مهندسی اجتماعی در کانون توجه: از ترفندهای کلاسیک تا روندهای جدید.
در پست امروز، ما در مورد برخی از ترفندهای مهندسی اجتماعی که معمولاً توسط مجرمان سایبری برای حمله به شرکت ها استفاده می شود صحبت می کنیم. در حال ظهور: انواع مختلفی از یک کلاهبرداری شامل تماس ها و ایمیل های پشتیبانی فنی جعلی. حملات به خطر انداختن ایمیل تجاری؛ درخواست دادهها از سازمانهای مجری قانون جعلی…
سلام، من از پشتیبانی فنی هستم
یک طرح کلاسیک مهندسی اجتماعی، تماسی است با یک کارمند شرکت از طرف «پشتیبانی فنی». برای مثال، هکرها ممکن است در تعطیلات آخر هفته تماس بگیرند و چیزی شبیه این بگویند: «سلام، این خدمات پشتیبانی فنی شرکت شما است. ما فعالیت عجیبی را در رایانه کاری شما شناسایی کردهایم. شما باید فورا به دفتر بیایید تا بتوانیم بفهمیم که چیست.» البته، افراد زیادی نمیخواهند آخر هفته به دفتر بروند، بنابراین مسئول پشتیبانی فنی «با اکراه» موافقت میکند، «بهعنوان یکباره»، پروتکل شرکت را زیر پا بگذارد و مشکل را از راه دور حل کند. اما برای انجام این کار به اعتبارنامه ورود کارمند نیاز دارند. شما می توانید بقیه را حدس بزنید.
تنوعی در این طرح وجود دارد که در طول مهاجرت انبوه به کار از راه دور در طول همهگیری همهگیر شد. پشتیبانی فنی جعلی به فعالیت مشکوک روی لپتاپ قربانی که برای کار از خانه استفاده میشود، «متوجه» میشود و پیشنهاد میکند مشکل را با استفاده از اتصال از راه دور از طریق RAT حل کنید. باز هم، نتیجه نسبتاً قابل پیش بینی است.
تایید، تایید، تایید…
بیایید موضوع پشتیبانی فنی جعلی را ادامه دهیم. یک تکنیک جالب در هنگام حمله به اوبر در پاییز 2022 مشاهده شد، زمانی که یک هکر 18 ساله موفق شد تعدادی از سیستم های این شرکت را به خطر بیاندازد. این حمله با دستیابی مجرم به اطلاعات ورود به سیستم شخصی پیمانکار اوبر از وب تاریک آغاز شد. با این حال، برای دسترسی به سیستمهای داخلی شرکت، هنوز موضوع کوچکی وجود داشت که احراز هویت چند عاملی را پشت سر بگذارد…
و اینجاست که مهندسی اجتماعی وارد شد. از طریق تلاشهای متعدد برای ورود به سیستم، هکر درخواستهای احراز هویت را به پیمانکار نگون بخت ارسال کرد، سپس به پیمانکار تحت عنوان پشتیبانی فنی در واتساپ پیام داد و راهحل پیشنهادی برای این مشکل را متوقف کرد: توقف جریان هرزنامه، فقط یکی را تایید کنید. بنابراین، آخرین مانع در شبکه اوبر برداشته شد.
اینجا مدیر عامل است. من این دقیقه به انتقال پول نیاز دارم!
بیایید دوباره به یک کلاسیک بازگردیم: در ردیف بعدی نوعی حمله به نام حمله ایمیل تجاری (BEC) است. ایده پشت آن این است که به نحوی مکاتبه با کارکنان شرکت آغاز شود، که معمولاً به عنوان یک مدیر یا یک شریک تجاری مهم ظاهر می شوند. به طور معمول، هدف از مکاتبات، وادار کردن قربانی به انتقال پول به حسابی است که توسط کلاهبرداران مشخص شده است. در همین حال، سناریوهای حمله می تواند متفاوت باشد: اگر مجرمان بیشتر علاقه مند به نفوذ به شبکه داخلی شرکت باشند، ممکن است یک پیوست مخرب برای قربانی ارسال کنند که کاملاً باید باز شود.
به هر طریقی، تمام حملات BEC حول محور مصالحه ایمیل می چرخد. اما این جنبه فنی است نقش بسیار بیشتری را عنصر مهندسی اجتماعی ایفا می کند. در حالی که اکثر ایمیلهای کلاهبرداری که کاربران معمولی را هدف قرار میدهند چیزی جز شادی ایجاد نمیکنند، عملیات BEC شامل افرادی با تجربه در شرکتهای بزرگ است که میتوانند ایمیلهای تجاری قابل قبولی بنویسند و گیرندگان را متقاعد کنند تا آنچه را که مجرمان میخواهند انجام دهند.
کجا را ترک کردیم؟
شایان ذکر است به طور جداگانه یک تکنیک حمله BEC خاص که در سال های اخیر در بین مجرمان سایبری بسیار محبوب شده است. این طرح که به عنوان ربودن مکالمه شناخته می شود، به مهاجمان اجازه می دهد تا با جعل هویت یکی از شرکت کنندگان، خود را در مکاتبات تجاری موجود وارد کنند. به طور کلی، نه از هک حساب و نه ترفندهای فنی برای پنهان کردن فرستنده استفاده میشود – تنها چیزی که مهاجمان نیاز دارند این است که یک ایمیل واقعی را در دست بگیرند و یک دامنه مشابه ایجاد کنند. به این ترتیب آنها به طور خودکار اعتماد سایر شرکت کنندگان را به دست می آورند و به آنها اجازه می دهد به آرامی مکالمه را به سمتی که می خواهند هدایت کنند. برای انجام این نوع حمله، مجرمان سایبری اغلب پایگاههای داده مکاتبات ایمیلهای سرقت شده یا لو رفته را در وب تاریک خریداری میکنند.
سناریوهای حمله می تواند متفاوت باشد. استفاده از فیشینگ یا بدافزار منتفی نیست. اما طبق طرح کلاسیک، هکرها معمولاً سعی میکنند مکالماتی را که مستقیماً به پول مربوط میشود، ترجیحاً مبالغ بزرگ، ربوده، اطلاعات بانکی خود را در لحظهای مناسب در اختیارشان بگذارند و سپس با غارت به جزیرهای گرمسیری بروند.
یک مثال برجسته از ربودن مکالمه، اتفاقی است که در حین انتقال بازیکن فوتبال لئاندرو پاردس رخ داد. مجرمان سایبری تحت پوشش نماینده اولین باشگاه پاردس، بوکا جونیورز، وارد صرافی ایمیل شدند، که حق دریافت درصد کمی از هزینه انتقال را داشت – بالغ بر 520000 یورو، که کلاهبرداران برای خود به جیب زدند.
داده های خود را تحویل دهید، این پلیس است
یک روند اخیر، که به نظر می رسد در سال 2022 ظاهر شده است، این است که هکرها درخواست های “رسمی” برای داده ها را هنگام جمع آوری اطلاعات برای آماده شدن برای حملات به کاربران خدمات آنلاین ارائه می دهند. چنین درخواست هایی توسط ISPهای مستقر در ایالات متحده، شبکه های اجتماعی و شرکت های فناوری از حساب های ایمیل هک شده متعلق به سازمان های مجری قانون دریافت شده است.
کمی زمینه در اینجا مفید خواهد بود. در شرایط عادی، برای به دست آوردن اطلاعات از ارائه دهندگان خدمات در ایالات متحده نیاز به یک برگه امضا شده توسط قاضی است. با این حال، در شرایطی که زندگی یا سلامت انسان به خطر می افتد، می توان یک درخواست داده اضطراری (EDR) صادر کرد.
اما در حالی که در مورد درخواستهای معمولی داده، رویههای راستیآزمایی ساده و قابل درک وجود دارد، برای EDRها در حال حاضر چیزی شبیه به آن وجود ندارد. بنابراین، بسیار محتمل است که چنین درخواستی در صورتی که معقول به نظر برسد و ظاهراً از سوی یک سازمان مجری قانون آمده باشد، پذیرفته شود. به این ترتیب هکرها می توانند اطلاعات قربانیان را از یک منبع قابل اعتماد دریافت کرده و از آن برای حملات بعدی استفاده کنند.
چگونه در برابر حملات مهندسی اجتماعی محافظت کنیم؟
هدف در تمام روش های حمله فوق یک توده سخت افزاری بی روح نیست، بلکه یک انسان است. بنابراین، برای تشدید دفاع شرکت ها در برابر حملات مهندسی اجتماعی، تمرکز باید بر روی افراد باشد. این به معنای آموزش اصول اولیه امنیت سایبری به کارکنان برای افزایش آگاهی امنیتی آنها و توضیح نحوه مقابله با انواع مختلف حملات است. یک راه عالی برای انجام این کار از طریق راه حل آموزشی تعاملی محصولات امنیتی Kaspersky است.
ترجمه:
پیشگامان تجارت امن ایرانیان