Забудьте о безобидных фишинговых атаках — у киберпреступников сегодня есть гораздо более интересные фокусы в рукаве.
Атака MFA fatigue
Когда впервые появились push-уведомления на смартфонах, казалось, что индустрия наконец-то нашла тип MFA, который был одновременно прост в использовании и более безопасен, чем такие методы защиты как одноразовые SMS-пароли (OTPs).. Недавно злоумышленники опровергли безопасность MFA, с помощью серий так называемых атак на усталость от MFA (MFA fatigue attack). После получения украденных учетных данных, мошенники санкционируют объемных поток запросов повторными push-уведомлениями в надежде на то, что некоторые из их жертв согласятся прекратить это. Несколько крупных компаний были успешно атакованы таким образом. Следует отметить, что для смягчения последствий подобных атак, необходимо сочетание обучения — немногие пользователи в принципе слышали об атаках MFA, об ограничении количества запросов на push-уведомления и внимании при их отклонении. Ведь нажав кнопку отказа в push-уведомлении, также можно скомпрометировать учетные данные.
SMS-мошенничество с «экстренными» сообщениями
«Дорогая мама, я попал в аварию и мне нужно, чтобы ты выслала мне деньги, пожалуйста».
Любой, кто является родителем взрослых детей, не сможет проигнорировать подобное SMS-сообщение или сообщение WhatsApp. Злоумышленники знают об этом, поэтому такие аферы становятся все более распространенным способом социальной инженерии. Как злоумышленники могут не вызвать подозрения, что сообщение пришло с неизвестного номера телефона? Очень просто:
«Мой телефон сломался, поэтому с этого момента связывайтесь со мной по новому номеру».
Возможно, это не идеальная афера с выдачей себя за другого, но это не значит, что она не очень эффективна.
Поддельные утечки данных
Утечки данных — плохая новость, но иногда полностью выдуманные утечки могут быть практически так же опасны. Техника гениальна: выбирается известная компания, которая в прошлом пострадала от утечки данных, и публикуются полностью вымышленные сообщения о том, что они снова подверглись утечке. Эти сообщения подхватываются системой Google Alerts и рассылаются миллионам пользователей, завлекая их посетить зараженные вредоносным ПО каталоги на легальных, но взломанных сайтах. Разновидностью этой темы являются бесплатные розыгрыши призов. Социальная инженерия здесь заключается в слепом доверии пользователя к Google Alerts.
Фишинг обратного звонка
Успех массовых фишинговых атак не должен затмеваться успехом других инноваций. Фишинг обратного звонка — один из примеров, который снова входит в моду. Пользователь получает персонализированное электронное письмо от известного, но поддельного контакта с просьбой позвонить по указанному номеру, чтобы подтвердить предстоящую подписку или оплату счета. Любого, кто «попадется на удочку» и решит позвонить, пытаются заставить сообщить информацию о счете для совершения финансовых махинаций. Кроме того, некоторые группы, занимающиеся распространением программ-вымогателей, используют эту технику, чтобы убедить людей установить их вредоносное ПО. Хитрость заключается в том, что телефонный звонок — это простой способ обойти защиту программного обеспечения.
Фишинг с помощью Deepfake
Возможно, это будущее, но не такое уж далекое. В этой предлагаемой атаке пользователей с помощью социального инжениринга, пользователя заставляют сделать что-то, о чем он впоследствии пожалеет. Делается это убедительными изображениями или голосовыми сообщениями от их близких (собранными из социальных сетей и обработанными с помощью механизма искусственного интеллекта), коллег по работе или даже руководителей компаний. Этот метод, ставший результатом дезинформации, сравнивают с «кризисом истины» в том смысле, что все, что угодно, можно заставить казаться «реальным»
«Пока компании пытаются защититься от атак вымогателей, они ничего не делают, чтобы подготовиться к неминуемому натиску синтетических СМИ», — сказал Дарин Стюарт из Gartner в 2021 году. Неизбежно эти методы будут коммерциализированы, и тогда они станут повседневной опасностью».
Перевод статьи: THE TOP 5 NEW SOCIAL ENGINEERING ATTACKS IN 2023