Kaj je pretekstni napad (s primeri)?
Goljufi, ki ciljajo na posameznike in podjetja, pogosto uporabljajo e-pošto, besedilna sporočila ali telefonske klice, da izvlečejo dragocene informacije in pridobijo dostop do računov, podatkov, finančnih informacij in omrežij. Mnogi od nas smo že doživeli situacijo, v kateri se nekdo predstavi kot prijazen in ustrežljiv predstavnik službe za pomoč strankam, ki pomaga rešiti težavo na podlagi zmišljenega scenarija.
Začetno goljufivo sporočilo je lahko nekaj takega:
- 'Opazili smo, da vaš bančni račun miruje, in želimo vam pomagati, da ga znova aktivirate.'
- 'Opazili smo nedoslednosti v vašem zapisu podatkov o strankah in želimo vam pomagati, da ga posodobite.'
- 'Nekdo se je poskušal prijaviti v vaš račun z neznane lokacije in želimo vam hitro pomagati pri ponastavitvi gesla/PIN-a.'
Ko se pogovor odvija, prevarant zahteva zasebne podatke. Morda gre za geslo, številko kreditne kartice ali druge občutljive podatke, ki jih je mogoče uporabiti proti vam. Ta način goljufije se imenuje preteksting.
Kaj je pretvarjanje?
Pretekstovanje je oblika napad socialnega inženiringa , psihološka manipulacija ljudi, da izvajajo dejanja ali razkrijejo zaupne informacije. Napadalec si izmisli scenarij (pretekst), da zaplete ciljno žrtev in jo prepriča, da razkrije dragocene informacije ali izvede dejanja, ki bi bila v normalnih okoliščinah malo verjetna.
Pretekstovanje je središče skoraj vsakega dobrega napada socialnega inženiringa; in se močno zanaša na napadalca, ki ustvari prepričljivo in učinkovito okolje, zgodbo in identiteto, da preslepi posameznike in podjetja, da razkrijejo občutljive informacije. Informacije se nato lahko uporabijo za izkoriščanje žrtve v nadaljnjih kibernetskih napadih. Bolj natančne kot so informacije, ki jih pregovornik ve o vas, preden se z vami ukvarja, večja je možnost, da vas prepriča, da se odrečete dragocenim informacijam.
Ključni del preteksta je ustvarjanje scenarija (preteksta), ki se nato uporabi za napad na tarče. »Scenarij« je v kombinaciji z »likom« (vlogo) pripravil teren za napad. Ta dva elementa tvorita osnovo, na kateri se izvajajo številne druge tehnike za doseganje splošnega cilja. Scenarij je zaporedje verjetnih situacij in dogodkov, ki jih oblikuje in usmerja socialni inženir, da manipulira s tarčo in izvleče dragocene informacije. Običajno je podprto z dejanskimi informacijami, zbranimi z izvidovanjem – predhodno raziskavo za pridobitev informacij o ozadju –, da je izgovor bolj verjeten. Lik je vloga, ki jo igra pretektor v izbranem scenariju, ki predstavlja resnično ali izmišljeno osebo.
Na primer, recimo, da želi napadalec uporabiti pretvezo, da od donatorja pridobi poverilnice bančnega računa za dobrodelno organizacijo. Napadalec je predhodno zbral osnovne podatke (polno ime, kontaktni naslov, e-pošto in telefonsko številko) o nedavnih donatorjih dobrodelne organizacije tako, da je brskal po njihovem smetnjaku in našel zavržene obrazce z informacijami o donatorjih. Napadalec se odloči, da bo podatke o donatorjih uporabil za ustvarjanje pretveze.
Preveza se glasi takole: »Živjo, jaz sem Jane, finančni uradnik dobrodelne organizacije XYZ. Poskus obdelave vaše donacije in pridobitve sredstev prek neposredne bremenitve ni uspel. Če ste prepričani, da imate dovolj sredstev, bi rad preveril, da ni napaka na naši strani. Vljudno vas prosimo, da potrdite poverilnice debetne kartice, uporabljene za donacijo, in med vašim telefoniranjem bom znova poskusil transakcijo. Če bo transakcija uspešna, bomo svoje evidence ustrezno spremenili.«
Lik, ki ga igra napadalec v tem scenariju, je vljuden, prijazen finančni uradnik, ki ga zanima reševanje težav z neuspešno donacijo – tipičen lik, ki bi ga pričakovali srečati v takšnem scenariju. Ključ do uspeha prevare je, da žrtev verjame, da je napadalec tisti, za katerega se predstavlja; in to zahteva, da je lik tako verjeten kot scenarij.
Zgornji primer prikazuje, kako se izvede tipičen napad s pretekstom. Pregovornik lahko uporabi lažno predstavljanje (resnično ali izmišljeno), prepričevanje in druge tehnike pridobivanja verodostojnosti, da podpre pretvezo in pridobi dragocene informacije ali prisili k dejanju.
Tehnike preteksta
Pretvorniki uporabljajo različne tehnike in taktike, kot so lažno predstavljanje, lažno predstavljanje, lažno predstavljanje in vishing, da bi pridobili zaupanje tarč, prepričali žrtve, da prekršijo njihove varnostne politike ali kršijo zdravo pamet, in dajo napadalcu dragocene informacije. O teh tehnikah bomo podrobneje razpravljali.
Lažno predstavljanje
Imitator je nekdo, ki posnema ali kopira vedenje ali dejanja drugega. Lažno predstavljanje je ena od taktik, ki jih uporabljajo pretvarjevalci, da zavedejo svoje tarče in povečajo verjetnost, da bo napad uspel. S pretvarjanjem, da so zaupanja vreden subjekt, kot je prijatelj, kolega, predstavnik službe za stranke, šef ali avtoriteta, posnemovalci manipulirajo s svojo žrtvijo, da ji omogoči dostop do sistema ali objekta. Trik je v tem, da lahko to storite z dovolj verodostojnosti. Pregovornik lahko ponaredi telefonsko številko ali e-poštni naslov posameznika ali ustanove, za katerega se predstavlja, da se zdi legitimen.
Leta 2015 proizvajalec omrežne strojne opreme Ubiquiti Networks izgubil 46,7 milijona dolarjev tovrstnemu napadu socialnega inženiringa. Predlagatelji so zaposlenim v Ubiquitiju pošiljali sporočila, ki so se pretvarjali, da so višji izvršni člani organizacije, in zahtevali plačila na različne bančne račune. Uporabljene tehnike so bile kombinacija lažnega predstavljanja in ponarejanja elektronske pošte višjega člana osebja v organizaciji.
Pretexters uporabljajo tudi lažno predstavljanje v Prevara z zamenjavo kartice SIM —vrsta goljufije pri prevzemu računa, ki cilja na slabost v dvostopenjskem preverjanju, pri katerem je drugi korak SMS ali telefonski klic. To se doseže tako, da se žrtev v telefonskem klicu mobilnemu operaterju lažno predstavlja in trdi, da je izgubila telefon. Če lahko prevarant prepriča mobilnega operaterja, da telefonsko številko premakne na kartico SIM, ki jo nadzoruje, lahko prevarant prejme enkratna gesla, ki se uporabljajo pri preverjanju v dveh korakih, in vdre v račune žrtve. Leta 2019 je izvršni direktor Twitterja Jack Dorsey Račun Twitter je bil vlomljen s to metodo.
Tailgating
Tailgating (znan tudi kot piggybacking) v kontekstu varnosti je, ko nepooblaščena oseba tesno sledi pooblaščeni osebi, da bi pridobila dostop do omejenega objekta. Napadalec morda preži okoli vhoda in čaka na pravo priložnost.
Pretexters pogosto uporabljajo to tehniko, da premagajo mehanizme nadzora dostopa in pridobijo dostop do zelo omejenih območij. To se naredi tako, da se ustvari pretveza in postavi oseba, ki zavede vratarje, da jih spustijo v omejeni objekt. Preveza bi lahko bila v obliki postavljanja inženirja iz kabelskega podjetja, oblečenega v kombinezon z različnim orodjem, ki potrebuje dostop do objekta, da bi preveril pokvarjene kabelske linije, ali dostavljavca pice, ki mora dostaviti kosilo enemu od stavbna tla. Ta tehnika pretvarjanja se opira na prirojeno željo ljudi, da bi bili ustrežljivi ali prijazni. Dokler obstaja nek na videz dober razlog, da nekoga spustimo notri, ljudje to raje storijo, kot da bi se spopadli.
Lažno predstavljanje
Lažno predstavljanje je goljufiv poskus pridobivanja občutljivih informacij, kot so uporabniška imena, gesla in podatki o kreditni kartici, tako da se v elektronski komunikaciji, kot sta e-pošta ali SMS, prikrijejo kot zaupanja vreden subjekt. Čeprav sta lažno predstavljanje in lažno predstavljanje kategorizirana ločeno, gresta pogosto z roko v roki. Številni poskusi lažnega predstavljanja temeljijo na scenarijih pretekstov, kjer goljufi izkoristijo enega, da dosežejo drugega.
Pretekstovanje lahko vključuje lažno predstavljanje izvršnega direktorja ali izvajalca prek e-pošte. Prišlo je do incidentov, ko je bil uslužbenec podvržen lažnemu predstavljanju, kar je ogrozilo e-poštni račun, kar je napadalcu omogočilo še bolj prepričljivo pretvezo proti drugi tarči. Ciljna oblika lažnega predstavljanja, znana kot 'spear phishing', je namenjena lažnemu predstavljanju določene tarče visoke vrednosti. To običajno vključuje pretvezo, pri kateri se tarča visoke vrednosti zavede, da verjame, da komunicira z nekom v podjetju ali partnerskem podjetju. Končni cilj je prepričati tarčo, da opravi velika nakazila denarja.
Leta 2017 Univerza MacEwan v Kanadi izgubil okoli 9 milijonov dolarjev prevarantu, za katerega je univerzitetno osebje verjelo, da je izvajalec. Napadalec je poslal vrsto e-poštnih sporočil z lažnim predstavljanjem, zgrajenih na podlagi scenarijev, ki so prepričali osebje, da spremeni podrobnosti plačila za prodajalca, in te spremembe so povzročile prenos plačil na prevaranta.
Želja
Vishing (glasovno lažno predstavljanje) je oblika napada socialnega inženiringa, ki poskuša žrtve pretentati, da po telefonu izdajo občutljive osebne podatke z namenom finančne nagrade. Pretekstovanje je ključni del vishinga in pogosto ga uporabljajo goljufi, medtem ko se po telefonu lažno predstavljajo kot zaupanja vreden subjekt. Številni pretvarjevalci zberejo osebne podatke svojih žrtev z različnimi izvidniškimi pristopi in jih uporabijo za tkanje verjetnega scenarija.
Pretekstovanje na podlagi vishinga izkorišča slabost identifikacijskih tehnik, ki se uporabljajo pri glasovnih transakcijah. Prevaranti pogosto uporabljajo sodobne funkcije VoIP, kot so ponarejanje ID-ja klicatelja, lažni sistemi interaktivnega glasovnega odziva (IVR) in v zadnjem času glasove, ustvarjene z umetno inteligenco (deepfake), da posnemajo glasove določenih oseb in zavajajo svoje tarče. Uporaba teh sodobnih tehnologij varnostnim agencijam otežuje izsleditev kriminalcev.
Prevarant je pred kratkim uporabil mešanico scenarijev za pretvezo in glas izvršnega direktorja nemškega podjetja, ki ga je ustvarila umetna inteligenca, da bi prepričal izvršnega direktorja podružnice v Združenem kraljestvu, da nakaže vsoto 243.000 $ madžarskemu dobavitelju. Izvršni direktor hčerinske družbe v Združenem kraljestvu je mislil, da ga je poklical izvršni direktor matične družbe v Nemčiji. Glede na Poročilo Wall Street Journala , je klic, ustvarjen z umetno inteligenco, natančno posnemal glas in nemški naglas oponašanega izvršnega direktorja, kar je bilo dovolj, da je generalni direktor hčerinske družbe v Združenem kraljestvu to prepoznal kot glas svojega šefa.
Pravne posledice
Preteksiranja ne uporabljajo izključno kibernetski kriminalci in prevaranti za nezakonite dejavnosti. Zasebni preiskovalci ga uporabljajo zakonito, da od ljudi pridobijo dragocene informacije. Zasebni preiskovalec lahko uporabi pretvezo, da izsledi nekoga, ki se izmika glede tega, kje živi. Preiskovalec lahko nekoga pokliče, da ustno razkrije podatke o naslovu prebivališča tarčnega posameznika.
Odvisno od države stalnega prebivališča in okoliščin se lahko pretvarjanje razlikuje od dragocenega in pomembnega orodja do nezakonitega in neetičnega ravnanja.
V Združenih državah je na primer nezakonito lagati, da bi pridobili kakršne koli zaščitene osebne podatke, kot so finančni, zavarovalniški, davčni, zdravstveni ali telefonski izpisi. Prav tako se pod nobenim pogojem ne smete lažno predstavljati kot policist ali agent zveznega kazenskega pregona. Obstaja nekaj absolutov in sivih območij; zato morate vedeti, kje potegniti črto. Dvoumnost izhaja iz tega, kako veljavni zvezni in državni zakoni opredeljujejo izgovorjavo in katere informacije so vključene. Kje so narisane črte in kako te črte prepoznati, je izziv, s katerim se sooča večina zasebnih preiskovalcev.
Leta 2006 je HP najel zasebno preiskovalno podjetje, da bi mu pomagalo odkriti, kateri člani njegove uprave so medijem razkrivali zasebne podatke o podjetju. Preiskovalno podjetje je nato najelo izvajalca, ki je s pretvezo pridobil telefonske zapise članov uprave, kar je povzročilo sramoten škandal. The HP nagovarja škandal razkrila sive lise v zakonu ZDA o pretvezi, ki je sprva veljal samo za finančne evidence, ameriški kongres pa je posredoval tako, da je uporabo pretekstov za pridobivanje telefonskih (nefinančnih) evidenc označil za zvezno kaznivo dejanje. Zakon, uradno znan kot Zakon o telefonskih evidencah in varstvu zasebnosti iz leta 2006 , izrecno prepoveduje napačno predstavljanje, lažno predstavljanje ali zavajanje z namenom pridobitve osebnih telefonskih zapisov.
Podobno je leta 2016 'podjetje za zasebne preiskave', ki ga je najel Uber je uporabil pretvezo pridobiti dostop do informacij o svojih nasprotnikih v protimonopolnem primeru. Ta praksa je Uber nazadnje pripeljala v neprijetno pravno katastrofo.
Če je pravilno opravljeno, je izgovorjava odlična tehnika, ki jo lahko poklicni raziskovalec uporabi za pridobitev dragocenih informacij, ki bi jih v običajnih okoliščinah težko pridobiti. Vendar pa je kot raziskovalec ali celo stranka, ki najame preiskovalca, zelo pomembno, da ne dovolite uporabe nezakonitega pretveze v preiskavi. Lahko se izogne preiskovalcu ali celo stranki, kot v primeru HP in Uber.
Kako se izogniti napadom s pretvezo
Raziskave so pokazale, da smo ljudje najšibkejši člen v varnostni verigi. Da bi ublažili to slabost, moramo začeti vlagati v operativno varnost ali OpSec. Eden najučinkovitejših protiukrepov proti napadom s pretekstom je usposabljanje zaposlenih o tem, kako prepoznati in se ustrezno odzvati na sheme s pretekstom. Usposabljanje zaposlenih o varnostnih protokolih, ki so pomembni za njihovo delovno vlogo, bo zmanjšalo njihovo ranljivost za napade socialnega inženiringa, kot je pretvarjanje. Če na primer identitete osebe ni mogoče preveriti, je treba uslužbence usposobiti, da vljudno zavrnejo v situacijah, kot sta vishing in tailgating. Spodaj je nekaj konkretnih primerov korakov, ki jih lahko izvedete, da preprečite napad, ki povzroči škodo vam ali vašemu podjetju.
Tukaj je opisano, kako se izognete napadu s pretvezo:
- Vzpostavite varnostne protokole, pravilnike in postopke za ravnanje z občutljivimi informacijami
- Ne razkrivajte občutljivih informacij nepreverjenim subjektom po e-pošti, telefonu ali besedilnih sporočilih
- Bodite previdni pri ponudbah, ki se zdijo 'predobre, da bi bile resnične'
- Zaposlene cepite proti tehnikam pretvarjanja z vcepljanjem odpora do poskusov prepričevanja z izpostavljenostjo podobnim ali sorodnim poskusom
- Občutljive dokumente varno odstranite z razrezom ali sežiganjem
- Bodite previdni, ko na spletu sklepate prijateljstva z ljudmi, ki jih v resničnem življenju ne poznate