7 nových praktik sociálního inženýrství

by | Zář 2, 2021 | Cyber wiki, Druhy hrozeb, Nejnovější | 0 comments

Pandemie a panika s ní související představuje ideální prostředí pro útoky social engineeringu. Social engineering je podvodná taktika jejíž cílem je vylákat od obětí osobní informace (hesla, bankovní údaje, atp.). Útočníci využívají strach obětí, který je spojen se ztrátou zdraví, příjmů či osobní svobody.

Social engineering je zaměřený více na uživatele, než samotný počítačový systém. Cílem útočníků je získat informace, nebo zmanipulovat oběť k činnosti, která povede ke kompromitaci osobních dat. Útočníkům se stále daří přicházet na nové způsoby, jak lidi pomocí moderních technologií oklamat. “Většinou jde o stejné triky v novém kabátě”, říká Perry Carpenter, hlavní stratég společnosti KnowBe4, která se zabývá edukační činností a zvyšováním povědomí v oblasti kybernetické bezpečnosti.

Zde jsou některé taktiky sociálního inženýrství, které jsou podle odborníků na vzestupu:

1. QR kódy

Během pandemie COVID-19 se strojově čitelné, černobílé maticové kódy staly oblíbeným způsobem, jakým společnosti navazují kontakt se spotřebiteli. Nejčastěji se s nimi můžeme setkat v restauracích, kde často nahrazují jídelní lístky. Návštěvníkům stačí naskenovat QR kód pomocí chytrého telefonu a vybrat si pokrm či zaplatit útratu. V USA dokonce využívají QR kódy i skautky při tradičním prodeji sušenek.

Webové stránky, na které QR odkazují, však provozují dodavatelé třetích stran. Útočníkům, tak stačí umístit kód na správné místo a po naskenování se telefon oběti připojí ke škodlivému cíli. Je to úplně stejné, jako kliknutí na špatný odkaz. Stejný koncept, nový obal.

Metody, této taktiky sociálního inženýrství se liší. Oz Alashe, generální ředitel britské bezpečnostní a analytické společnosti CybSafe, uvedl, že existují případy, kdy se v některých čtvrtích objevily letáky s kódy, které slibují: “Naskenujte tento QR kód a získejte šanci vyhrát Xbox”. “Kód často vede na pochybnou stránku, která do telefonu stáhne malware,” dodal Alashe.

2. Browser hijacking (Ovládnutí prohlížeče)

Všichni, moc dobře známe žádosti webové stránky o povolení zasílání “oznámení”, které na nás okamžitě vyskočí při první návštěvě. Kdysi užitečný způsob, jak navázat kontakt se čtenáři a informovat je o novinkách je nyní nástrojem sociálního inženýrství.

“Push notifikace lze je využít jako zbraň,” řekl Carpenter (KnowBe4). “Problémem je, že mnoho uživatelů bez rozmyslu oznámení povolí.” Podvodníci našli způsob, jak do notifikací nainstalovat své skripty. Taktiky zahrnují maskování souhlasu s odběrem za jinou akci, jako je CAPTCHA, nebo přepínání tlačítek “přijmout” a “odmítnout”.

Jakmile podvodník získá (neprávem) souhlas uživatele, začne ho zasypávat zprávami, která obvykle obsahují phishing nebo malware.

3. Collaboration scam

Podle Alasheho (CybSafe) se kyberzločinci pomocí této taktiky zaměřují na profesionály ve spolupracujících oborech. Jedná se o designéry, vývojáře a dokonce i bezpečnostní výzkumníky. Lákadlem je pozvánka ke spolupráci. Práce z domova zvýšila míru spolupráce na dálku mezi různými subjekty a lidmi, což útočníkům značně usnadňuje práci.

“Aktéři” například pošlou projekt ve Visual Studiu obsahující škodlivý kód. Oběť si program sama spustí a jeho zařízení se tím poměrně rychle infikuje. Útok v podstatě využívá touhy nebo potřeby pomáhat a spolupracovat na zajímavých projektech,” řekl Alashe.

Tzury Bar Yochay, spoluzakladatel a technický ředitel bezpečnostní firmy Reblaze, uvedl, že tyto útoky jsou často dobře propracované a zaměřené na detaily. “Útočníci se vydávají za výzkumníky a udávají reference (od smyšlených třetích stran), které potvrzují jejich výzkum.” Nejčastěji využívají účtů na Twitteru, videí na YouTube, LinkedIn, Discord a podobně”, řekl. Oběť tím získá falešný pocit bezpečí a často kompromitovaný kód sdílí dál.

4. Vydávání se za člena dodavatelského řetězce

George Gerchow, CSO ze Sumo Logic, uvádí, že útoky, které zneužívají části dodavatelského řetězce organizace představují v současnosti velký problémem.

“Není snadné bránit to, co nevidíte a jste tak silní, jako je nejslabší článek,” řekl Gerchow. “V poslední době například přichází množství cílených e-mailů, které se tváří, jako od vašich důvěryhodných partnerů, ale ve skutečnosti se jedná o hackery vydávající se za osoby, které možná znáte v rámci vaší profesní sítě.”

Osobně se Gerchow setkal s falešnými dárkovými kartami, které byly zaslány zaměstnancům Sumo Logic a tvářili se, jako poděkování od skutečných obchodních partnerů společnosti.

Postupem času se však útoky staly více sofistikovanými. “V současnosti pozorujeme snahu navázat kontakt se společností, kdy se hackeři dokonce vydávali za dodavatele používající daný produkt, který je k dostání na bezplatném účtu. Získání důvěry je cíl útočníků, jak zefektivnit standardní taktiky sociálního inženýrství a získat pomoc při obcházení bezpečnostních kontrol. Případně během komunikace zaslat malware, který ohrozí systémy cílové společnosti.

Útok na SolarWinds, který se dostal na titulní stránky novin, je exemplárním příkladem. Jednalo se, o specifickou verzi nazvanou vendor email compromise attack (VEC). Jak uvedli představitelé společnosti SolarWinds, “e-mailový účet byl kompromitován a použit k programovému přístupu k účtům zaměstnanců společnosti v obchodních a technických odděleních”.

5. Deepfake

Deepfakes jsou překvapivě realistické nahrávky, které pomocí umělé inteligence simulují vzhled nebo hlas konkrétní osoby. Cílem je oběti přimět prozradit informace, nebo provést akci, která je pro útočníka výhodná.

Bar Yochay (Reblaze) tvrdí, že útoky při nichž útočník používá “naklonovaný” hlas je téměř nerozeznatelný od hlasu skutečné osoby. Falešné zvukové nahrávky představují rostoucí problém. Jeden z prvních úspěšných příkladů se objevil v roce 2019, kdy byla falešná nahrávka hlasu generálního ředitele použita k pokynu zaměstnanci, aby okamžitě převedl peníze na mezinárodní účet. “Nahrávka byla ponechána,  jako hlasová zpráva podřízenému, který podvodné pokyny uposlechl a odeslal útočníkům 243 000 dolarů,” uvedl Bar Yochay.

Otázkou zůstává, jak dlouho potrvá, než se objeví deepfake videa, která budou manipulovat zaměstnanci, či obchodními partnery. “Školení, informovanost a transparentnost budou jediným způsobem, jak zvýšit bezpečnost v souvislosti s těmito útoky”, řekl Gerchow. “Zabezpečení musí být přístupné a samozřejmě vše se musí logovat”.

6. Podvodné SMS

Textové zprávy se k social engineeringu používají již delší dobu. Rebecca Heroldová, odbornice na ochranu soukromí a bezpečnost ze společnosti IEEE, tvrdí, že taktika zasílání textových zpráv je stále častější. “Stáváme se společností, kde velká část populace preferuje komunikaci prostřednictvím textových zpráv před voláním. Lidé jsou zvyklí, sdělovat i velmi důvěrné informace prostřednictvím textových zpráv,” říká Heroldová.

V posledním roce vidíme rozmach v oblasti rozvozu potravin a zboží a sním i počet podvodných textových zpráv s rozvozem. Mezi další častá lákadla patří textové zprávy, které slibují informace o kontrolách COVID, které oběti odkazují na webovou stránku, která žádá o poskytnutí citlivých osobních údajů, jako je datum narození a rodné číslo (číslo sociálního pojištění).

Heroldová uvedla, že se setkala také s podvodnými zprávami, v nichž se podvodníci vydávají za ministerstva a tvrdí obětem, že musí prostřednictvím poskytnutého odkazu absolvovat “povinný online test na COVID”. Následně jsou z nich vylákány osobní údaje a do jejich zařízení často útočník nahraje malware”, uvedla Heroldová.

7. Napodobování názvů známých domén

Napodobení názvů domén (tzv. typosquatting) a vzhledově podobné domény se často používají při útoku na firemní e-mail. Podvodníci se vydávají za legitimní domény, aby oběti oklamali a přesvědčili je, že se nacházejí na bezpečném místě. Používají k tomu mnoho triků, včetně chybného názvu domény (např. Gooogle místo Google) nebo přidání jiné domény (.uk místo .co.uk). Na rozdíl od odfláknutých verzí z dřívějších dob, se dnes tyto stránky vyznačují značně propracovaným designem, pečlivě propracovaným napodobením legitimních stránek a důmyslnou funkčností.

“Oběti sociálního inženýrství jsou obvykle oklamány, aby buď cítily psychologické bezpečí na základě své volby, nebo aby hledaly psychologické bezpečí způsobem, který bude hrát útočníkovi do karet”, řekl Carpenter(KnowBe4).

Zločinci tyto stránky nastavují nejen k doručení malwaru, ale také k získání informací o kreditních kartách, nebo jiných citlivých údajů prostřednictvím falešných přihlašovacích polí nebo jiných falešných formulářů.

Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz

Zdroj: CSO

Foto: Pexels

0 Comments
Submit a Comment
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.