Соціальна інженерія навряд чи є новою концепцією, навіть у світі кібербезпеки. Лише фішингове шахрайство існує вже майже 30 років, і зловмисники постійно знаходять нові способи спонукати жертв клацнути посилання, завантажити файл або надати конфіденційну інформацію.
Атаки компрометації бізнес-електронної пошти (BEC) повторюють цю концепцію, коли зловмисник отримує доступ до законного облікового запису електронної пошти та видає себе за його власника. Зловмисники вважають, що жертви не ставитимуть під сумнів електронний лист, який надходить із надійного джерела, і дуже часто вони мають рацію.
Але електронна пошта — не єдиний ефективний засіб, який використовують кіберзлочинці для атак соціальної інженерії. Сучасний бізнес покладається на низку цифрових додатків, від хмарних сервісів і VPN до засобів зв’язку та фінансових послуг. Більше того, ці програми взаємопов’язані, тому зловмисник, який може скомпрометувати одну, також може скомпрометувати інші. Організації не можуть дозволити собі зосереджуватися виключно на фішингових і BEC-атаках — не тоді, коли компрометація бізнес-додатків (BAC) зростає.
Націлювання на єдиний вхід
Компанії використовують цифрові програми, тому що вони корисні та зручні. В епоху віддаленої роботи співробітникам потрібен доступ до критично важливих інструментів і ресурсів із багатьох місць і пристроїв. Програми можуть оптимізувати робочі процеси, розширити доступ до важливої інформації та полегшити роботу співробітників. Окремий відділ в організації може використовувати десятки додатків, тоді яксередня компанія використовує більше 200. На жаль, відділи безпеки та ІТ-відділи не завжди знають про ці додатки, не кажучи вже про схвалення, що робить нагляд проблемою.
Інша проблема — автентифікація. Створення (і запам’ятовування) унікальних комбінацій імені користувача та пароля може бути проблемою для кожного, хто використовує десятки різних програм для виконання своєї роботи. Використання менеджера паролів є одним із рішень, але для ІТ-спеціалістів може бути важко застосувати його. Замість цього багато компаній оптимізують процеси автентифікації через рішення єдиного входу (SSO)., які дозволяють співробітникам один раз увійти в схвалений обліковий запис для доступу до всіх підключених програм і служб. Але оскільки служби SSO надають користувачам легкий доступ до десятків (або навіть сотень) бізнес-додатків, вони є цінними цілями для зловмисників. Звичайно, постачальники послуг єдиного входу мають власні функції та можливості безпеки, але помилка людини залишається проблемою, яку важко вирішити.
Соціальна інженерія, еволюція
Багато програм — і, звичайно, більшість рішень SSO — мають багатофакторну автентифікацію (MFA). Це ускладнює зловмисникам скомпрометувати обліковий запис, але це точно не неможливо. MFA може дратувати користувачів, яким, можливо, доведеться використовувати його для входу в облікові записи кілька разів на день, що призводить до нетерпіння та, іноді, необережності.
Деякі рішення MFA вимагають від користувача ввести код або показати відбиток пальця. Інші просто запитують: «Це ти?» Останній, хоч і легший для користувача, дає зловмисникам простір для роботи. Зловмисник, який уже отримав набір облікових даних користувача, може спробувати ввійти кілька разів, навіть знаючи, що обліковий запис захищено MFA. Надаючи спаму на телефон користувача запитами автентифікації MFA, зловмисники збільшують настороженість жертви. Багато жертв, отримавши низку запитів, припускають, що ІТ намагається отримати доступ до облікового запису, або натискають «підтвердити», щоб просто зупинити потік сповіщень. Людей легко дратувати, і зловмисники використовують це на свою користь.
У багатьох відношеннях це робить BAC легшим для виконання, ніж BEC. Супротивникам, які беруть участь у BAC, просто потрібно змусити своїх жертв прийняти неправильне рішення. Націлюючись на постачальників систем ідентифікації та єдиного входу, зловмисники можуть отримати доступ до потенційно десятків різних додатків, у тому числі кадрових служб і служб розрахунку заробітної плати. Часто використовувані програми, як-от Workday, часто отримують доступ за допомогою системи єдиного входу, що дозволяє зловмисникам брати участь у таких діях, як прямі депозити та шахрайство з нарахуванням заробітної плати, що може спрямовувати кошти безпосередньо на їхні власні рахунки.
Така діяльність може легко залишитися непоміченою, тому важливо мати засоби виявлення в мережі, які можуть ідентифікувати підозрілу поведінку, навіть з авторизованого облікового запису користувача. Крім того, підприємствам слід визначити пріоритетність використання захищені від фішу ключі безпеки Fast Identity Online (FIDO).
при використанні MFA. Якщо лише фактори FIDO для MFA є нереальними, наступним найкращим рішенням є вимкнути електронну пошту, SMS, голосові зв’язки та одноразові паролі (TOTP) на основі push-сповіщень, а потім налаштувати політику MFA або постачальника ідентифікаційної інформації, щоб обмежити доступ на керовані пристрої як додатковий рівень безпеки.
Пріоритет профілактики BAC
недавній дослідження вказують
що тактика BEC або BAC використовується в 51% усіх інцидентів. Хоча BAC менш відомий, ніж BEC, успішний BAC надає зловмисникам доступ до широкого спектру бізнес- та особистих програм, пов’язаних з обліковим записом. Соціальна інженерія залишається високорентабельним інструментом для сучасних зловмисників — інструментом, який розвивався разом із технологіями безпеки, призначеними для його зупинки.
Сучасний бізнес повинен навчати своїх працівників, навчаючи їх розпізнавати ознаки потенційного шахрайства та куди повідомляти про це. З кожним роком компанії використовують більше додатків, тому співробітники повинні працювати рука об руку зі своїми командами безпеки, щоб допомогти системам залишатися захищеними від дедалі більш хитрих зловмисників.
