Търсене
Close this search box.

Защо социалното инженерство е такъв проблем и как бизнесът ви може да се защити

Хакерите непрекъснато разнообразяват техниките си за социално инженерство, за да се възползват от човешката грешка, но лидерите могат да дадат отпор с нови технологии и целенасочено обучение.

Човешката грешка често се посочва като извинителна причина за проблеми, създадени извън контрола на компанията. Но какво се случва, когато грешка на служител – подведен от престъпници да разкрие чувствителна информация – причини сериозен пробив в сигурността на бизнеса?

Експертите признават, че социалният инженеринг в целия пейзаж на заплахите е във възход. Това е все по-популярна тактика, при която нападателите пробиват защитата на киберсигурността на организацията, като се възползват от това, че служителят не забелязва, че е измамен.

Социалният инженеринг може да приеме много форми, включително:

  • фишинг – често под формата на имейли, които се представят за истински, но съдържат зловредни връзки, върху които може да се кликне.
  • Вишинг – гласови обаждания, които се правят, за да се подмамят хората да разкрият пароли или информация за сигурността, понякога наричани телефонно ориентирана атака (TOAD).
  • Smishing – опит за фишинг, направен чрез SMS съобщение.
  • Whaling (китолов) – опит за използване на истински изглеждащо електронно писмо, което кара висш ръководител да предприеме конкретно действие, например прехвърляне на средства.

Проблемът е изложен в доклада на Proofpoint „Гласът на CISO за 2023 г.“. Той установи, че повече от три четвърти (78%) от CISO в Обединеното кралство разглеждат човешките грешки като най-голямата кибер уязвимост на тяхната организация, в сравнение с 65% през 2022 г.

„В някаква степен всеки е уязвим към всички форми на социално инженерство“, казва Теа Маникс, директор проучвания в Praxis Security Labs. „Най-успешните атаки на социалното инженерство са много сложни и изискват човек да бъде много бдителен и внимателен в момента на атаката, за да открие нещо нередно.

„Не можем да обръщаме внимание на всичко през цялото време, това е против самата ни биология, така че е неизбежно на определен етап да възникнат подходящи обстоятелства и хората да правят грешки.“

Маникс, който има докторска степен по неврология, предполага, че не е възможно хората да бъдат напълно имунизирани срещу кибер измами, но че в най-добрия случай лидерите могат да подобрят защитата си.

Тя добавя: „Повечето организации влагат всичките си ресурси, за да избегнат атака, и отделят много малко средства за смекчаване и планиране на въздействието на атаката.“

Изграждане на по-реалистичен тон

Според проучване на Egress за неговия Доклад за тенденциите при фишинг заплахите през 2023 г. една пета (19%) от фишинг имейлите разчитат единствено на социален инженеринг, в сравнение с малко под 7% през 2021 г.

Джеймс Дайър, ръководител на отдела за разузнаване на заплахите в компанията, обяснява, че социалното инженерство и фишингът са се комбинирали, за да формират най-сложната заплаха за бизнеса досега.

„Отминаха дните на граматически съмнителните фишинг атаки; социалното инженерство, с помощта на чатбот, може да имитира тона на гласа и да разпръсква персонализирани забележки, изстъргани от социалните медии, за да се представя ефективно… и изключително бързо.“

Затова не е чудно, че Ренске Галема, вицепрезидент за Северна Европа в CyberArk, предупреждава, че образованието е от решаващо значение. Тя изтъква неотдавнашния доклад на компанията Threat Landscape, който показва как лидерите в областта на сигурността са определили обучението за повишаване на осведомеността за сигурността като един от трите най-ефективни компонента на стратегията за защита в дълбочина.

„Обучението на служителите за реалните последици от рисковото поведение е от ключово значение за подобряване на сигурността“, съветва тя. „Методите, фокусирани върху екипното сътрудничество за решаване на проблеми, вместо върху засрамването на отделни лица, които се провалят, също ще допринесат много за насърчаване на манталитета на екипната игра за по-добра сигурност.

„Ръководителите от C-Suite са тези, които отговарят за прилагането на стратегия за сигурност, основана на образование, осведоменост и сътрудничество. Тяхната роля е да гарантират, че подходът към сигурността на компанията не е свързан с обвинения, а с обучение на служителите как бързо да откриват и спират атаки.“

Социалноинженерните атаки имат много крайни цели. Те могат да целят спечелване на човешкото доверие и да го използват за неволно инсталиране на зловреден софтуер, който може да открадне чувствителна финансова информация и данни за клиенти, или може да използват атака за влизане в система, за да я изведат от мрежата; тогава целта е да се изнуди компанията да плати откуп, за да работи отново правилно.

Сред отраслите, които често са обект на атаки, са правото, публичният сектор и здравеопазването, както и националните комунални услуги. Кели Индах, анализатор по сигурността в Increditools, добавя: „Виждала съм как организациите понякога подценяват този риск. Обикновено хората са по-съобразителни по отношение на финансовия фишинг, но не са толкова наясно с манипулациите, свързани с работата.

„Социалният инженеринг вероятно ще остане широко разпространен, освен ако мерките за противодействие не се развиват успоредно с методите за манипулиране. Съответствието и ясните политики също трябва да се материализират като нещо повече от думи. Като възприемем подходи, основани на доказателства, всички ние можем да работим за затваряне на уязвимостите и да лишим нападателите от твърде честите им победи чрез човешка измама.“

Новите вектори включват QR кодове и PDF файлове

Експертите предупреждават, че нарастващата наличност на инструменти с изкуствен интелект ще засили нова вълна от атаки със социален инженеринг. Хедър Хинтън, главен служител по информационна сигурност в PagerDuty, смята, че това ще влоши проблема „през следващите години“, защото става „по-лесно и евтино за създаване“.

„Това ще даде възможност за сложни атаки срещу служители на по-ниско ниво, особено тези, които изпълняват помощни функции“, предполага Хинтън. „Ще продължим да виждаме сложни атаки със социален инженеринг чрез тези лица, за да се насочат към клиентите на техния работодател.“

Тя добавя, че технологията трябва да се внедрява като положителна, като киберсигурността с изкуствен интелект се използва като мярка за противодействие на атаките, водени от изкуствен интелект.

„Автоматизацията в рамките на управлението на цифровите операции променя правилата на играта, тъй като подпомага лицата, реагиращи на инциденти, в бързото вземане на правилното решение под натиск. Правилните инструменти могат да революционизират процесите по сигурността и да намалят човешките грешки по време на инциденти“, обяснява Хинтън.

„За да се намалят човешките грешки, крайната точка става водеща и централна като техническа точка за контрол. Предприятията ще подновят интереса си и внедряването на сигурни крайни точки, включително блокиране на крайни точки, сигурна конфигурация и управление на излагането на данни.“

Последиците от социалния инженеринг не се свеждат само до набезите върху крайния резултат на компанията – те имат и лични последствия. В доклада за риска за сигурността на електронната поща на Egress изследователите установиха, че след като прахът се е уталожил от инцидент с входяща електронна поща, почти три четвърти (74%) от замесените служители са били дисциплинарно наказани, уволнени или са напуснали по собствено желание.

Заплахите също подобряват тактиката си. Новите версии на социалния инженеринг включват фалшиви QR кодове, като се възползват от все по-обичайната практика потребителите да ги сканират, за да получат достъп до уебсайт или портал за плащане. PDF файловете също са друг по-често срещан вектор.

Атакуващите също така изпращат имейли, предназначени да имитират истински главни изпълнителни директори или мениджъри, с цел да заблудят служителите, че искането е официално. Това е т.нар. претекст, при който се създава фалшив сценарий, като може да включва и съобщения, представящи се за такива от полицията или от обикновени колеги.

За да се преборят с това, някои ИТ отдели се опитват да изпреварят проблема, като изпращат на служителите си съобщения в стил социално инженерство и след това проверяват кой се е поддал на тях. Ако не се справят с рисковете, това може да доведе до глоби или дори до съдебни дела в случай на нарушение.

Кевин Кърран, старши член на IEEE и професор по киберсигурност в университета в Ълстър, смята, че предвид факта, че атаките на социалното инженерство обикновено използват човешката психология, единственият начин за справяне с проблема е чрез непрекъснато обучение на служителите и такива имитиращи атаки.

„За съжаление, само малцина ще се вслушат и ще се научат“, признава Кърран „Обикновено е необходимо хората да направят грешка, преди да се научат, но това може да е твърде късно“.

 

Източник: itpro.co.uk

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
Бъдете социални
Още по темата
09/04/2024

(Пре)откриване на скритата ...

Съвременното нулево доверие е модел за...
08/04/2024

Атаки срещу слаба автентифи...

Кибератаките срещу големи компании заемат челно...
05/04/2024

(Пре)оценка на достъпа до р...

Една от многото трудности, с които...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!