2024/07/18 12:59:12

Социальная инженерия

Социальная инженерия - это психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации

Содержание

Телефонное мошенничество

Мошенничество с банковскими картами

2024

Хакеры крадут данные российских компаний под предлогом проведения «уроков ИБ»

Эксперты центра внешних цифровых угроз Solar AURA ГК «Солар» выявили фейковую электронную рассылку от имени российских ведомств с предупреждением о проведении «уроков ИБ» для сотрудников российских компаний. Однако вместо настоящих ИБ-специалистов с работниками связываются злоумышленники и убеждают их передать конфиденциальные данные о компании. Об этом «Солар» сообщил 17 июля 2024 года.

Фейковые письма от имени ведомств поступают в адрес руководителей российских компаний. Во вложении содержится электронный документ на бланке несуществующего ведомства, которое якобы уведомляет о планах провести консультационные беседы с сотрудниками компании по вопросам обеспечения информационной безопасности и защиты персональных данных.Российский рынок облачных ИБ-сервисов только формируется 2.4 т

Согласно «документу», содержание бесед конфиденциально и не подлежит разглашению, а руководителю организации, получившему письмо, следует предупредить подчиненных о предстоящем звонке.

После этого «подготовленным» работникам компании поступают звонки, но не от ИБ-специалистов, а от злоумышленников. Они склоняют сотрудников к передаче конфиденциальной информации, в том числе для входа в информационную инфраструктуру компании. Очевидно, что далее возможны два варианта развития событий: полученные данные продаются на черном рынке либо непосредственно используются для совершения атаки.

«
Ранее мы сообщали о схеме, когда в Telegram-аккаунт сотрудникам пишет якобы генеральный директор и предупреждает о предстоящем звонке от ФСБ, но в данном случае «слабым звеном» становится уже сам руководитель компании. Если он поверит изложенной в письме информации и лично предупредит сотрудников о будущей беседе, то шансы злоумышленников на успех значительно повысятся. Можно с уверенностью сказать, что мы наблюдаем новый виток в развитии социальной инженерии, которая с каждым разом становятся все изощреннее и вызывает все меньше подозрений у жертв, — пояснил Игорь Сергиенко, директор центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар».
»

Для защиты от социнженерии эксперты Solar AURA рекомендуют соблюдать следующие правила:

1. Не диктовать одноразовые коды или пароли по телефону и не пересылать их кому-либо.

2. Не предоставлять личные данные на подозрительных и неофициальных веб-сайтах, а также в разговоре с незнакомыми людьми.

3. При получении в адрес организации письма от имени органов госвласти без электронной подписи следует обратиться в подразделение делопроизводства данного органа для уточнения достоверности сведений.

4. Использовать антивирусное ПО для дополнительной защиты от вредоносных программ и фишинговых атак.

Как киберпреступники используют комбинированные атаки на пользователей дейтинговых и финансовых сервисов

По сообщениям «Интерпола», резко выросла популярность так называемых схем pig butchering, или «разделки свиней». Это комбинированные атаки, в ходе которых киберпреступники пользуются доверием жертв под романтическими или финансовыми предлогами и постепенно опустошают кошельки частных лиц или подводят к финансовым преступлениям. Об этом 22 марта 2024 года сообщили в компании Angara Security.

Как отметила Лада Антипова, эксперт по реагированию на инциденты Angara SOC, эта схема появилась недавно и в какой-то степени стала продолжением BEC-атак (business email compromise). Термин «разделки свиней» происходит от китайского выражения, которое дословно означает «жаркое».

Суть в том, что мошенники пытаются «откормить свинью»: они будут максимально подготавливать жертву, завоевывать доверие, чтобы извлечь позднее максимальное количество денежных средств. "Забой" заключается в том, что как только мошенники дойдут до точки, когда почувствуют, что большего добиться не смогут и предел достигнут, они заберут «эту свинью на убой» и пропадут с радаров.

Самым слабым звеном во всей цепочке часто является человек, и злоумышленники явно пользуются этим. К сожалению, именно по этой причине приемы и методы социальной инженерии до сих пор работают.

«
Сейчас мы достаточно часто слышим в новостях о программах-вымогателях и пострадавших организациях от них, и кажется, что это где-то там и вас никак не касается. В этом же случае - злоумышленник буквально в один момент может оказаться по ту сторону экрана от вас, - отметила Лада Антипова.
»

Схемы pig butchering не связаны с доставкой и установкой вредоносного программного обеспечения, что делает их еще более сложными для обнаружения. Более того, злоумышленники, выстраивая романтические или дружеские отношения, обычно тратят на это много времени, могут даже отправлять якобы личные фотографии, в том числе интимного характера, чтобы исключить какие-либо подозрения со стороны жертвы. Иногда злоумышленники могут использовать технологии искусственного интеллекта не только для переписки, но и для генерации видеофейков, чтобы снять подозрения при общении в мессенджерах и на платформах видеоконференц-связи.

В ранее опубликованном исследовании, эксперты Angara Security отмечали, что с 2024 года в России стали фиксироваться случаи мошеннических схем, в которых применяются в совокупности техники социальной инженерии и deepfake. Также с 2023 года выросла активность неизвестных лиц, которые формируют базы аудио- и видеоданных для обучения нейросетей, которые используются для совершенствования тактик фишинговых атак на частных лиц и бизнес.

Мошенники в России начали создавать поддельные аккаунты гендиректоров компаний для кражи средств клиентов

Мошенники в России начали создавать поддельные аккаунты гендиректоров компаний для кражи средств клиентов. О появлении нового вида кибераферы в отношении корпоративных пользователей в «Сбере» рассказали 23 января 2024 года.

В банке предупредили, что фейковый аккаунт якобы руководителя компании преступники создают в мессенджерах. Для большей достоверности могут загрузить в ненастоящий профиль фото из доступных источников: взять, например, его с сайта компании или использовать аватар настоящего аккаунта.

Новый вид аферы - мошенники создают поддельные аккаунты гендиректоров компаний

С поддельного аккаунта злоумышленники начинают переписку с бухгалтером компании и дают поручение перевести средства со счета организации на указанные в сообщении реквизиты. После этого деньги компании уходят на счета дропов — людей, которые обналичивают и переводят похищенные мошенниками средства.

По словам заместителя председателя правления Сбербанка Станислава Кузнецова, кибермошенники реже обманывают юридических лиц, чем физических, однако украденные суммы в этих случаях значительно больше. Теперь появился новый способ мошенничества через создание фейкового аккаунта руководителя компании в мессенджерах. Кузнецов заверил, что «Сбер» успешно выявляет такие схемы, и фрод-мониторинг банка дополнен знанием об этом виде мошенничества.

«
Я хочу еще раз попросить наших корпоративных клиентов быть более бдительными, внимательными и при получении таких сообщений задавать себе вопросы: почему вдруг у руководителя появился новый телефон и аккаунт в мессенджере, почему в нём скрыты данные, почему директор странно к вам обратился. Должны насторожить любые изменения, особенно если они касаются материально ответственных сотрудников компании. Чтобы не оказаться жертвой преступников, лучше лично связаться с руководителем и уточнить все вопросы с ним по телефону или при очной встрече, - добавил зампред правления «Сбера».[1]
»

2023

Мошенники нашли способ обойти двухфакторную аутентификацию на Госуслугах

Несмотря на то, что с октября 2023 года на Госуслугах введена обязательная двухфакторная аутентификация, мошенники все равно нашли лазейки. В частности, они начинают активно распространять сообщения — как посредством СМС, так и через электронную почту — о том, что аккаунт пользователя на Госуслугах якобы оказывается взломанным или заблокированным. Причина – подозрительная активность. При этом злоумышленники указывают номер телефона, с которого в последующем должен поступить звонок из «службы поддержки» для восстановления доступа к своему аккаунту. В некоторых случаях жертвам предлагают связаться со службой поддержки самостоятельно. Об этом 6 ноября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Если же мошенникам удается связаться с пользователем, то те просят прислать код из СМС-сообщения, который необходим для «идентификации пользователя». Но на деле такой код оказывается кодом двухфакторной аутентификации. Заполучив его, в руках злоумышленника оказывается аккаунт Госуслуг, с помощью которого в том числе можно оформить кредиты.

«
Злоумышленник может получить доступ к аккаунту «Госуслуг» только в том случае, если пользователь сам передаст всю необходимую для входа информацию: логин и пароль, сведения о втором факторе защиты аккаунта, либо если его данные будут скомпрометированы. Сотрудники портала никогда не звонят и не присылают СМС без заявки гражданина, — сообщила пресс-служба Минцифры.
»

После введения двухфакторной аутентификации получить доступ к Госуслугам стало гораздо сложнее, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

«
Если ранее злоумышленники активно использовали фишинговые рассылки или интегрировали методы по подборам паролей, то приходится проявлять гибкость и идти на ухищрения. Что еще раз подтверждает тенденцию распространения методов социальной инженерии в мошеннических практиках, – считает депутат.
»

Мошенники подделывают телеграм-аккаунты генеральных директоров крупнейших российских компаний

Компания BI.ZONE выявила массовые атаки на представителей крупного российского бизнеса и государственных организаций, в основе которых лежат методы социальной инженерии. Злоумышленники связываются с сотрудниками компаний, используя поддельные аккаунты в Telegram. Учетные записи содержат Ф. И. О. и фотографии топ менеджеров. Об этом BI.Zone сообщила 18 сентября 2023 года.

Собеседник представляется генеральным директором организации, в которой работает потенциальная жертва. При этом злоумышленник обращается к сотруднику, используя его имя и отчество, чтобы вызвать доверие.

В ходе беседы мошенник предупреждает о скором звонке из Министерства промышленности и торговли России. Он просит никому не сообщать о разговоре, а после него — отчитаться, как все прошло.

После этого жертве поступает звонок с неизвестного номера, в процессе которого у нее могут запрашивать различную конфиденциальную информацию и вынуждать совершать финансовые операции в пользу мошенников. Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE:

«
Злоумышленники продолжают совершенствовать методы социальной инженерии. В данной схеме мошенники используют доверие сотрудников к топ менеджеру компании и страх столкнуться с последствиями отказа выполнить требования. Попыткам атак уже подверглись сотрудники государственных организаций и потребительского сегмента бизнеса. Однако атаки могут затронуть представителей и других отраслей, так как схема универсальна.
»

Чтобы не стать жертвой мошенничества, следует помнить правила цифровой гигиены. Не стоит доверять звонкам и сообщениям с незнакомых номеров, даже если собеседник представляется именем знакомого человека. В таких ситуациях важно проявлять особенную осторожность: не разглашать информацию и не совершать действия, о которых просят. В ряде случаев злоумышленники проводят предварительную разведку и используют информацию о жертве, чтобы вызвать у нее доверие.

Мошенники создают поддельные аккаунты сотрудников Минпромторга для обмана компаний

Мошенники создают поддельные аккаунты сотрудников Минпромторга для обмана компаний. Об этом пресс-служба ведомства предупредила 3 июля 2023 года. Подробнее здесь.

Интернет-мошенники запустили схему повторного обмана граждан

В Сети массово появляются сайты, предлагающие гражданам быстро и в полном объеме вернуть похищенные деньги. В мае 2023 года центр мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» зафиксировал уже более 200 подобных ресурсов. Схема рассчитана на повторный обман людей, ранее пострадавших от фейковых криптовалютных брокеров или иных интернет-мошенников. Об этом компания «РТК-Солар» сообщила 1 июня 2023 года.

В реальности вернуть похищенные деньги крайне сложно, даже если мошенники будут найдены и привлечены к ответственности. Фейковые сайты же предлагают возврат полной суммы в течение пары недель с вероятностью более 80%, — отмечают специалисты «РТК-Солар». Для большего правдоподобия злоумышленники выдают свои онлайн-ресурсы за страницы СМИ или международных финансовых и юридических компаний, а также используют образы популярных медийных персон.

Нынешняя волна мошенничества тесно связана с фейковыми инвестиционными и криптовалютными платформами, сайты которых появляются в количестве от 5 до 50 в день. Зачастую сайт компании по возврату денег делит одну площадку с фейковой биржей, на которой человека уже успели обмануть.

Для потенциальных жертв имеются свои ограничения: похищенная сумма должна составлять не менее 500-1000 долларов США, при этом деньги должны быть украдены с банковского счета или карты не более 3-5 лет назад. Схема работы аналогична сценариям лжеброкеров: жертва оставляет на сайте свои данные, после чего в дело вступает «персональный менеджер», который с помощью социальной инженерии выуживает дополнительную информацию и заставляет человека совершать необходимые действия (от предоставления банковской карты до оформления кредита).

«
Человек, ранее уже становившийся жертвой мошенников, является более легкой мишенью. Столкнувшись с официальными процедурами, он ищет возможность быстрее и легче вернуть свои деньги и с готовностью предоставит данные банковской карты, — сказал Александр Вураско, эксперт центра мониторинга внешних цифровых угроз Solar AURA компании "РТК-Солар". — Единственный и самый верный способ защиты в данном случае – проявить благоразумие и в первую очередь обратиться в правоохранительные органы. Важно понимать, что, если злоумышленников не найдут или они будут находиться вне российского правового поля, ни одна организация не сможет помочь вернуть украденное.
»

Мошенники запугивают жертв попыткой перевода средств в адрес экстремистских организаций

Почта Банк выявил еще одну схему финансового мошенничества с использованием «перевода средств в адрес террористических и экстремистских организаций». Под видом сотрудников правоохранительных органов мошенники звонят гражданам и сообщают, зафиксирована попытка списать с банковского счета деньги в адрес террористических или экстремистских организаций, запрещенных в РФ. Жертвам угрожают уголовной ответственностью и предлагают «спасти» средства путем перевода их на так называемый «безопасный» счет. На самом деле деньги уходят злоумышленникам. Об этом банк сообщил 12 мая 2023 года.

Злоумышленники рассчитывают испугать жертв, ведь финансирование экстремистской и террористической деятельности в Российской Федерации уголовно наказуемо. В соответствии со статьей 282.3 УК РФ предоставление или сбор средств для работы таких организаций наказывается штрафом или лишением свободы. Мошенники рассчитывают на то, что под страхом быть обвиненным в противоправных действиях, жертвы беспрекословно сделают всё, что им скажут.

В Почта Банке добавили, что такая схема представляет опасность для граждан разного возраста, но наиболее уязвимы люди пожилого возраста, которые реже пользуются дистанционными сервисами банков и более подвержены манипуляциям и обману со стороны мошенников

Для защиты от такого мошенничества эксперты Почта Банка советуют прежде всего удостовериться, что к личному банковскому кабинету никто не получил несанкционированный доступ, проверить историю операций в приложении и позвонить в банк для уточнения этой информации. Как правило, на самом деле никакого перевода нет, а мошенники лишь пытаются испугать жертву. При получении подозрительных звонков от сотрудников полиции или банка не надо продолжать разговор и стараться сохранять спокойствие и ни в коем случае не переводить деньги со счета – настоящие сотрудники банка или полиции никогда о таком не попросят. Банк рекомендует гражданам в любых подобных ситуациях сохранять бдительность и не сообщать личные и финансовые данные посторонним лицам, под каким бы предлогом или способом (телефонный звонок, сайт, электронное письмо) их ни пытались узнать.

2022

Мошенники эксплуатируют тему мобилизации

26 сентября 2022 года «Доктор Веб» сообщил о том, что злоумышленники активно используют тему мобилизации для обмана пользователей в интернете. В мошеннической схеме задействованы стандартные приемы социальной инженерии.

Интернет-аналитики компании «Доктор Веб» обнаружили мошеннические сообщения, в которых пользователям сообщается о наличии их данных в списках призывников и скором поступлении повестки через Госуслуги. Примечательно, что мошенники обращаются к получателю по имени-отчеству, что говорит о работе по имеющимся у мошенников базам данных. Затем пользователю предлагается анонимно перевести денежные средства на биткойн-кошелек отправителя, чтобы «перестраховаться» и избежать призыва «во вторую очередь первичной мобилизации». Отправитель письма предупреждает, что не будет выходить на связь, но сможет помочь, если деньги поступят на его криптокошелек.

Описанная выше мошенническая схема является классическим примером использования социальной инженерии и актуальной тематики для обмана доверчивых пользователей. В ближайшее время можно прогнозировать все более интенсивное использование мобилизационной тематики в качестве благодатной почвы для роста интернет-мошенничества. Злоумышленники уже предлагают услуги по продаже медицинских справок и удалению данных пользователей из «мобилизационных списков», используя главным образом сайты, мессенджеры и электронную почту.

Кроме того, в сети активно распространяются якобы «слитые» базы с данными граждан, подлежащих мобилизации. Злоумышленники могут использовать такие приемы для распространения вредоносного ПО. То же самое касается и сайтов, предлагающих пользователю проверить свои данные по якобы закрытым базам военных комиссариатов. Таким способом преступники собирают личные данные пользователей для использования в последующих фишинговых кампаниях и мошеннических схемах.

Мошенники активно используют актуальные события и социально значимые темы для нечестного заработка. Текущая ситуация — не исключение. Рекомендуется не поддаваться панике, использовать только проверенные источники информации и не доверять незнакомым личностям и сообщениям от неизвестных адресатов.

Отдельно стоит отметить, что согласно российскому законодательству рассылка повесток через Госуслуги не предусмотрена. Для уменьшения риска попасться на удочку мошенников следует сохранять спокойствие и доверять только подтвержденной информации.

Мошенники обманом заставляют клиентов настроить переадресацию SMS для доступа в их онлайн-банк

Зафиксирован очередной сценарий телефонного мошенничества с применением методов социальной инженерии. Под видом сотрудников мобильных операторов мошенники заставляют клиента настроить переадресацию SMS, чтобы потом получить доступ в онлайн-банк. Об этом TAdviser сообщили представители ВТБ 28 июня 2022 года.

Россиян начали обманывать через переадресацию SMS
Фото: krsk.aif.ru

Согласно собранной банком информации, мошенники обзванивают клиентов под видом службы поддержки сотовых операторов и сообщают якобы о взломе личного кабинета абонента или телефона. Для «предотвращения» распространения личных данных злоумышленники просят набрать на телефоне специальную USSD-команду, состоящую из комбинации цифр и символов, которая вводится при звонке, и номера телефона. Таким образом абонент самостоятельно меняет настройки своей SIM-карты и устанавливает переадресацию SMS и звонков на номер мошенника.

Затем абоненту снова могут позвонить и сообщить об устранении проблемы со взломом, а в реальности злоумышленники получают коды из сообщений и могут похитить деньги со счетов в банке, получив доступ в личный кабинет банка.

Защититься от подобного мошенничества поможет установка на смартфон определителя номера, который позволит отличить настоящий звонок от мошеннического или не отвечать на звонки от незнакомых номеров. Кроме того, рекомендуется проявлять бдительность и при малейшем сомнении прекращать разговор, который кажется подозрительным.

В ВТБ считают, что клиенты российских банков нуждаются в дополнительной защите, и призывает ввести более строгие нормативные ограничения и контроль звонков с виртуальных подменных номеров. Для более эффективной борьбы с телефонными мошенниками, по мнению банка, нужно обеспечить идентификацию конечного владельца номера, чтобы при необходимости у правоохранительных органов была возможность предъявить денежные претензии конкретному физическому или юридическому лицу.

2021

Типы онлайн-мошенничеств, связанных с пандемией COVID-19

27 июля 2021 года компания Group-IB, один из разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети, проанализировала основные типы онлайн-мошенничеств, связанных с пандемией COVID-19. По данным на начало июля 2021 года, антирейтинг возглавила продажа фейковых сертификатов о вакцинации, на втором месте — поддельные результаты ПЦР-тестов и тестов на антитела, на третьем — оказались недавно отмененные QR-коды для посещения ресторанов и кафе.

Наиболее распространенным видом мошенничества стали предложения о продаже сертификатов о вакцинации — они массово публикуются на теневых форумах, в Telegram-каналах и соцсетях.

Как правило злоумышленники продают сертификат с внесением заказчика в реестр вакцинированных от коронавируса, обещая, что информация о вакцинации будет отображаться на госпортале.

Стоимость справки с внесением в реестр вакцинированных варьируется от 3 000 до 30 000 рублей и изготавливаются около 3-х недель. Справки попроще — без внесения в реестр — стоят от 1 000 до 4 900 рублей и ее делают в среднем за один день. Готовый «сертификат» покупателю обещают прислать курьером или заказным письмом.

Продавцы «липовых» сертификатов утверждают, что они сотрудничают с частными и государственными медицинскими учреждениями, которые проставляют все необходимые записи и печати, а также заносят данные в систему о `сделанной прививке`, чтобы потом информация отображалась на госпортале.

Так же в сети можно встретить предложения по внесению информации о вакцинации на госпортал без приобретения самого сертификата. Эксперты Group-IB обнаружили несколько телеграм-каналов по предоставлению такой услуги стоимостью от 1 100 до 4 999 рублей.

Специалисты Digital Risk Protection Group-IB предупреждают пользователей Рунета, что большинство подобных объявлений — откровенное мошенничество. Риск в том, что, заплатив за услугу, жертва не получит сертификат, но при этом передаст в руки аферистов свои персональные данные (серию и номер паспорта с ФИО и датой рождения, СНИЛС или даже логин и пароль от госпортала), которые могут быть использованы в дальнейших мошеннических схемах, например, для получения кредита. Помимо самой суммы платежа за справку пользователь также может потерять все деньги со своего банковского счета, оставив данные карты злоумышленнику на фишинговом сайте.

На втором месте по числу обнаруженных объявлений в сети находятся предложения о продаже готовых ПЦР-тестов и тестов на антитела. Как и в случае с продажей сертификатов о вакцинации, большая часть предложений распространяется на теневых форумах и в Telegram-каналах, хотя подобные объявления можно найти на обычных сайтах и в социальных сетях.

В большинстве продаются готовые ПЦР-тесты с отрицательным результатом, однако зафиксированы и единичные предложения купить тест с положительным результатом, свидетельствующим о том, что у человека якобы обнаружена коронавирусная инфекция. Купить справку предлагают как на бланке частного, так и государственного медучреждения. Стоимость такого документа составляет от 500 до 4 000 рублей. За дополнительную плату клиенту обещают внесение записей о результате теста в базу данных медицинского учреждения.

С 28 июня 2021 года для посещения ресторанов и кафе москвичам, согласно указу мэра Москвы, было необходимо иметь специальный QR-код, который генерируется через госпортал. Инициатива не просуществовала и месяца и была отменена 19 июля. Однако за это время мошенники успели подзаработать на любителях заведений общепита. Специалистами DRP Group-IB были обнаружены десятки телеграм-каналов и несколько публикаций на теневом форуме с предложениями приобрести поддельный QR-код.

Стоимость покупки фейкового QR-кода составляла от 999 до 3 000 рублей. Такой QR-код направляет на поддельный сайт госпортала с данными о покупателе и информацией о якобы наличии сертификата вакцинации от коронавируса.

Любопытно, что мошенники «идут на встречу» даже тем, кто не хочет по каким-то причинам делать прививку, и предлагают приобрести медотвод. В сети обнаружены десятки подобных предложений, большая часть которых распространяется в Telegram и на сайтах. Стоимость «документа» — от 800 до 3 000 рублей, доставку медотвода обещают уже в день заказа.

«
Пандемия, вакцинация и жесткие карантинные меры стали для онлайн-мошенников благодатной почвой для создания схем — они умело манипулируют жертвами, используя их страхи, предрассудки, а порой и откровенное невежество, — замечает Андрей Бусаргин, заместитель генерального директора Group-IB по направлению Digital Risk Protection. — Весной и летом 2020 года, во время карантинных мер, специалисты DRP Group-IB выявили мошенническую схему по продаже поддельных пропусков. Тогда было обнаружено и заблокировано около 200 предложений. На июль 2021 года в Рунете существует не менее 5 мошеннических схем, эксплуатирующих ковидную повестку, и сотни объявлений, интернет-ресурсов, каналов и групп в соцсетях, где публикуются объявления о незаконных услугах.
»

Эксперты Group-IB Digital Risk Protection напомнили, что подделка официальных документов, их приобретение, а также использование заведомо подложных документов, в том числе сертификатов о вакцинации, QR-кодов для посещения заведений общественного питания и массовых мероприятий, относится к уголовному преступлению — ст. 327 УК РФ.

Игра на чувствах: как кибермошенники применяют социальную инженерию

В июне 2021 года о фишинговых атаках рассказала Анна Михайлова. Такие атаки являются основным механизмом для мошеннических финансовых операций. Они весьма успешны, поскольку основаны на особенностях принятия решений людьми. Секрет заключается в свойствах психологии человека, которыми пользуются злоумышленники. Подробнее здесь.

Почему социальная инженерия остается главным оружием киберпреступников

23 марта 2021 года в компании Fortinet рассказали, почему социальная инженерия остается главным оружием киберпреступников.

По мнению Амира Лахани, старшего стратега по информационной безопасности, FortiGuard Labs, Fortinet, хотя 2020 год уже прошел, многие из прошлогодних проблем кибермошенничества сохранятся как минимум до середины 2021 года. Киберпреступники сосредоточатся на максимизации своей прибыли, используя традиционный анализ затрат и выгод, чтобы выбрать лучший вектор атаки. Эмоции, связанные с пандемией, вероятно, накалятся, и удаленная работа продолжится, поскольку компании примут «новую реальность». Для киберпреступников эти тенденции только увеличивают рентабельность инвестиций во вредоносы и мошеннические программы. Чтобы защитить себя бдительность и свои конфиденциальные данные от этих методов атак, бизнес должен сохранять бдительность.

В целом, по словам эксперта Fortinet, атаки с использованием социальной инженерии – высокоэффективная и недорогая методика. Концептуально киберпреступники преследуют цели, аналогичные целям легального бизнеса – они стремятся получить максимальную прибыль при одновременном сокращении операционных расходов. А благодаря множеству вариантов вредоносного ПО, распространяемого как услуга, «as-a-Service» (программное обеспечение как услуга), доступного в Dark Web, атаки с использованием социальной инженерии идеально подходят для достижения этих целей.

Успешные атаки, в основе которых лежат методы социальной инженерии, направлены против базовых эмоциональных реакций людей, таких как «бей или беги». Когда человека переполняют такие чувства, как страх или сочувствие, он часто может принимать необдуманные решения. В начале пандемии киберпреступники использовали эти эмоции для проведения успешных фишинговых атак.

«
Люди отчаянно нуждались в информации, но, не осознавая того, подвели своих цифровых охранников: это привело к увеличению прибыли киберпреступников. По мере того, как страны начинают предлагать все больше возможностей для вакцинации, те же самые эмоции сделают аферы с использованием социальной инженерией еще более прибыльными. С таким желанием вернуться к «нормальной» жизни, люди становятся все более доверчивыми. Это желание делает более выгодными атаки социальной инженерии, фокусирующиеся на теме вакцинации. Только после того, как информация насчет вакцинации станет более конкретной и доступной, субъекты, представляющие угрозу, увидят, что жизнеспособность этих мошеннических действий снижается с точки зрения соотношения затрат и выгод, – пояснил Амир Лахани, старший стратег по информационной безопасности, FortiGuard Labs.
»

По оценкам Fortinet, с точки зрения ИТ-безопасности бизнеса, начало 2021 года до сих пор имеет хорошие шансы быть похожим на начало прошлого года. Например, прошлогоднее исследование Global Threat Landscape Report команды FortiGuard Labs обнаружило, что различные варианты фишингового мошенничества с использованием веб-технологий твердо обосновались на вершине списка вредоносных методологий, и лишь в июле данные походы вышли из пятерки наиболее популярных. Таким образом, в первые месяцы пандемии киберпреступники сосредоточились в основном на атаках социальной инженерии.

Удаленная и гибридная работа делают spear phishing (метод, при котором киберпреступники используют целевую технику, чтобы обмануть жертву и заставить её поверить в то, что она получила законное письмо от известного лица с просьбой предоставить свою информацию) и whale phishing (форма фишинга, направленная на высшее руководство в определенных компаниях для получения доступа к их учетным данным и/или банковским сведениям) особенно привлекательными для киберпреступников. В то время как компрометация деловой почты является стандартным вектором атак, модель распределенной рабочей силы повышает эффективность этих видов атак, отметил эксперт Fortinet.

Как правило, такие методы атак предлагают киберпреступникам модель высокого вознаграждения. Поражая более заметные цели в организации, они могут получать лучший результат затрачивая меньше ресурсов. Так, вместо того чтобы поразить 1000 жертв с меньшим вознаграждением, киберпреступники предпочитают с помощью шантажа и вымогательства нацеливаться на высокоприоритетных лиц, зная, что они могут уйти с большей выгодой.

Успешная атака типа whale phishing или spear phishing дает киберпреступникам возможность пассивно следить за важными сделками. Применение подхода «сверху вниз» позволяет злоумышленникам перенаправлять средства или платежи, что, с точки зрения стоимостной модели, является дешевым и высокодоходным вектором атаки. До тех пор, пока люди будут работать удаленно, корпоративная электронная почта будет продолжать приносить киберпреступникам пользу. Это связано с тем, что невозможность физического присутствия человека по своей природе увеличивает вероятность успешного цифрового мошенничества.

Год за годом киберпреступники размышляют над тем, как воспользоваться праздниками. Люди любят праздники и ожидают писем со скидками или специальными предложениями. Эти методы атаки, скорее всего, будут развиваться так же, как и всегда. Однако организации и отдельные лица должны помнить, что злоумышленники часто используют многовекторный подход к атакам, редко используя один вектор, так как покрытие большей площади цифровой поверхности увеличивает прибыльность.

Поскольку люди самоизолируются, киберпреступления становятся все более личными. В сочетании с типичным мошенничеством с использованием социальной инженерии для через электронную почту, киберпреступники нацеливаются на учетные записи в социальных сетях, в частности, на приложения для знакомств в интернете. Злоумышленники извлекают выгоду из стремления людей к эмоциональной связи в физически разобщенное время. Проводя кампании по электронной почте в сочетании с мошенничеством с романтическими приложениями для знакомств, злоумышленники получают желанный куш.

В то же время, киберпреступники постоянно ищут легких денег – пытаясь найти наиболее уязвимую, высокодоходную цель. В 2021 году ни одна из целей не соответствует этой цели лучше, чем цепочка поставок вакцин.

«
Цепочка поставок вакцин состоит не только из исследователей, создающих вакцины. В действительности, для массового распространения требуется сложный, взаимосвязанный набор поставщиков. Нападение на любой из этих элементов может привести к значительным сбоям в производстве и распространении вакцин. Правительствам, частным компаниям и гражданам необходимо, чтобы процесс распределения вакцин протекал как можно более гладко, с тем чтобы они могли работать над восстановлением экономики. Разрушение слабого звена в цепочке поставок может привести к росту стоимости и снижению окупаемости инвестиций, – пояснили в Fortinet.
»

Исследователи в области безопасности, такие как команда FortiGuard Labs, сосредоточены на изучении того, как работают экосистемы киберпреступников, с целью того чтобы понять, как свести вредоносную деятельность на нет. В то время как киберпреступники смотрят на атаки с точки зрения затрат, исследователи в области безопасности используют модель нарушения нормальной работы.

Цепочка поставок киберпреступлений, подобно традиционной корпоративной, состоит из взаимосвязанного набора сторонних третьих лиц, только в данном случае в Dark Web. Она охватывает том числе разработчиков, производителей и дистрибьюторов преступного ПО. Один единственный сбой в этой преступной цепочке поставок может уменьшить количество атак, замедляя работу киберпреступников.

«
Цели киберпреступников включают шантаж, эксплуатацию и получение прибыли. Помня об этом, службы безопасности должны отреагировать соответствующим образом. Но хотя понимание намерений киберпреступников имеет решающее значение, это только полдела. Помимо того, что компании должны знать, что происходит вокруг них, они также должны защищать себя от мошенничества с помощью решений, которые нарушают работу преступников и побеждают злоумышленников в их собственной игре, – заключил Амир Лахани, старший стратег по информационной безопасности, FortiGuard Labs.
»

2020

Новая схема мошенничества с Telegram-каналами

25 ноября 2020 года Роскачество рассказало о новой схеме мошенничества в Telegram. Она заключается в том, что злоумышленники обращаются к администраторам каналов в мессенджере под видом переговоров о размещении рекламы. Затем предлагают скачать архивный файл с «презентацией» продукта, рекламу которого они хотят оплатить. Архив содержит вирус, которая и передаёт данные и управление аккаунтом хакерам. Подробнее здесь.

Fortinet: Как киберпреступники применяют социальную инженерию во времена пандемии

30 апреля 2020 года компания Fortinet сообщила о том, что в связи со сложившейся ситуацией, вызванной коронавирусом, люди по всему миру испытывают чувства тревожности и неуверенности, и этим не брезгуют пользоваться преступники. Они воспринимают это положение как возможность для кражи денег или личной информации путем создания мошеннических схем с использованием приемов социальной инженерии, распространяя их по электронной почте, через текстовые сообщения и телефонные звонки.

Fortinet рассказала, как обезопасить себя от киберпреступников во времена пандемии. Фото: stakhanovets.ru.

За последние несколько недель участились попытки заманивания ничего не подозревающих жертв на зараженные веб-сайты, провоцирования перехода по вредоносным ссылкам или предоставления личной информации по телефону. И все это происходит в контексте пандемии. Многие злоумышленники пытаются выдать себя за представителей легитимных организаций, таких как Министерство здравоохранения или Всемирная организация здравоохранения (ВОЗ), предоставляя недостоверную информацию и даже обещания доступа к вакцинам – все это за деньги, конечно.

Более того, никто не застрахован от подобных атак – от административных сотрудников, подрядчиков и стажеров до топ-менеджеров. Даже деловые партнеры могут использоваться для получения конфиденциальной информации и доступа к сетям. Даже дети тех, кто на апрель 2020 года подключаются к рабочей сети через домашнюю, могут быть потенциальными целями. Это непрекращающаяся бомбардировка, каждую минуту каждого дня, 24/7/365.

Мошенники предпочитают путь наименьшего сопротивления. Они взламывают психологию объектов атаки (которые редко понимают кто с ними связывается на самом деле), а также полагаются на общедоступные данные для создания профилей жертв. Киберпреступники являются экспертами в искусстве маскировки, манипулирования, воздействия и создания приманок для обмана людей, с целью подтолкнуть их к разглашению конфиденциальных данных и/или предоставлению доступа к сетям и/или объектам.

Когда речь идет о сдерживании, понимание основных векторов атаки, используемых злоумышленниками, является ключевым. Fortinet выделяет следующие варианты атак с использованием социальной инженерии.

Цифровые атаки:

  • Фишинг/Spearphishing – атаки на базе электронной почты, направленные на конкретного человека или всю организацию в целом, с целью побудить людей переходить по вредоносным ссылкам или предоставлять свои учетные данные/другую личную информацию.
  • Обман в социальных сетях – злоумышленники создают поддельные профили, чтобы подружиться с жертвами, выдавая себя за нынешнего или бывшего сотрудника, рекрутера или кого-то со схожими интересами, особенно это касается LinkedIn. Их цель состоит в том, чтобы обмануть жертву и вынудить ее предоставить конфиденциальную информацию/загрузить вредоносное ПО на свое устройство.
  • Просьбы под предлогом – киберпреступники фокусируются на подготовке хорошего предлога или правдоподобной истории, чтобы убедить жертву в необходимости предоставления определенной информации.
  • WaterHoling – стратегия атаки, при которой злоумышленники собирают информацию о посещениях легитимных веб-сайтов среди целевой группы лиц в определенной организации, отрасли или регионе. Затем они ищут уязвимости на этих ресурсах и заражают их вредоносным ПО. В конце концов, люди из целевой группы посетят эти веб-сайты, а затем заразятся.

Атаки с использованием телефона:

  • Smishing – атака с использованием текстовых сообщений, якобы от надежного отправителя. Используется для того, чтобы жертва загрузила в свое устройство вирус или другую вредоносную программу.
  • Vishing – атака, при которой злоумышленник звонит на мобильный телефон, притворяясь представителем какой-либо легитимной организации, например, банка, с целью «выудить» конфиденциальную информацию (данные банковской карты и тд.). Здесь тактика заключается в подделке идентификатора вызывающего абонента. Это позволяет обставить все так, будто звонок поступил из надежного источника.

95% всех нарушений безопасности объясняются человеческим фактором. Вот почему крайне важно, чтобы пользователи стали первой линией защиты, а для этого необходимо несколько углубить знания в области кибербезопасности.

Эксперты Fortinet рекомендуют следующие меры для защиты личной и служебной информации:

  • С подозрением относиться к любому электронному письму или текстовому сообщению, в котором запрашивается конфиденциальная информация или финансовые транзакции.
  • Наводить курсор и просматривать все гиперссылки до нажатия, чтобы убедиться, что они ведут на легитимные ресурсы.
  • Использовать многофакторную аутентификацию для получения безопасного доступа к важным системам и базам данных.
  • Убедиться, что на защитных средствах браузера, мобильных устройств и компьютера установлены все актуальные обновления.
  • Никогда не использовать одинаковые пароли для нескольких учетных записей и устройств. Уникальность и сложность пароля имеют первостепенное значение для защиты от дополнительного риска.

Необходимо помнить о использовать кибер-дистанцировании от злоумышленников. Держать кибер-дистанцию, избегая подозрительных запросов и контактов.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT