ترفندهای مهندسی اجتماعی

مهندسی اجتماعی در کانون توجه: از ترفندهای کلاسیک تا روندهای جدید.

در پست امروز، ما در مورد برخی از ترفندهای مهندسی اجتماعی که معمولاً توسط مجرمان سایبری برای حمله به شرکت ها استفاده می شود صحبت می کنیم. در حال ظهور: انواع مختلفی از یک کلاهبرداری شامل تماس ها و ایمیل های پشتیبانی فنی جعلی. حملات به خطر انداختن ایمیل تجاری؛ درخواست داده‌ها از سازمان‌های مجری قانون جعلی…

سلام، من از پشتیبانی فنی هستم

یک طرح کلاسیک مهندسی اجتماعی، تماسی است با یک کارمند شرکت از طرف «پشتیبانی فنی». برای مثال، هکرها ممکن است در تعطیلات آخر هفته تماس بگیرند و چیزی شبیه این بگویند: «سلام، این خدمات پشتیبانی فنی شرکت شما است. ما فعالیت عجیبی را در رایانه کاری شما شناسایی کرده‌ایم. شما باید فورا به دفتر بیایید تا بتوانیم بفهمیم که چیست.» البته، افراد زیادی نمی‌خواهند آخر هفته به دفتر بروند، بنابراین مسئول پشتیبانی فنی «با اکراه» موافقت می‌کند، «به‌عنوان یک‌باره»، پروتکل شرکت را زیر پا بگذارد و مشکل را از راه دور حل کند. اما برای انجام این کار به اعتبارنامه ورود کارمند نیاز دارند. شما می توانید بقیه را حدس بزنید.

تنوعی در این طرح وجود دارد که در طول مهاجرت انبوه به کار از راه دور در طول همه‌گیری همه‌گیر شد. پشتیبانی فنی جعلی به فعالیت مشکوک روی لپ‌تاپ قربانی که برای کار از خانه استفاده می‌شود، «متوجه» می‌شود و پیشنهاد می‌کند مشکل را با استفاده از اتصال از راه دور از طریق RAT حل کنید. باز هم، نتیجه نسبتاً قابل پیش بینی است.

تایید، تایید، تایید…

بیایید موضوع پشتیبانی فنی جعلی را ادامه دهیم. یک تکنیک جالب در هنگام حمله به اوبر در پاییز 2022 مشاهده شد، زمانی که یک هکر 18 ساله موفق شد تعدادی از سیستم های این شرکت را به خطر بیاندازد. این حمله با دستیابی مجرم به اطلاعات ورود به سیستم شخصی پیمانکار اوبر از وب تاریک آغاز شد. با این حال، برای دسترسی به سیستم‌های داخلی شرکت، هنوز موضوع کوچکی وجود داشت که احراز هویت چند عاملی را پشت سر بگذارد…

و اینجاست که مهندسی اجتماعی وارد شد. از طریق تلاش‌های متعدد برای ورود به سیستم، هکر درخواست‌های احراز هویت را به پیمانکار نگون بخت ارسال کرد، سپس به پیمانکار تحت عنوان پشتیبانی فنی در واتس‌اپ پیام داد و راه‌حل پیشنهادی برای این مشکل را متوقف کرد: توقف جریان هرزنامه، فقط یکی را تایید کنید. بنابراین، آخرین مانع در شبکه اوبر برداشته شد.

اینجا مدیر عامل است. من این دقیقه به انتقال پول نیاز دارم!

بیایید دوباره به یک کلاسیک بازگردیم: در ردیف بعدی نوعی حمله به نام حمله ایمیل تجاری (BEC) است. ایده پشت آن این است که به نحوی مکاتبه با کارکنان شرکت آغاز شود، که معمولاً به عنوان یک مدیر یا یک شریک تجاری مهم ظاهر می شوند. به طور معمول، هدف از مکاتبات، وادار کردن قربانی به انتقال پول به حسابی است که توسط کلاهبرداران مشخص شده است. در همین حال، سناریوهای حمله می تواند متفاوت باشد: اگر مجرمان بیشتر علاقه مند به نفوذ به شبکه داخلی شرکت باشند، ممکن است یک پیوست مخرب برای قربانی ارسال کنند که کاملاً باید باز شود.

به هر طریقی، تمام حملات BEC حول محور مصالحه ایمیل می چرخد. اما این جنبه فنی است نقش بسیار بیشتری را عنصر مهندسی اجتماعی ایفا می کند. در حالی که اکثر ایمیل‌های کلاهبرداری که کاربران معمولی را هدف قرار می‌دهند چیزی جز شادی ایجاد نمی‌کنند، عملیات BEC شامل افرادی با تجربه در شرکت‌های بزرگ است که می‌توانند ایمیل‌های تجاری قابل قبولی بنویسند و گیرندگان را متقاعد کنند تا آنچه را که مجرمان می‌خواهند انجام دهند.

کجا را ترک کردیم؟

شایان ذکر است به طور جداگانه یک تکنیک حمله BEC خاص که در سال های اخیر در بین مجرمان سایبری بسیار محبوب شده است. این طرح که به عنوان ربودن مکالمه شناخته می شود، به مهاجمان اجازه می دهد تا با جعل هویت یکی از شرکت کنندگان، خود را در مکاتبات تجاری موجود وارد کنند. به طور کلی، نه از هک حساب و نه ترفندهای فنی برای پنهان کردن فرستنده استفاده می‌شود – تنها چیزی که مهاجمان نیاز دارند این است که یک ایمیل واقعی را در دست بگیرند و یک دامنه مشابه ایجاد کنند. به این ترتیب آنها به طور خودکار اعتماد سایر شرکت کنندگان را به دست می آورند و به آنها اجازه می دهد به آرامی مکالمه را به سمتی که می خواهند هدایت کنند. برای انجام این نوع حمله، مجرمان سایبری اغلب پایگاه‌های داده مکاتبات ایمیل‌های سرقت شده یا لو رفته را در وب تاریک خریداری می‌کنند.

سناریوهای حمله می تواند متفاوت باشد. استفاده از فیشینگ یا بدافزار منتفی نیست. اما طبق طرح کلاسیک، هکرها معمولاً سعی می‌کنند مکالماتی را که مستقیماً به پول مربوط می‌شود، ترجیحاً مبالغ بزرگ، ربوده، اطلاعات بانکی خود را در لحظه‌ای مناسب در اختیارشان بگذارند و سپس با غارت به جزیره‌ای گرمسیری بروند.

یک مثال برجسته از ربودن مکالمه، اتفاقی است که در حین انتقال بازیکن فوتبال لئاندرو پاردس رخ داد. مجرمان سایبری تحت پوشش نماینده اولین باشگاه پاردس، بوکا جونیورز، وارد صرافی ایمیل شدند، که حق دریافت درصد کمی از هزینه انتقال را داشت – بالغ بر 520000 یورو، که کلاهبرداران برای خود به جیب زدند.

داده های خود را تحویل دهید، این پلیس است

یک روند اخیر، که به نظر می رسد در سال 2022 ظاهر شده است، این است که هکرها درخواست های “رسمی” برای داده ها را هنگام جمع آوری اطلاعات برای آماده شدن برای حملات به کاربران خدمات آنلاین ارائه می دهند. چنین درخواست هایی توسط ISPهای مستقر در ایالات متحده، شبکه های اجتماعی و شرکت های فناوری از حساب های ایمیل هک شده متعلق به سازمان های مجری قانون دریافت شده است.

کمی زمینه در اینجا مفید خواهد بود. در شرایط عادی، برای به دست آوردن اطلاعات از ارائه دهندگان خدمات در ایالات متحده نیاز به یک برگه امضا شده توسط قاضی است. با این حال، در شرایطی که زندگی یا سلامت انسان به خطر می افتد، می توان یک درخواست داده اضطراری (EDR) صادر کرد.

اما در حالی که در مورد درخواست‌های معمولی داده، رویه‌های راستی‌آزمایی ساده و قابل درک وجود دارد، برای EDRها در حال حاضر چیزی شبیه به آن وجود ندارد. بنابراین، بسیار محتمل است که چنین درخواستی در صورتی که معقول به نظر برسد و ظاهراً از سوی یک سازمان مجری قانون آمده باشد، پذیرفته شود. به این ترتیب هکرها می توانند اطلاعات قربانیان را از یک منبع قابل اعتماد دریافت کرده و از آن برای حملات بعدی استفاده کنند.

چگونه در برابر حملات مهندسی اجتماعی محافظت کنیم؟

هدف در تمام روش های حمله فوق یک توده سخت افزاری بی روح نیست، بلکه یک انسان است. بنابراین، برای تشدید دفاع شرکت ها در برابر حملات مهندسی اجتماعی، تمرکز باید بر روی افراد باشد. این به معنای آموزش اصول اولیه امنیت سایبری به کارکنان برای افزایش آگاهی امنیتی آنها و توضیح نحوه مقابله با انواع مختلف حملات است. یک راه عالی برای انجام این کار از طریق راه حل آموزشی تعاملی محصولات امنیتی Kaspersky است.

ترجمه:
پیشگامان تجارت امن ایرانیان