Każdy, kto ma telefon i może odbierać połączenia, jest podatny na atak pod pretekstem. Atakujący pod pretekstem mogą dzwonić do Ciebie pod fałszywym pretekstem, np. podszywając się pod pracownika działu technicznego firmy lub innego zespołu mającego dostęp do haseł, aby manipulować Tobą i uzyskać informacje. Osoby atakujące mogą sprzedawać lub nadużywać tych danych, dlatego należy aktywnie chronić swoje informacje.
Więc co to jest uprzedzenie? Jak możesz się chronić?
Co to jest pretekstowanie?
udawanie, forma inżynierii społecznej, ma miejsce, gdy haker używa oszukańczych środków, aby uzyskać dostęp do systemu, sieci lub jakichkolwiek informacji. Atakujący wymyśla fałszywy scenariusz, zwany pretekstem, podszywając się pod kogoś doświadczonego, na przykład pracownika IT, kierownika HR, a nawet agenta rządowego. Ten atak może mieć miejsce online i osobiście.
Pretexting rozpoczął się w Wielkiej Brytanii na początku 2000 roku, kiedy dziennikarze szukający soczystych informacji o celebrytach zastosowali ekstremalne środki, aby ich szpiegować. Konkurencja między markami informacyjnymi była zacięta, co skłoniło dziennikarzy do wynalezienia nowych sposobów pozyskiwania prywatnych informacji.
Po pierwsze, było to tak proste, jak węszenie na poczcie głosowej celebryty. Wiadomości głosowe były dostarczane z domyślnym kodem PIN, którego wielu użytkowników nie zadało sobie trudu, aby go zmienić, a dziennikarze to wykorzystali. Jeśli domyślny kod PIN został zmieniony, niektórzy posunęli się nawet do dzwonienia do swoich celów i udawania techników z firmy telefonicznej. Zdobyliby kody PIN poczty głosowej i uzyskaliby dostęp do informacji tam ukrytych.
Ogólnie rzecz biorąc, scenariusze pretekstów zwykle wydają się wymagać pilności lub współczucia ze strony niedoszłej ofiary. Atakujący mogą wykorzystywać e-maile, rozmowy telefoniczne lub wiadomości tekstowe, aby skontaktować się ze swoimi celami.
Elementy ataku pod pretekstem
W scenariuszu pretextingu istnieją dwa główne elementy: „postać” odgrywana przez oszusta i „prawdopodobna sytuacja” ma na celu oszukanie celu, aby uwierzył, że postać ma prawo do informacji, które ma są po.
Wyobraź sobie, że próbujesz przetworzyć transakcję, ale ona nie przechodzi. Nie dostajesz zamówionej pizzy, a sklep internetowy jest zamknięty. Co za porażka! Ale to nie wszystko. Kilka minut później, przez jakiś niewytłumaczalny błąd, dowiadujesz się, że Twoje konto zostało obciążone.
Wkrótce potem atakujący dzwoni i przybiera postać, udając agenta obsługi klienta z twojego banku. Ponieważ spodziewasz się telefonu, wpadasz w tę prawdopodobną sytuację i podajesz informacje o swojej karcie kredytowej.
Jak działa pretekstowanie?
Pretexting wykorzystuje słabości w weryfikacji tożsamości. Podczas transakcji głosowych fizyczna identyfikacja jest prawie niemożliwa, dlatego instytucje uciekają się do innych metod identyfikacji swoich klientów.
Metody te obejmują żądanie weryfikacji daty urodzenia, najbliższych krewnych, liczby potomstwa, adresu kontaktowego, nazwiska panieńskiego matki czy numeru konta. Większość tych informacji można uzyskać online z kont mediów społecznościowych celu. Pretexters wykorzystują te informacje, aby „udowodnić” autentyczność swojej postaci.
Oszuści wykorzystują Twoje dane osobowe, aby skłonić Cię do ujawnienia bardziej poufnych informacji, które mogą wykorzystać. Uzyskanie tych danych osobowych wymaga dokładnego zbadania, ponieważ im bardziej szczegółowe są uzyskane dane, tym bardziej będziesz zmuszony zrezygnować z jeszcze cenniejszych informacji.
Oszuści mają również bezpośrednie źródła informacji inne niż media społecznościowe. Mogą sfałszować numer telefonu lub nazwę domeny e-mail organizacji, pod którą się podszywają, aby zwiększyć wiarygodność prawdopodobnej sytuacji sprzedawanej celowi.
3 godne uwagi techniki pretekstowania
Oszuści i hakerzy wykorzystują różne techniki podszywania się pod pretekst, aby uzyskać dostęp do poufnych informacji.
1. Vishing i Smishing
Techniki te są bardzo podobne. ataki Vishingiem polegają na wykorzystaniu połączeń głosowych w celu przekonania ofiary do podania informacji potrzebnych oszustowi. Brzydkie oszustwa, z drugiej strony, użyj SMS-ów lub wiadomości tekstowych.
Vishing ma większe szanse powodzenia, ponieważ cele częściej ignorują wiadomości tekstowe niż bezpośrednie telefony od pozornie niezbędnego personelu.
2. Przynęta
Przynęta polega na wykorzystaniu dużej nagrody w celu zebrania informacji i może również obejmować sfałszowanie zaufanego źródła.
Oszust może udawać prawnika, twierdząc, że masz spadek po dalekim krewnym i potrzebuje twoich danych finansowych, aby przetworzyć transakcję. Ofiarami mogą być również wysocy rangą pracownicy docelowej organizacji.
Innym częstym manewrem jest podrzucenie koperty zawierającej pendrive'a z logo firmy i wiadomością do pracy nad pilnym projektem. Pendrive byłby obciążony złośliwym oprogramowaniem, którego hakerzy użyliby, aby uzyskać dostęp do serwerów firmy.
3. straszenie
W tej metodzie hakerzy wykorzystują strach jako taktykę. Godnym uwagi przykładem jest wyskakujące okienko na niezabezpieczonej stronie z informacją, że na Twoim urządzeniu jest wirus, a następnie z prośbą o pobranie programu antywirusowego, który w rzeczywistości jest złośliwym oprogramowaniem. Scareware może być również dystrybuowane za pomocą e-maili i linków w wiadomościach tekstowych.
Jak chronić się przed atakami pod pretekstem
Ataki pod pretekstem są tak powszechne, że prawie nie ma sposobu, aby całkowicie je powstrzymać. Można jednak podjąć kroki w celu ich znacznego ograniczenia.
Jednym z kroków jest analiza wiadomości e-mail. Spojrzenie na nazwę domeny wiadomości e-mail może dać wgląd w to, czy jest sfałszowana, czy autentyczna. Jednak ataki pod pretekstem mogą fałszywe domeny e-mail więc wyglądają prawie identycznie jak oryginał, co sprawia, że niezwykle trudno jest dostrzec te preteksty.
Jednak wraz z rozwojem złożonej technologii sztucznej inteligencji analiza wiadomości e-mail stała się bardziej dostępna. AI może teraz wykryć wzorce phishingu i szukaj oznak udawania. Może identyfikować anomalie w ruchu i sfałszowane wyświetlane nazwy wiadomości e-mail, a także frazy i tekst typowe dla ataków wykorzystujących pretekst.
Edukacja użytkowników jest oczywiście niezbędna. Nikt nie powinien pytać o hasło do banku, kod PIN do karty kredytowej ani numer seryjny. Należy natychmiast zgłosić wniosek w sprawie któregokolwiek z nich do odpowiednich władz. Ponadto przypominając rodzinie, przyjaciołom i pracownikom, aby nie klikali nieznanych linków i unikali ich odwiedzanie niezabezpieczonych stron internetowych może wystarczyć, aby zapobiec przedostawaniu się złośliwego oprogramowania do Twojej firmy serwery.
Nie daj się nabrać na oszustwa związane z pretekstem
Wyłapanie operacji pod pretekstem może nie być łatwe, ale istnieją proste kroki, które możesz podjąć, aby nie paść ofiarą. Nie klikaj linków na niezabezpieczonych stronach i nie ujawniaj nikomu swoich danych logowania. Na platformie internetowej Twojego banku znajdują się zweryfikowane linie obsługi klienta. Kiedy skontaktuje się z Tobą jakikolwiek agent obsługi klienta, upewnij się, że numery odpowiadają oficjalnej linii.