A társadalmi tervezés még a kiberbiztonság világában sem új fogalom. Önmagában az adathalász csalások közel 30 éve léteznek, és a támadók folyamatosan új módszereket találtak arra, hogy rávegyék az áldozatokat, hogy kattintsanak egy hivatkozásra, töltsenek le egy fájlt vagy érzékeny információkat adjanak meg.
Az üzleti e-mail-kompromisszum (BEC) támadások ezt a koncepciót ismételték meg azzal, hogy a támadó hozzáférést kap egy legitim e-mail fiókhoz, és kiadja magát annak tulajdonosának. A támadók úgy érvelnek, hogy az áldozatok nem kérdőjelezik meg a megbízható forrásból származó e-maileket – és túl gyakran igazuk is van.
De nem az e-mail az egyetlen hatékony eszköz, amellyel a kiberbűnözők részt vesznek a social engineering támadásokban. A modern vállalkozások számos digitális alkalmazásra támaszkodnak, a felhőszolgáltatásoktól és a VPN-ektől a kommunikációs eszközökig és pénzügyi szolgáltatásokig. Sőt, ezek az alkalmazások össze vannak kötve, így egy támadó, aki képes feltörni egyet, másokat is kompromittálhat. A szervezetek nem engedhetik meg maguknak, hogy kizárólag az adathalászatra és a BEC-támadásokra összpontosítsanak – nem akkor, amikor az üzleti alkalmazások kompromittálása (BAC) egyre nő.
Egyszeri bejelentkezés célzása
A vállalkozások azért használnak digitális alkalmazásokat, mert azok hasznosak és kényelmesek. A távmunka korában az alkalmazottaknak számos helyről és eszközről kell hozzáférniük a kritikus eszközökhöz és erőforrásokhoz. Az alkalmazások egyszerűsíthetik a munkafolyamatokat, növelhetik a kritikus információkhoz való hozzáférést, és megkönnyíthetik az alkalmazottak munkáját. Egy szervezeten belüli egyes részlegek tucatnyi alkalmazást használhatnak, míg aátlagos cég több mint 200-at használ. Sajnos a biztonsági és informatikai osztályok nem mindig ismerik ezeket az alkalmazásokat – nemhogy jóváhagyják –, így a felügyelet problémát jelent.
A hitelesítés egy másik kérdés. Az egyedi felhasználónév és jelszó kombinációk létrehozása (és megjegyezése) kihívást jelenthet mindenkinek, aki több tucat különböző alkalmazást használ munkája elvégzéséhez. A jelszókezelő használata egy megoldás, de az IT számára nehéz lehet betartatni. Ehelyett sok vállalat egyszerűsíti hitelesítési folyamatait egyszeri bejelentkezési (SSO) megoldásokon keresztül, amelyek lehetővé teszik az alkalmazottak számára, hogy egyszer bejelentkezzenek egy jóváhagyott fiókba az összes kapcsolódó alkalmazáshoz és szolgáltatáshoz való hozzáférés érdekében. De mivel az egyszeri bejelentkezési szolgáltatások segítségével a felhasználók könnyen hozzáférhetnek több tucat (vagy akár több száz) üzleti alkalmazáshoz, ezek a támadók nagy értékű célpontjai. Az egyszeri bejelentkezési szolgáltatók természetesen rendelkeznek saját biztonsági funkciókkal és képességekkel – de az emberi hiba továbbra is nehezen megoldható probléma.
Social Engineering, Evolved
Sok alkalmazás – és minden bizonnyal a legtöbb SSO-megoldás – rendelkezik többtényezős hitelesítéssel (MFA). Ez megnehezíti a támadók számára, hogy feltörjenek egy fiókot, de ez biztosan nem lehetetlen. Az MFA bosszantó lehet a felhasználók számára, akiknek előfordulhat, hogy naponta többször is be kell jelentkezniük a fiókba, ami türelmetlenséghez és néha gondatlansághoz vezet.
Egyes MFA-megoldások megkövetelik a felhasználótól egy kód bevitelét vagy az ujjlenyomat megjelenítését. Mások egyszerűen azt kérdezik: „Te vagy az?” Ez utóbbi, bár könnyebb a felhasználó számára, mozgásteret ad a támadóknak. Egy támadó, aki már megszerezte a felhasználói hitelesítési adatokat, többször is megpróbálhat bejelentkezni, annak ellenére, hogy tudja, hogy a fiók MFA-védett. A felhasználó telefonjának spam küldésével MFA-hitelesítési kérelmekkel, a támadók növelik az áldozat éber fáradtságát. Sok áldozat, amikor kérelmek özönét kapja, azt feltételezi, hogy az IT megpróbál hozzáférni a fiókhoz, vagy kattintson a „jóváhagyás” gombra, hogy megállítsa az értesítések özönét. Az emberek könnyen bosszankodnak, és a támadók ezt a maguk javára használják fel.
Ez sok szempontból megkönnyíti a BAC végrehajtását, mint a BEC. A BAC-ban részt vevő ellenfeleknek csak arra kell rábírniuk áldozataikat, hogy rossz döntést hozzanak. Az identitás- és SSO-szolgáltatók megcélzásával pedig a támadók potenciálisan több tucat különböző alkalmazáshoz férhetnek hozzá, beleértve a HR- és bérszámfejtési szolgáltatásokat. Az olyan gyakran használt alkalmazásokhoz, mint a Workday, gyakran SSO-val lehet hozzáférni, ami lehetővé teszi a támadók számára, hogy olyan tevékenységekben vegyenek részt, mint például a közvetlen befizetési és bérszámfejtési csalások, amelyek révén a pénzeszközök közvetlenül a saját számláikra juthatnak.
Ez a fajta tevékenység könnyen észrevétlen marad – ezért fontos, hogy olyan hálózaton belüli észlelőeszközök legyenek, amelyek képesek azonosítani a gyanús viselkedést, még egy jogosult felhasználói fiókból is. Ezenkívül a vállalkozásoknak előnyben kell részesíteniük a használatát adathalászat-ellenálló Fast Identity Online (FIDO) biztonsági kulcsok
MFA használatakor. Ha az MFA csak FIDO-tényezői irreálisak, a következő legjobb dolog az e-mail, SMS, hang és időalapú egyszeri jelszavak (TOTP) letiltása a push értesítések javára, majd az MFA vagy az identitásszolgáltató házirendjének konfigurálása a hozzáférés korlátozása érdekében. a felügyelt eszközökhöz további biztonsági rétegként.
A BAC megelőzés prioritása
Friss a kutatások jelzik
hogy az összes incidens 51%-ában BEC vagy BAC taktikát alkalmaznak. Bár kevésbé ismert, mint a BEC, a sikeres BAC hozzáférést biztosít a támadók számára a fiókhoz kapcsolódó üzleti és személyes alkalmazások széles skálájához. A social engineering továbbra is nagy megtérülésű eszköz a mai támadók számára – olyan eszköz, amelyet a megállítására tervezett biztonsági technológiákkal együtt fejlesztettek ki.
A modern vállalkozásoknak nevelniük kell alkalmazottaikat, megtanítva nekik, hogyan ismerjék fel a lehetséges átverés jeleit, és hol jelentsék. Mivel a vállalkozások évről évre több alkalmazást használnak, az alkalmazottaknak kéz a kézben kell dolgozniuk biztonsági csapataikkal annak érdekében, hogy a rendszerek továbbra is védve maradjanak az egyre körülményesebb támadókkal szemben.
