Czym jest inżynieria społeczna?

Poznaj skuteczne strategie ochrony swoich danych osobowych i obrony przed inżynierią społeczną – sprytną taktyką używaną przez cyberprzestępców do manipulowania ludźmi.

POBIERZ DARMOWY PROGRAM ANTYWIRUSOWY I SKANER VIRUSÓW

W tym artykule:

  • Dowiedz się, czym są ataki socjotechniczne i w jaki sposób cyberprzestępcy wykorzystują manipulację psychologiczną w celu ominięcia zabezpieczeń i nakłonienia osób do ujawnienia poufnych informacji.
  • Dowiedz się, w jaki sposób atakujący wykorzystują ludzkie emocje, takie jak strach, ciekawość i pilność, stosując taktyki takie jak podszywanie się, phishing i scareware.
  • Odkryj praktyczne wskazówki dotyczące ochrony przed inżynierią społeczną, w tym uwierzytelnianie wieloskładnikowe, szkolenia w zakresie świadomości bezpieczeństwa i filtry antyspamowe.
  • Zapoznaj się z najczęstszymi rodzajami ataków socjotechnicznych - od phishingu i przynęty po oszustwa związane z pomocą techniczną - i zobacz rzeczywiste przykłady, takie jak e-maile z wymuszeniami seksualnymi i oszustwa związane z COVID-19.

Czym są ataki inżynierii społecznej?

Ataki inżynierii społecznej w informatyce to zaawansowane metody stosowane przez cyberprzestępców do manipulowania ludźmi, prowadzące do naruszenia ich własnego bezpieczeństwa. Ofiary często nieświadomie wysyłają pieniądze, ujawniają wrażliwe informacje osobiste lub organizacyjne lub łamią protokoły bezpieczeństwa.

Skuteczność inżynierii społecznej leży w zdolności do wykorzystywania ludzkich emocji, takich jak strach, ciekawość czy empatia, co skłania ludzi do impulsywnego działania wbrew ich lepszemu rozsądkowi. Rozumiejąc i manipulując tymi emocjonalnymi wyzwalaczami, atakujący przekonują ofiary do podejmowania decyzji, które mogą wydawać się irracjonalne z perspektywy czasu, takich jak pobieranie szkodliwego oprogramowania, odwiedzanie niebezpiecznych stron internetowych lub ujawnianie poufnych danych.

Jak działa inżynieria społeczna?

Inżynieria społeczna obejmuje taktyki psychologiczne mające na celu zmanipulowanie ludzi do ujawnienia poufnych informacji, kluczowych dla dostępu do systemu lub kradzieży tożsamości. Wykorzystuje błędy ludzkie, często poprzez oszustwo lub podszywanie się, prowadząc do naruszenia bezpieczeństwa i kompromitacji danych, bez polegania na technicznych metodach hakerskich.

Ataki inżynierii społecznej zazwyczaj są procesami wieloetapowymi. Początkowo atakujący bada cel, aby zebrać wystarczającą ilość informacji i podstawowe szczegóły tła, identyfikując luki i słabe zabezpieczenia, które są kluczowe dla powodzenia ataku. Następnie atakujący stosuje takie taktyki jak pretekstowanie lub podszywanie się pod autorytety, aby zdobyć zaufanie ofiary. Manipulacja ta ma na celu wywołanie działań, które naruszają bezpieczeństwo, takich jak ujawnienie poufnych informacji lub udzielenie dostępu do kluczowych systemów.

Ataki inżynierii społecznej wykorzystują psychologię człowieka do obejścia technicznych zabezpieczeń. Starannie wybierają swoją ofiarę na podstawie różnych czynników. Kluczowe taktyki obejmują:

  1. Podszywanie się: Atakujący często udają renomowane podmioty — duże marki, agencje rządowe lub postacie autorytetów — aby zyskać zaufanie. Na przykład mogą tworzyć fałszywe strony internetowe imitujące duże marki, aby oszukać użytkowników do ujawnienia poufnych informacji.
  2. Wykorzystywanie emocji: Te ataki często bazują na emocjach takich jak strach, pilność czy chciwość. Oszuści mogą wysyłać alarmujące wiadomości o rzekomo skompromitowanym koncie bankowym lub kusić ofiary obietnicami finansowych korzyści, jak w przypadku słynnego nigeryjskiego księcia z e-maili spamowych.
  3. Osaczanie dobrych intencji lub ciekawości: Inżynieria społeczna także wykorzystuje naturalną skłonność osoby do niesienia pomocy lub zaspokojenia ciekawości. Mogą wysyłać e-maile, które wydają się być od znajomych lub z sieci społecznościowych, prosząc o informacje kontaktowe, pomoc lub zachęcając do kliknięcia w złośliwy link pod pretekstem interesującej historii lub pomocnego zasobu.

Zrozumienie tych taktyk jest kluczowe dla rozpoznawania i udaremniania ataków inżynierii społecznej. Atakują one ludzką naturę, a nie technologiczne wady, co sprawia, że świadomość i czujność stają się kluczowymi obronami przed takimi zagrożeniami.

Jak chronić się przed atakami inżynierii społecznej

Ataki inżynierii społecznej mogą przybierać wiele form, od phishingowych e-maili po manipulacje za pomocą telefonów czy wiadomości tekstowych. Ponieważ głównie celują w ludzkie słabości, a nie wady technologiczne, obrona przed nimi wymaga połączenia świadomości, czujności i technologicznych zabezpieczeń.

Poniższe kroki oferują kompleksowe podejście do zwiększenia ochrony przed tymi coraz bardziej powszechnymi i wyrafinowanymi atakami:

  1. Używaj uwierzytelniania wieloskładnikowego: Wdrażanie dwuskładnikowego lub wieloskładnikowego uwierzytelniania jest kluczowe. Dodaje dodatkową warstwę bezpieczeństwa, zapewniając, że nawet jeśli dane logowania zostaną narażone, nieautoryzowany dostęp będzie nadal uniemożliwiony.
  2. Szkolenie z zakresu bezpieczeństwa: Regularne szkolenia dla wszystkich pracowników są kluczowe, by nauczyć rozpoznawania i reagowania na ataki socjotechniczne. Szkolenie powinno obejmować identyfikację podejrzanych działań oraz znaczenie ochrony poufnych informacji.
  3. Zainstaluj silny program cyberbezpieczeństwa: Korzystaj z kompleksowego oprogramowania cyberbezpieczeństwa, takiego jak Malwarebytes, które może rozpoznawać i neutralizować zagrożenia, w tym złośliwe strony internetowe, złośliwe reklamy, złośliwe oprogramowanie, wirusy i oprogramowanie ransomware.
  4. Wdrożenie zasad kontroli dostępu i technologii cyberbezpieczeństwa: Egzekwuj ścisłe zasady kontroli dostępu, w tym uwierzytelnianie adaptacyjne i podejście do bezpieczeństwa oparte na zerowym zaufaniu. Korzystaj z technologii takich jak filtry antyspamowe, bezpieczne bramki e-mail, zapory ogniowe, oprogramowanie antywirusowe i aktualizuj systemy najnowszymi łatkami.
  5. Włącz filtry antyspamowe: Aktywuj filtry antyspamowe, aby blokować phishingowe e-maile i inne formy spamu. Choć niektóre prawdziwe e-maile mogą zostać odfiltrowane, można to zniwelować oznaczając je jako "nie spam" i dodając prawdziwych nadawców do listy kontaktów.
  6. Naucz się, jak rozpoznawać e-maile phishingowe: Edukuj siebie i innych, jak identyfikować próby phishingowe. Szukaj czerwonych flag, takich jak niedopasowane adresy nadawcy, ogólne powitania, nietypowe adresy URL, słaba gramatyka i oferty, które wydają się zbyt dobre, aby były prawdziwe.
  7. Wyłącz makra w dokumentach: Wyłącz makra w swoim oprogramowaniu. Ostrożnie podchodź do załączników e-maili, które proszą o włączenie makr, zwłaszcza od nieznanych źródeł. W razie wątpliwości zweryfikuj autentyczność załącznika z nadawcą.
  8. Nie odpowiadaj na podejrzane oszustwa: Unikaj odpowiadania na potencjalne oszustwa, czy to za pośrednictwem e-maili, SMS-ów, czy rozmów telefonicznych. Odpowiedzenie potwierdza oszustom, że Twoje dane kontaktowe są prawidłowe, co zachęca do dalszych prób. Przesyłaj podejrzane SMS-y na numer 7726 (SPAM), aby pomóc swojemu operatorowi filtrować spam.

Wdrażając te strategie, możesz stworzyć solidny system obrony przed atakami inżynierii społecznej, chroniąc zarówno swoje dane osobowe, jak i wrażliwe informacje swojej organizacji. Pamiętaj: informacja i ostrożność to twoja pierwsza linia obrony w stale ewoluującym krajobrazie zagrożeń cybernetycznych.

Rodzaje ataków inżynierii społecznej

Ataki socjotechniczne występują głównie poprzez różne [formy phishingu](malwarebytes. Ataki te wykorzystują ludzką psychologię i zaufanie, zamiast polegać na technicznych metodach hakowania. Skuteczność i powszechność phishingu sprawiają, że jest to krytyczny problem zarówno dla osób fizycznych, jak i organizacji. Oto bardziej szczegółowy podział każdego typu:

  1. Phishing e-mail: Atakujący podszywają się pod legalne podmioty za pomocą e-maili, wprowadzając odbiorców w błąd, aby ujawnili dane osobowe lub dane logowania. Te e-maile często zawierają linki do oszukańczych stron internetowych lub złośliwe załączniki.
  2. Bulk Phishing: Metoda ta polega na wysyłaniu tej samej wiadomości phishingowej do milionów osób. E-maile wydają się pochodzić od rozpoznawalnych organizacji i często wymagają podania danych osobowych pod fałszywym pretekstem.
  3. Spear phishing: Bardziej ukierunkowana forma phishingu, w której atakujący dostosowują swoje wiadomości do konkretnych osób, korzystając z informacji zebranych z mediów społecznościowych lub sieci zawodowych.
  4. Whale Phishing: Wysokopoziomowa taktyka spear phishingu skierowana do kadry kierowniczej wyższego szczebla lub osób o wysokim profilu. Ataki te są wysoce spersonalizowane i często obejmują złożone oszustwa.
  5. Phishing głosowy (Vishing): Technika ta wykorzystuje połączenia telefoniczne w celu nakłonienia osób do ujawnienia poufnych informacji. Atakujący mogą podawać się za legalne organizacje lub autorytety.
  6. SMS Phishing (Smishing): Odmiana phishingu prowadzona przez wiadomości tekstowe. Te wiadomości wabią odbiorców do klikania w złośliwe linki lub ujawniania poufnych informacji.
  7. Phishing w wyszukiwarkach: W tym podejściu atakujący tworzą fałszywe strony internetowe, które pojawiają się wysoko w wynikach wyszukiwania. Gdy użytkownicy odwiedzają te strony, są narażeni na kradzież informacji.
  8. Phishing podstępny: Ta forma wykorzystuje platformy mediów społecznościowych, gdzie atakujący tworzą fałszywe konta obsługi klienta, aby rozmawiać z ofiarami, często prowadząc je do stron phishingowych.

Po Phishingu, inne metody inżynierii społecznej to:

  1. Baiting: Kusi ofiary fałszywą obietnicą towarów lub usług w celu kradzieży informacji lub instalacji złośliwego oprogramowania.
  2. Tailgating/Piggybacking: Polega na nieautoryzowanym dostępie do obszarów chronionych, fizycznie podążając za osobą autoryzowaną lub cyfrowo wykorzystując aktywną sesję innej osoby.
  3. Pretexting: Oszuści tworzą fikcyjne scenariusze, aby wydobyć wrażliwe informacje lub uzyskać dostęp, często podszywając się pod osoby z autorytetem lub potrzebujące zweryfikować tożsamość.
  4. Quid Pro Quo: Oferuje usługę lub korzyść w zamian za wrażliwe informacje, wykorzystując chęć ofiary do skorzystania z okazji lub nagrody.
  5. Scareware: Wykorzystuje taktykę strachu, aby zmusić ofiary do zainstalowania złośliwego oprogramowania lub ujawnienia poufnych informacji.
  6. Ataktypu Watering Hole: Celuje w określone grupy, infekując często odwiedzane przez nie strony internetowe, co prowadzi do kradzieży danych lub instalacji złośliwego oprogramowania.
  7. Ataki typu trojan: Złośliwe oprogramowanie podszywające się pod legalne oprogramowanie, często rozprzestrzeniane za pomocą załączników e-mailowych od fałszywie zaufanych źródeł.
  8. Oszustwa związane z pomocą techniczną: Oszukują ofiar, wmawiając im, że ich urządzenie jest skompromitowane, i pobierają opłaty za niepotrzebne "naprawy".
  9. Scam Calls: Polega na wykorzystywaniu połączeń telefonicznych (w tym połączeń automatycznych) do oszukiwania ofiar, często podszywając się pod legalne organizacje lub władze.

Zrozumienie tych metod phishingowych i innych taktyk inżynierii społecznej jest kluczowe dla ochrony przed tymi powszechnymi i zmieniającymi się zagrożeniami.

Przykłady ataków inżynierii społecznej

Oto kilka rzeczywistych przykładów inżynierii społecznej, o których informowaliśmy w Malwarebytes Labs. W każdym przykładzie oszuści socjotechniczni szukają właściwego celu i odpowiedniego wyzwalacza emocjonalnego. Czasami połączenie celu i wyzwalacza może być bardzo specyficzne (jak w przypadku ataku typu spear phishing). Innym razem oszuści mogą atakować znacznie szerszą grupę.

Oszustwo związane z sekstorcją: W tym pierwszym przykładzie oszuści zarzucają szeroką sieć. Cel? Każdy, kto ogląda porno. Ofiara jest powiadamiana e-mailem, że jej kamera internetowa została rzekomo zhakowana i wykorzystana do nagrywania filmów dla dorosłych. Oszust twierdzi również, że włamał się na konto e-mail odbiorcy, używając starego hasła jako dowodu. Jeśli ofiara nie zapłaci za pomocą Bitcoin, oszust grozi, że udostępni wideo wszystkim kontaktom ofiary. Ogólnie rzecz biorąc, oszust nie ma nagrania wideo, a stare hasło pochodzi z wcześniej ujawnionego naruszenia danych.

Oszustwo "na wnuczka": To oszustwo krąży od lat i celuje w każdego, kto ma żyjącą rodzinę, zwykle seniorów. Rodzice lub dziadkowie otrzymują telefon lub wiadomość SMS od oszusta, podszywającego się pod prawnika lub funkcjonariusza policji. Oszust twierdzi, że krewniak ofiary został aresztowany lub ranny i potrzebuje pieniędzy na pokrycie kaucji, opłat prawnych lub rachunków szpitalnych. W przypadku SMS-ów odpowiedź kończy się kosztowaniem ofiary pieniędzy.

Oszustwo związane z numerem ubezpieczenia społecznego: W tym oszustwie sytuacja zaczyna się zawężać, ponieważ dotyczy ono tylko obywateli USA. Ofiara otrzymuje nagrany wcześniej telefon rzekomo od Administracji Ubezpieczeń Społecznych. Wiadomość twierdzi, że numer SSN ofiary został "zawieszony" z powodu "podejrzanych śladów informacji". Pomijając fakt, że SSN nie może zostać zawieszony, jeśli ofiara nabierze się na tę sztuczkę i oddzwoni, zostanie poproszona o zapłacenie grzywny, aby wszystko naprawić.

Oszustwo związane z Johnem Wickiem 3: Oto dobry przykład spear phishingu. W tym przypadku oszuści udają się za bardzo określonym celem: fanem Johna Wicka, który lubi komiksy, ale woli czytać je na Amazon Kindle. Szukając komiksów o Johnie Wicku, cel otrzymuje ofertę bezpłatnego pobrania trzeciego filmu Johna Wicka — w momencie oszustwa film nie był jeszcze w kinach. Podążanie za linkiem wbudowanym w opis filmu prowadzi ofiarę do nielegalnych stron streamingowych dla pirackich filmów.

Oszustwa związane z koronawirusem: Oszuści zwrócili uwagę na brak informacji o wirusie, zwłaszcza w pierwszych dniach i miesiącach epidemii. Podczas gdy urzędnicy służby zdrowia starali się zrozumieć wirusa i sposób, w jaki rozprzestrzeniał się z człowieka na człowieka, oszuści wypełniali puste miejsca fałszywymi stronami internetowymi i spamem.

Informowaliśmy o wiadomościach spamowych podszywających się pod informacje o wirusach od Światowej Organizacji Zdrowia. W rzeczywistości zawierały one załączniki wypełnione złośliwym oprogramowaniem. W innym przykładzie Labs informowało o witrynie śledzącej COVID-19, która wyświetlała infekcje na całym świecie w czasie rzeczywistym. Za kulisami strona ładowała trojana wykradającego informacje na komputery ofiar.

Czym jest phishing?

Czym jest spear phishing?

Co to jest atak typu vishing?

Czym jest catfishing?

Co to jest kradzież tożsamości?

FAQs

Jaka jest różnica między inżynierią społeczną a odwrotną inżynierią społeczną?

W inżynierii społecznej atakujący zbliżają się do celów, aby zmanipulować je do udostępnienia informacji. W odwróconej inżynierii społecznej ofiary nieświadomie inicjują kontakt ze zwodniczymi napastnikami.