Wiedzą, że wielu ekspertów od bezpieczeństwa cybernetycznego regularnie odwiedza witrynę, aby śledzić aktualności, nowości i zasoby.
Kiedy eksperci ds. bezpieczeństwa cybernetycznego odwiedzają stronę stowarzyszenia branżowego, aby przeczytać artykuły, wziąć udział w webinarach lub pobrać zasoby, nieświadomie narażają swoje urządzenia na działanie zainfekowanego złośliwego oprogramowania. Złośliwe oprogramowanie może kraść dane poufne, takie jak dane logowania lub dane osobowe. Może również umożliwić atakującym dalsze ataki, w tym spear phishing czy wykorzystywanie znanych luk w systemach ofiar.
W tym ataku water holing:
- Watering hole to witryna stowarzyszenia branżowego, będąca popularnym miejscem odwiedzin dla ekspertów ds. bezpieczeństwa cybernetycznego.
- Użytkownicy docelowi: Atakujący obierają za cel konkretną grupę ludzi, w tym przypadku profesjonalistów ds. bezpieczeństwa cybernetycznego.
- Eksploatacja Zaufania: Atakujący wykorzystują zaufanie, jakim eksperci ds. bezpieczeństwa cybernetycznego darzą stronę stowarzyszenia branżowego.
- Eksploatacja Luk: Atakujący wykorzystują luki w systemie zarządzania treścią witryny, aby wstrzyknąć złośliwy kod do stron witryny.
Jak chronić się przed atakami inżynierii społecznej
Ochrona przed atakami inżynierii społecznej wymaga połączenia świadomości, sceptycyzmu i najlepszych praktyk. Oto kilka podstawowych kroków, które pomogą ci zabezpieczyć się przed atakami inżynierii społecznej:
-
Edukuj się: Dowiedz się o powszechnych taktykach inżynierii społecznej, w tym phishingu, pretextingu, baitingu i tailgatingu. Bądź na bieżąco z najnowszymi technikami i trendami inżynierii społecznej.
-
Zweryfikuj Tożsamość: Zawsze weryfikuj tożsamość osób lub organizacji, które proszą o twoje dane osobiste lub wrażliwe. Nie polegaj wyłącznie na numerach telefonów, e-mailach lub stronach internetowych przedstawionych przez osobę kontaktującą się z tobą. Użyj oficjalnych danych kontaktowych uzyskanych niezależnie z wiarygodnych źródeł.
-
Kwestionuj Prośby: Bądź sceptyczny wobec niezamówionych próśb o dane osobowe, finansowe lub poufne. Legalne organizacje zazwyczaj nie proszą o takie informacje za pośrednictwem e-maila lub telefonu. Jeśli ktoś prosi o dane wrażliwe, zapytaj dlaczego są one potrzebne i jak zostaną wykorzystane.
-
Uważaj na Pilność i Presję: Inżynierowie społeczni często tworzą poczucie pilności, abyś w pośpiechu podejmował decyzje bez myślenia. Daj sobie czas na rozważenie próśb lub ofert. Zweryfikuj legalność sytuacji.
-
Zabezpiecz Fizyczny Dostęp: Chroń swoje fizyczne miejsce pracy przed nieautoryzowanym dostępem. Zablokuj komputer i urządzenia, gdy nie są używane. Bądź ostrożny, wpuszczając nieznane osoby do zabezpieczonych obszarów.
-
Szkolenie Pracowników: Jeśli jesteś częścią organizacji, zapewnij szkolenie dotyczące świadomości inżynierii społecznej dla pracowników. Nauczaj pracowników rozpoznawania i zgłaszania podejrzanych działań.
-
Używaj Wiarygodnych Źródeł: Pobieraj informacje z zaufanych i zweryfikowanych źródeł. Unikaj polegania na nieoficjalnych stronach internetowych lub niezweryfikowanych wiadomościach.
-
Szyfrowanie Danych: Szyfruj dane wrażliwe, zarówno w stanie spoczynku, jak i podczas transmisji, aby chronić je przed nieautoryzowanym dostępem.
Praktykuj Bezpieczne Zachowania Online
Dla programistów i właścicieli firm. Jeśli tworzysz aplikację internetową, powinieneś stosować najlepsze praktyki w celu ochrony swoich użytkowników przed atakami inżynierii społecznej. Istnieje wiele sposobów na włączenie dodatkowego zabezpieczenia dla twojej aplikacji:
- Używaj silnych haseł. Większość osób używa słabych haseł, które łatwo odgadnąć, bazując na ich danych osobowych.Aby wdrożyć bezpieczny i godny zaufania system zarządzania tożsamością użytkowników, powinieneś wprowadzić politykę silnych haseł. Zapobiegnie to użytkownikom korzystania z ich słabych haseł, bez właściwych środków zabezpieczających.
- Włącz uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe (MFA) dodaje dodatkową warstwę zabezpieczenia do kont użytkowników, wymagając od nich wprowadzenia kodu z telefonu lub innego urządzenia oprócz haseł. To znacznie utrudnia atakującym uzyskanie dostępu do konta twoich klientów. Nawet jeśli hasła twoich klientów zostaną skompromitowane, atakujący nie będą mogli uzyskać dostępu do ich kont bez drugiego składnika.
- Szyfrowanie danych użytkowników. Szyfrowanie danych użytkowników jest dobrym sposobem na ochronę ich przed nieautoryzowanym dostępem. Jeśli atakujący uzyska dostęp do twojej bazy danych, nie będzie mógł odczytać danych bez klucza szyfrującego. To zapobiegnie kradzieży danych osobowych twoich klientów.
- Częsta rotacja kluczy dostępu. Klucze dostępu są używane do dostępu do zasobów twojej aplikacji. Jeśli atakujący uzyska dostęp do twoich kluczy dostępu, będą mogli uzyskać dostęp do zasobów twojej aplikacji bez twojej zgody. Aby temu zapobiec, powinieneś często rotować klucze dostępu.
- Używaj nowoczesnych systemów uwierzytelniania. Nowoczesne protokoły uwierzytelniania, takie jak OAuth 2.0 i OpenID Connect, są znacznie bardziej bezpieczne niż starsze protokoły, takie jak SAML i WS-Federation. Używają nowoczesnych algorytmów kryptograficznych i są znacznie trudniejsze do zaatakowania.
- Wstępnie zarejestruj url-e i urządzenia przekierowań logowania Jeśli używasz OAuth 2.0 lub OpenID Connect do uwierzytelniania, powinieneś wstępnie zarejestrować url-e przekierowania logowania i urządzenia. To zapobiegnie atakującym korzystania z kont twoich klientów do logowania się do twojej aplikacji z własnych urządzeń.