Beamingin tutkimuksen mukaan vuonna 2021 brittiläiset yritykset joutuivat käsittelemään tietomurtoyrityksen 47 sekunnin välein. Raportissa korostetaan edelleen, että etätyöskentely on tarjonnut mahdollisuuden kyberhyökkäysten lisääntymiseen. Tämä on huomionarvoista, sillä vuonna 2021 julkaistun Verizon Data Breach Investigation Report (DBIR) -raportin ( Verizon Data Breach Investigation Report ) mukaan 85 prosentissa tietomurroista tarvitaan ihmistä niiden käynnistämiseen.
Tätä täydellistä myrskyä lietsotaan sosiaalisella manipuloinnilla; tämä taktiikka kattaa monenlaisia toimintoja, joilla manipuloidaan ihmisten käyttäytymistä. Tietoverkkorikolliset käyttävät kirjaimellisesti kaikkia mahdollisia keinoja työntekijöiden hyväksikäyttöön ja käyttävät tunnettuja psykologisia temppuja saadakseen meidät klikkaamaan ennen kuin ajattelemme tai lataamaan haittaohjelmia.
Tuoreen raportin mukaan sosiaaliseen manipulointiin perustuvat verkkohyökkäykset lisääntyivät 270 prosenttia vuonna 2021. Tähän on useita syitä, mutta lopputulos on, että sosiaalisen suunnittelun tekniikat toimivat, ja meidän on löydettävä keinoja suojella työntekijöitämme.
Yksi tapa estää sosiaalisia insinöörejä manipuloimasta henkilöstöämme ja lopulta tietojamme ja yritysverkkoja on ymmärtää, miten sosiaaliset insinöörit toimivat.
Seuraavassa on joitakin uusimpia sosiaalisten manipulointihyökkäysten tyyppejä, joita kannattaa varoa.
Social Engineering ja kyberturvallisuus
Kyberturvallisuusuhat ovat harvoin luonteeltaan puhtaasti teknisiä. Sen sijaan verkkorikolliset ovat nopeasti ymmärtäneet, että työntekijöiden, muiden kuin työntekijöiden ja laajemman toimittajien ekosysteemin käyttäminen ilkivallan toteuttamiseen on hyvä tapa päästä suojattuun verkkoon.
Tuoreessa tutkimuksessa, joka koski yrityssähköpostin käyttöä verkkohyökkäyksen käynnistämiseen, havaittiin, että 30 prosentissa organisaatioista yli 50 prosenttia sähköpostitse vastaanotetuista linkeistä päätyi haitalliselle verkkosivustolle. Tämä on vyöry haitallisten hyökkäyspisteiden vyöry yrityksen järjestelmään ja sen liiketoimintaan.
Sosiaalisen manipuloinnin hyökkäyksissä käytetään yleisiä taktiikoita, jotka toimivat kerta toisensa jälkeen. Hakkerit voivat kuitenkin vaihdella niitä tapahtumien edetessä. Covid-19-pandemia oli yksi tällainen tapahtuma.
Joitakin todennäköisiä sosiaalisia hyökkäyksiä, joita on syytä varoa tulevana vuonna, ovat:
Yrityssähköpostin vaarantaminen (ja toimittajan sähköpostin vaarantaminen)
Verizonin vuonna 2021 julkaisemassa Data Breach Investigation Report (DBIR) -raportissa (Verizon Data Breach Investigation Report ) todettiin, että BEC-hyökkäykset (Business Email Compromise) olivat toiseksi yleisin sosiaalisen manipuloinnin hyökkäysmuoto. BEC ja VEC edustavat sosiaalista manipulointia monimutkaisimmillaan ja moniosaisimmillaan.
BEC-huijaajat käyttävät valvontaa ymmärtääkseen kohteensa ja luodakseen räätälöityjä, laillisen näköisiä, mutta väärennettyjä sähköposteja. Usein BEC-hyökkäys alkaa vaarannetulla sähköpostitilillä. Tämä antaa huijareille tarvittavat tiedot hienostuneiden temppujen toteuttamiseen.
Väärennettyjä tilejä ja salasanoja voidaan myös ohjata uudelleen, jotta hakkeri voi valvoa yrityksen toimintaa ja viestintää ja kerätä kaikki tarvittavat tiedot, jotta työntekijät voivat manipuloida työntekijöitä luomaan uusia tai muuttamaan olemassa olevia laskuja yrityksen rahojen lähettämiseksi huijarille.
Vuoden 2021 Business Email Security Landscape Report -raportti tarjoaa joitakin tärkeitä tietoja, joiden avulla voidaan vähentää tämäntyyppisten hyökkäysten onnistumista:
- 72 prosenttia vastaajista oli kokenut BEC-hyökkäyksen viimeisten 12 kuukauden aikana.
- Lähes 50 prosentissa BEC-hyökkäyksistä käytetään väärennettyä henkilöllisyyttä, joka esitetään sähköpostin niminäytössä.
- Spear phishing -sähköpostiviestit kohdistuvat henkilöihin, joilla on valtaa siirtää rahaa. Näissä kohdennetuissa phishing-sähköpostiviesteissä käytetään yrityksen nimiä (68 %), yksittäisten kohteiden nimiä (66 %) ja pomon/johtajien nimiä (53 %) hyökkäyksen räätälöimiseksi.
Uusi BEC-muunnos on Vendor Email Compromise (VEC). Tämä BEC-tyyppi keskittyy myyjiin rahan harhauttamiseksi. VEC-hyökkäyksissä käytetään ketjureaktiota, jossa tietojenkalasteluhyökkäykset leviävät koko myyjäekosysteemiin, jos niitä ei valvota.
VEC-hyökkäykset ovat tyypillisesti hyvin rahoitettujen ammattimaisten verkkorikollisten toteuttamia, sillä niihin liittyy syvällistä valvontaa ja tiedustelua, jotta he ymmärtäisivät kohteensa riittävän hyvin luodakseen uskottavia väärennettyjä viestejä. Sosiaalisen manipuloinnin tekniikat ovat VEC:n ytimessä, aivan kuten BEC:n ytimessä, mutta erona on vain se, että verkkorikolliset keskittyvät kokonaiseen ekosysteemiin.
Kuten BEC:n, myös VEC-huijauksen tavoitteena on huijata yritystä ja varastaa varoja. Ajoitus on keskeinen osa VEC-hyökkäystä, ja sosiaalista manipulointia käytetään huijaamaan työntekijöitä muuttamaan laskun yksityiskohtia juuri oikealla hetkellä, jotta epäilyksiä ei herää.
Phishing kaikissa muodoissaan
BEC on yksi monista tietoverkkohyökkäystyypeistä, joissa hyökkäyksen käynnistämiseen käytetään phishing- tai spear-phishing-tekniikkaa. Phishing on sosiaalisten insinöörien suosiossa, ja DBIR:n mukaan se oli läsnä 36 prosentissa tietomurroista. Phishing on sosiaalisten insinöörien tärkein työkalu, sillä sen sisältö ja konteksti voivat lopulta johtaa yritysverkon hallintaan.
Phishing-sähköpostiviesteissä käytetään erilaisia psykologisia temppuja ja laukaisevia tekijöitä, joilla vastaanottajat saadaan joko napsauttamaan haitallista linkkiä tai lataamaan saastunut liitetiedosto. Näihin keinoihin kuuluvat tunnettujen tuotemerkkien väärentäminen, kiireen ja pelon käyttäminen klikkauksen kannustamiseen sekä tunteiden, kuten FOMO:n (Fear of Missing Out), herättäminen. Lisää työntekijöiden huijaamiseen käytetyistä taktiikoista löytyy MetaCompliance "Ultimate Guide to Phishing" -julkaisusta.
Phishing seuraa usein tapahtumia tai kohdistuu käyttäjiin tiettyihin tarkoituksiin.
Tunteiden manipulointi ja tapahtumapohjainen kalastelu: Tapahtumat voivat usein laukaista tunteita. Petostentekijät käyttävät näitä tunteita manipuloidakseen käyttäjiä tuntemaan, että he jäävät jostain paitsi tai että heidän on toimittava kiireellisesti tapahtuman hyväksi.
Covid-pandemian aikana monissa phishing-sähköpostiviesteissä käytettiin "Maailman terveysjärjestön" brändiä ja hyödynnettiin sähköpostin vastaanottajien terveyshuolia. Jossain vaiheessa pandemiaa Google esti noin 17 miljoonaa huijaussähköpostia päivässä, ja monet huijarit käyttivät pandemiaa hyväkseen pelatakseen ihmisten tunteilla ja peloilla. Yksikin työntekijän postilaatikkoon päätynyt huijaussähköposti voi johtaa katastrofaaliseen tietomurtoon.
Lunnasohjelmahyökkäykset, joissa käytetään follow-in phishingiä: Phishing johtaa lunnasohjelmiin, ja nyt se voi johtaa myös follow-on phishingiin: näin kävi äskettäisessä Lapsus$-hyökkäyksessä, joka kohdistui Portugalin suurimpaan mediakonserniin Impresaan. Konserni omistaa maan suurimmat televisiokanavat ja sanomalehdet SIC ja Expresso. Hyökkäyksen uskotaan alkaneen spear-phishing-sähköpostilla, joka johti konsernin Amazon Web Services (AWS) -tilin haltuunottoon. Tämä johti konsernin verkkosivuston turmelemiseen, Expresson Twitter-tilin haltuunottoon ja uutiskirjetilin käyttämiseen phishing-sähköpostien lähettämiseen konsernin tilaajille.
Kun tietoverkkorikollinen on päässyt verkkoon, yleensä phishing- tai spear-phishing-menetelmällä varastettujen tunnistetietojen avulla, hän voi käyttää kyseistä sisäänpääsytietä laajentaakseen oikeuksiaan ja luodakseen uusia hyökkäyksiä, kuten Lapsus$-hyökkäyksessä nähtiin. On erittäin todennäköistä, että tämäntyyppisistä monitahoisista päällekkäisistä hyökkäyksistä tulee yhä tavallisempia.
Phishingiä käytetään jatkossakin verkkohyökkäysten käynnistämiseen, sillä se on verkkorikollisten tapa "kommunikoida" sellaisten ihmisten kanssa, jotka ovat osa yrityksen kohdetta. Tämän viestintämenetelmän käyttäminen on täydellinen tapa muokata ihmistä sosiaalisesti, mikä tarkoittaa sitä, että tietoverkkorikollisen ei tarvitse "murtautua" teknologiaan, joka saattaa olla suojattu, vaan hän murtautuu ihmiseen.
Sosiaalinen manipulointi ja syvät väärennökset
Syväväärennökset ovat sosiaalisen manipuloinnin hyökkäysten huippu, ja organisaatioiden on syytä odottaa, että tätä tekniikkaa käytetään tulevina vuosina häijyihin tarkoituksiin. FBI on jo julkaissut varoituksen, jossa todetaan:
"FBI ennakoi, että ulkomaiset ja rikolliset kybertoimijat käyttävät sitä yhä enemmän spearphishingiin ja sosiaaliseen manipulointiin kyberoperaatioiden kehittyessä."
FBI ehdottaa taktiikoita, joita voidaan käyttää syvien väärennösten kautta tapahtuvan sosiaalisen manipuloinnin riskin vähentämiseksi, kuten "kouluttaa käyttäjiä tunnistamaan ja raportoimaan sosiaalisen manipuloinnin ja spearphishingin yritykset, jotka voivat vaarantaa henkilökohtaiset ja yritystilit".
Sosiaalisen manipuloinnin torjunta lähteellä
Sosiaalinen manipulointi on tarjonnut hakkereille keinoja päästä käsiksi resursseihin ihmisten olemassaolosta lähtien. Se, että nämä rikolliset työskentelevät digitaalisessa maailmassa, ei muuta sitä tosiasiaa, että verkkorikollisten kohteena on ihmisen käyttäytyminen.
Jos haluamme estää sosiaalisia insinöörejä manipuloimasta työntekijöitämme ja laajempaa liikekumppaniverkostoa, meidän on koulutettava nämä henkilöt sosiaalisten insinöörien tapoihin. Tieto on valtaa, ja vallan tasapaino on siirrettävä tietoverkkorikolliselta yritykselle kouluttamalla työntekijöitä ja tallentamalla yritykset raportointijärjestelmien avulla.
