Ludźmi można manipulować. Niektórymi łatwiej, innymi trudniej. W inżynierii społecznej wykorzystują to cyberprzestępcy. Chcą wydobyć poufne informacje od pracowników, aby uzyskać dostęp do systemów w celu kradzieży danych, pieniędzy i nie tylko. Ta „społeczna”, nietechnologiczna strategia jest często wykorzystywana przez cyberprzestępców do przeprowadzania ukierunkowanych i szeroko zakrojonych ataków.
Rodzaje ataków socjotechnicznych
Atakujący opracowali różne sposoby pozyskiwania danych. Oto sześć najważniejszych z nich.
Wyłudzanie poufnych informacji (Phishing)
Jest to najczęściej spotykana wersja inżynierii społecznej. Wyłudzanie poufnych informacji ma miejsce wtedy, gdy haker komunikuje się z ofiarą w nieuczciwy sposób. Wiadomość wydaje się prawdziwa. Na przykład zachęca odbiorcę do kliknięcia linku lub pobrania załącznika w wiadomości e-mail, co prowadzi do zainstalowania na urządzeniu złośliwego oprogramowania. Za jego pośrednictwem cyberprzestępcy mogą uzyskać dostęp do danych osobowych bądź informacji finansowych czy biznesowych.
Wyłudzanie poufnych informacji za pomocą "przynęty" (Baiting)
Ten sposób przypomina wyłudzanie poufnych informacji. To, co go wyróżnia, to obietnica zdobycia produktu, za pomocą której atakujący „uwodzą” swoje ofiary. Oferują na przykład możliwość bezpłatnego pobierania muzyki lub filmów. W ten sposób chcą skłonić użytkowników do udostępnienia swoich danych logowania. Innym sposobem „łapania na przynętę” jest pozostawienie urządzenia ze złośliwym oprogramowaniem, takiego jak pamięć USB, w miejscu, w którym ktoś z łatwością je znajdzie. Metoda ta wykorzystuje naszą wrodzoną ciekawość. Ktoś podłącza pamięć USB do laptopa, który zostaje zainfekowany złośliwym oprogramowaniem, czego użytkownik może nawet nie zauważyć.
Wyłudzanie poufnych informacji pod fałszywym pretekstem (Pretexting)
Wyłudzanie poufnych informacji pod fałszywym pretekstem ma miejsce wtedy, gdy atakujący wymyśla nieprawdziwą historię, aby zmanipulować dostęp ofiary do poufnych danych lub chronionych systemów.
Quid pro quo (Coś za coś)
Atak coś za coś ma miejsce wtedy, gdy atakujący żądają od kogoś prywatnych informacji w zamian za coś lub jakiś rodzaj rekompensaty.
Profilowane wyłudzanie poufnych informacji (Spear Phishing)
Profilowane wyłudzanie poufnych informacji to bardzo ukierunkowana forma ataku. Koncentruje się on na określonej osobie lub organizacji. Ataki tego typu są skuteczne, ponieważ nadawca wiadomości e-mail czy prywatnej wiadomości w mediach społecznościowych podszywa się pod znajomą osobę, współpracownika lub pracodawcę. W rezultacie zyskuje zaufanie odbiorcy, któremu nadawca wydaje się wiarygodny. Ludzie mają często do czynienia z atakami polegającymi na profilowanym wyłudzaniu poufnych informacji, ponieważ bezpieczeństwo poczty elektronicznej jest na niskim poziomie lub na przykład dlatego, że wydaje im się, że nadawcą wiadomości e-mail jest sam dyrektor. Aby uzyskać więcej informacji na temat bezpieczeństwa poczty elektronicznej, przeczytaj wpis na naszym blogu pt. „Bezpieczeństwo poczty elektronicznej”.
Siedzenie na ogonie (Tailgating)
Siedzenie na ogonie to fizyczna metoda inżynierii społecznej, która ma miejsce wtedy, gdy osoba nieupoważniona śledzi upoważnionego pracownika do bezpiecznej lokalizacji. Na przykład osoba ta może podszyć się pod kuriera i iść z pracownikiem, aby dostarczyć paczkę. Celem siedzenia na ogonie jest uzyskanie cennej własności (intelektualnej), poufnych informacji biznesowych lub dostępu do bezpiecznej lokalizacji. Tego typu ataki nie zawsze są możliwe. W większych organizacjach do otwarcia drzwi zazwyczaj potrzebna jest karta dostępu. W średnich firmach atakujący często mają okazję porozmawiać z pracownikami i wykorzystać tę znajomość, aby ominąć recepcję.
Jak chronić się przed inżynierią społeczną
Zdobywając wiedzę
Ignorancja to Twoja największa słabość i bardzo łatwo można ją wykorzystać. Dlatego osoby z niedostateczną wiedzą są głównym celem atakujących. Wiedza na temat tego, na co należy zwracać uwagę oraz znajomość najlepszych praktyk to pierwsza i najlepsza warstwa ochronna.
Zwracając uwagę na przekazywane informacje
Dotyczy to zarówno bezpośrednich rozmów, jak i mediów społecznościowych. Takie portale jak Instagram, Facebook czy Twitter są niezwykle bogatym źródłem informacji i zasobów, począwszy od zdjęć po zainteresowania, które można z łatwością wykorzystać. Coś tak zwykłego, jak wyszukiwanie adresu pracy lub miejsca zamieszkania w Google Maps pozwala spojrzeć na budynek i jego otoczenie z lotu ptaka.
Określając, co jest najbardziej wartościowe dla przestępców
Upewnij się, że chronisz właściwą rzecz! Decydując, które zasoby są najbardziej wartościowe dla atakującego, nie skupiaj się wyłącznie na tym, co jest najcenniejsze dla Ciebie lub dla Twojej firmy. Cyberprzestępców interesuje wszystko, na czym mogą zarobić.
Przestrzegając zasad
Po określeniu, które zasoby są najbardziej atrakcyjne dla atakujących i pod jakim pretekstem mogą stać się celem przestępców, opracuj zasady bezpieczeństwa i zawsze ich przestrzegaj! W kontekście firmy wszyscy pracownicy muszą odegrać swoją rolę. Każda osoba to potencjalne wejście do firmy i jej aktywów. Wystarczy uchylić jedne drzwi, aby atakujący uzyskał do nich dostęp.
Aktualizując oprogramowanie
Atakujący korzystający z socjotechniki często próbują ustalić, czy używasz niezatwierdzonego, nieaktualnego oprogramowania. Bycie na bieżąco z poprawkami i aktualizowanie oprogramowania może w dużej części zmniejszyć to ryzyko.
Nie bądź słabym ogniwem… Bądź mądry, bądź czujny, bądź bezpieczny w sieci!
Nieprzerwany proces
Współczesne zagrożenia niosą ze sobą realne ryzyko utraty danych, dochodów i reputacji. Cyberbezpieczeństwo musi być nieprzerwanym procesem, który wymaga zrozumienia, w jaki sposób użytkownicy, klienci i aplikacje uzyskują dostęp do danych oraz jak skonfigurowane są urządzenia.
Firma Nomios już od ponad 15 lat specjalizuje się w analizowaniu, budowaniu i utrzymywaniu zabezpieczeń korporacyjnych systemów informatycznych. Dzięki rozległemu doświadczeniu technicznemu potrafimy tworzyć strategie zabezpieczeń i rozwiązania, które dostosowują się do zmiennych wymagań biznesowych.
Nasi specjaliści ds. bezpieczeństwa pomagają klientom w minimalizowaniu ryzyka, jakie stwarzają najnowsze zagrożenia.
Inżynieria społeczna w liczbach
- 98%
- 98% wszystkich cyberataków wykorzystuje inżynierię społeczną
- 56%
- 56% osób podejmujących decyzje informatyczne twierdzi, że ukierunkowane wyłudzanie poufnych informacji to największe zagrożenie dla bezpieczeństwa
- 66%
- 66% złośliwego oprogramowania instalowane jest za pośrednictwem złośliwych załączników do wiadomości e-mail
- 2,4 miliona dolarów
- Średni koszt ataku w postaci złośliwego oprogramowania to 2,4 miliona dolarów.
- Nowi pracownicy
- Nowi pracownicy są najbardziej podatni na ataki socjotechniczne. Aż 60% specjalistów IT twierdzi, że są w grupie wysokiego ryzyka.
- 3%
- Tylko 3% zaatakowanych użytkowników zgłasza przełożonym złośliwe wiadomości e-mail
Porozmawiaj z naszymi ekspertami
Chcesz dowiedzieć się więcej na ten temat? Zostaw wiadomość lub swój numer telefonu, a my oddzwonimy. Chętnie pomożemy Ci dalej.