Co to jest Pretexting?
Definicja Pretexting
Pretekstowanie to rodzaj inżynierii społecznej, w ramach której atakujący tworzą fabryczny scenariusz, czyli „pretekst”, aby manipulować osobami fizycznymi w celu ujawnienia wrażliwych informacji. W odróżnieniu od tradycyjnych metod hakerskich wykorzystujących luki w zabezpieczeniach systemu, pretekstowanie jest ukierunkowane na ludzkie luki w zabezpieczeniach, wykorzystując oszustwo do wyodrębniania wrażliwych informacji.
Zrozumienie kontekstu wstępnego: Taktyka socjotechniczna
Czy kiedykolwiek zadzwonił do Ciebie ktoś z działu „wsparcia technicznego” w sprawie problemu wymagającego natychmiastowej uwagi? Może osoba dzwoniąca zacznie prosić o dane osobowe lub dane konta, aby natychmiast zająć się problemem. Ten scenariusz podsumowuje metodę inżynierii społecznej znaną jako pretekstowanie.
Przeważnie przez telefon pretekstowanie polega na stworzeniu sytuacji, która przekona cel do ujawnienia osobistych lub cennych informacji. Oszust udaje, że jest osobą legalną lub znajomą, aby klient poczuł się komfortowo — agentem obsługi klienta z dostawcy usług internetowych, współpracownikiem z innego oddziału lub biura lub pracownikiem działu pomocy technicznej firmy. Przestępcy czasami wcześniej analizują informacje na temat celu, aby oszust wydawał się bardziej wiarygodny.
Problem polega na tym, że należy odróżnić oszusta od prawdziwego rozmówcy. Ogólnie rzecz biorąc, jeśli otrzymasz niechciany telefon, a dzwoniący zacznie prosić o dane osobowe (numer ubezpieczenia społecznego, pytania zabezpieczające konto), należy sprawdzić, czy dzwoniący jest autentyczny. Rozłącz się i zadzwoń do samej firmy, aby potwierdzić, czy rzeczywiście istnieje problem.
Jak działa pretekstowanie: Przerwa krok po kroku
- Badanie celu – hakerzy przeprowadzają szeroko zakrojone badania z wykorzystaniem zasobów, takich jak analiza open source (OSINT), media społecznościowe lub wcześniejsze naruszenia bezpieczeństwa danych w celu zebrania danych osobowych lub firmowych.
- Podszywanie się pod inną osobę – atakujący zakładają tożsamość zaufanego podmiotu, takiego jak personel IT, dyrektor generalny lub funkcjonariusz organów ścigania. Wykorzystując autorytet, tworzą poczucie legalności, co zwiększa prawdopodobieństwo przestrzegania przepisów przez ofiary.
- Spoofing – Aby zwiększyć wiarygodność, atakujący wykorzystują fałszowanie wiadomości e-mail, fałszowanie identyfikatorów rozmówców lub fałszywe profile online. Technologia Deepfake i generowane przez sztuczną inteligencję głosy dodatkowo utrudniają wykrywanie.
- Zdobywanie zaufania firmy Target — dzięki manipulacjom psychologicznym atakujący budują wiarygodność i redukują podejrzenia.
- Wyodrębnianie informacji wrażliwych – ofiara nieświadomie podaje poufne informacje, wierząc, że współpracuje z legalnym podmiotem.
- Wykorzystywanie uzyskanych danych – skradzione informacje są wykorzystywane do kradzieży tożsamości, oszustw finansowych, szpiegostwa korporacyjnego lub innych cyberataków.
Typowe przykłady ataków pretekstujących
Vishing
Vishing Voice Vishing to rodzaj ataku socjotechnicznego, w ramach którego atakujący wykorzystują rozmowy telefoniczne lub komunikację głosową, aby nakłonić kogoś do ujawnienia wrażliwych informacji, takich jak dane konta bankowego, dane logowania lub dane osobowe (PII).
Phishing
Phishing to rodzaj cyberataku, w ramach którego cyberprzestępcy wykorzystują fałszywe wiadomości e-mail lub wiadomości, aby nakłonić osoby do ujawnienia wrażliwych informacji. Te wiadomości e-mail lub wiadomości zawierają złośliwe łącza, które mogą wykraść prywatne informacje użytkownika. Ataki phishingowe są najskuteczniejsze, gdy użytkownicy nie wiedzą, że tak się dzieje.
Rysunek 1. Łańcuch ataków phishingowych wywołanych przez Heatstroke'a; należy pamiętać, że łańcuch infekcji może się zmieniać w zależności od właściwości użytkownika/zachowania
Tailgacja
Atak typu tailgating w cyberbezpieczeństwie to fizyczne naruszenie bezpieczeństwa, w ramach którego osoba nieupoważniona uzyskuje fizyczny dostęp do obszaru o ograniczonym dostępie poprzez ścisłą obserwację upoważnionej osoby. Atakujący mogą podszywać się pod nowych pracowników, kierowców kurierów lub konserwatorów, aby oszukać autoryzowanych pracowników.
Przynęcie
Baiting odnosi się do działania cyberprzestępców zachęcających ofiary do interakcji z zaatakowanymi urządzeniami fizycznymi lub zasobami cyfrowymi. Atakujący będą używać pretekstu, aby przynęta była bardziej atrakcyjna dla ofiary, oznaczając dysk USB wprowadzającą w błąd nazwą, taką jak „Poufne” lub „Wynagrodzenie pracownika” w środowiskach korporacyjnych, aby zachęcić ofiary do jego podłączenia.
Oszustwa romantyczne
Romance Scam to taktyka socjotechniczna, w ramach której atakujący korzysta z fałszywych mediów społecznościowych lub profili randkowych, aby szukać nieświadomych ofiar i budować z nimi relacje uczuciowe. Atakujący może potrzebować tygodni lub miesięcy, aby zdobyć pewność siebie ofiary, ale po osiągnięciu tego celu poprosi o duże sumy pieniędzy na fałszywą sytuację awaryjną lub prezenty.
Oszustwa związane ze scareware
Scareware to rodzaj oszustwa socjotechnicznego, które obejmuje zastraszanie ofiar fałszywymi alarmami i zagrożeniami. Użytkownicy mogą zostać oszukiwani, aby myśleć, że ich system jest zainfekowany złośliwym oprogramowaniem. Następnie będą zachęcani do odwiedzania złośliwych witryn internetowych w celu pobrania poprawki, ale zamiast tego pobierają złośliwe oprogramowanie lub ujawniają wrażliwe informacje, takie jak dane karty.
Pretekstowanie a phishing: Jaka jest różnica?
Oba są taktykami socjotechnicznymi, ale pretekstowanie obejmuje bezpośrednią, spersonalizowaną interakcję i wprowadzenie w błąd, podczas gdy phishing zazwyczaj wykorzystuje masowe wiadomości e-mail ze złośliwymi łączami. Jednak cyberprzestępcy często łączą obie metody w wielowarstwowych atakach.
Jak zapobiegać atakom pretekstującym
DMARC (domenowe uwierzytelnianie wiadomości, raportowanie i zgodność)
DMARC to protokół uwierzytelniania wiadomości e-mail, który pomaga zapobiegać fałszowaniu wiadomości poprzez weryfikację autentyczności nadawców wiadomości e-mail. DMARC współpracuje z SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) w celu zapewnienia uwierzytelniania i integralności wiadomości e-mail.
- SPF (Sender Policy Framework): Zapewnia, że tylko autoryzowane serwery poczty e-mail mogą wysyłać wiadomości w imieniu domeny organizacji.
- DKIM (DomainKeys Identified Mail): Wykorzystuje sygnatury kryptograficzne do weryfikacji, czy wiadomości e-mail nie zostały zmienione w trakcie przesyłania.
- Egzekwowanie polityki DMARC: Organizacje mogą ustalać zasady (brak, kwarantanna lub odrzucanie), aby dyktować sposób obsługi wiadomości e-mail nieudanych podczas uwierzytelniania. Ścisła polityka DMARC może znacznie zmniejszyć prawdopodobieństwo atakującego korzystającego z fałszowania domen do pretekstowania ataków.
Praktyki szkoleniowe i weryfikacyjne dotyczące świadomości w zakresie bezpieczeństwa
Regularne szkolenia z zakresu cyberbezpieczeństwa w celu edukowania pracowników w zakresie identyfikowania oszustw i reagowania na nie, mogą pomóc chronić Twoją firmę. Organizacje powinny podkreślać:
- Identyfikowanie podejrzanych próśb i weryfikowanie ich legalności.
- Kontaktowanie się z wnioskodawcą za pośrednictwem oficjalnych kanałów przed udostępnieniem wrażliwych danych lub autoryzacją transakcji finansowych.
- Rozpoznawanie psychologicznych technik manipulacji stosowanych w atakach pretekstujących.
Uwierzytelnianie wieloskładnikowe (MFA)
MFA dodaje dodatkową warstwę zabezpieczeń, wymagając wielu czynników uwierzytelniania, takich jak jednorazowy kod dostępu lub weryfikacja biometryczna, aby uzyskać dostęp do kont. Znacznie zmniejsza to ryzyko niewłaściwego wykorzystania skradzionych danych uwierzytelniających.
Zgłaszanie podejrzanych działań
Organizacje powinny zachęcać pracowników do zgłaszania wszelkich podejrzanych połączeń, wiadomości e-mail lub wiadomości zespołowi ds. bezpieczeństwa IT w celu przeprowadzenia dalszych czynności wyjaśniających. Proaktywny mechanizm raportowania pomaga organizacjom wykrywać potencjalne zagrożenia i reagować na nie przed ich eskalacją.