Вступ

Згідно з CertiK, платформи верифікації блокчейну та смарт-контрактів, кількість фішингових атак зросла на 170 відсотків у другому кварталі 2022 року, як підкреслено в їхквартальний звітКрім того, Cisco Talos, організація з інтелектуальної безпеки та досліджень в межах компанії Cisco Systems, передбачає, що атаки соціальної інженерії, зокрема, рибальство, стануть домінуючими загрозамиу Web3 та метавсвіт в найближчі роки.

Поки пузырь dotcom поступово набував панування, стаючи однією з найбільш шуканих подій в історії, соціальний інженерінг у криптопросторі поступово набуває популярності з щоденно зростаючими обуреннями жертв від шахрайства та схем фішингу, що залишило багатьох у руйнівному і збентеженому стані. Зі зростанням прийняття криптовалюти, NFT та технологій Web3, також зростає кількість шахрайств у цих галузях.

Незважаючи на те, наскільки це смішно, інновації поступово вийшли за межі вдосконалення деяких процесів; їх можна бачити не лише в тому, як нові схеми постійно переглядаються та розробляються для обману багатьох людей. Цікаво, що кілька користувачів Web3 все ще потрапляють у пастку, оскільки завжди важко вгадати або відчути, коли наближаються шахраї. Статистика показує, що багато людей були невідомі щодо деяких шахрайських дій, доки вони не опинилися в цьому шиї.

Інновації та непередбачувані тенденції в соціальному інженерії

Зловмисники постійно розробляють нові методи, щоб обманути користувачів, щоб вони здали свої криптовалютні активи, NFT-активи або конфіденційні дані для входу, при цьому фішинг є поширеною формою соціально-інженерної атаки.

Соціальний інжиніринг - це всеосяжний елемент практично кожного кібернападу, що пронизує різні форми, такі як класичні електронні листи та вірусні шахраїства, збагачені соціальними нотками. Його вплив поширюється за межі настільних пристроїв на цифрові області, створюючи загрози через мобільні напади. Зокрема, вплив соціального інжинірингу не обмежується цифровим простором, оскільки він може проявлятися особисто, створюючи різноманітну загрозу.

Масштаб збитків від соціальної інженерії не може бути повністю охопленим і врахованим через його широкий охоплює. Дослідники в галузі кібербезпеки виявили мільйони 57 відмінних способів, якими кібератаки можуть негативно впливати на осіб, підприємства, а навіть цілі нації. Ці наслідки охоплюють широкий спектр, охоплюючи загрози для життя, викликання проблем з психічним здоров'ям, такі як депресія, понесення регуляторних штрафів та порушення рутинних щоденних дій.

Перш за все, це маніпулятивна стратегія, яка використовує людські помилки для отримання конфіденційної інформації, несанкціонованого доступу або цінних активів. Слід відзначити, що ці шахраївства складно сплетені навколо розуміння людських мислених процесів та поведінки, що робить їх особливо ефективними у маніпулюванні користувачів. Розуміючи мотивації, які ведуть дії користувача, нападники можуть вміло обманювати та впливати на них.

Типи атак соціальної інженерії

Джерело: Офіс 1.com

Фішингові атаки

Одним з улюблених прийомів злочинців, які займаються соціальним інженерінгом, завжди були атаки фішингу. Ці нападники вдаються, що вони з вашого банку або криптовалютної біржі або навіть друга, намагаючись отримати від вас паролі або особисті дані.

• Спам-шахрайство: Це схоже на широку мережу для риболовлі, яка намагається спіймати кожного. Це не особисте; воно просто сподівається, що хтось кинеться на крючок.
• Спіринг та вудкарство: ці методи спрямовані. Вони використовують конкретні деталі про вас, наприклад, ваше ім'я, щоб обдурити вас. Вудкарство схоже на спробу потрапити у велику рибу, таку як відомі люди або високопосадовці.

Зараз, як вони виконують ці трюки?

• Голосовий шахрайство (Vishing): Вони можуть вам зателефонувати, або з записаним повідомленням, або реальною людиною, змушуючи вас довіряти їм і діяти швидко
• SMS-шахрайство (Smishing): Ви отримуєте SMS з посиланням або повідомленням, що закликає вас відповісти негайно. Це може привести вас на фальшивий веб-сайт або шахрайську електронну пошту чи номер телефону
• Електронна пошта для рибалки: Це класичний варіант. Ви отримуєте лист, який обманює вас, щоб натиснути посилання або відкрити щось погане
• Фішинг вудилищників: на соціальних мережах вони можуть виглядати як служба підтримки, захоплюючи вашу розмову в приватні повідомлення
• Phishing через пошукові системи: вони маніпулюють результатами пошуку, тому ви потрапляєте на фальшивий веб-сайт замість реального
• Посилання для рибалки URL: Ці хитрі посилання з'являються в електронних листах, текстах або соціальних мережах, намагаючись зманити вас на фальшиві веб-сайти
• Фішинг під час сеансу: Це відбувається тоді, коли ви переглядаєте Інтернет, зі штучними спливаючими вікнами, що запитують ваші дані для входу

Інші типи соціальної інженерії включають в себе:

Атаки з лукавством

Зловмисництво обманює вас, використовуючи ваш природний допитливість, щоб залучити вас до відкриття себе перед нападником. Вони часто обіцяють щось безкоштовне або ексклюзивне, щоб експлуатувати вас, зазвичай включаючи зараження вашого пристрою шкідливим ПЗ. Розповсюджені методи включають залишення USB-накопичувачів у громадських місцях або надсилання електронних листів з пропозиціями про безкоштовні речі або фальшиве програмне забезпечення.

Фізичні атаки на порушення безпеки

Це включає нападники, які з'являються особисто, виглядаючи кимось легітимним, щоб отримати доступ до обмежених зон або інформації. Це більш поширене в великих організаціях. Нападники можуть виглядати як довірений постачальник або навіть колишній працівник. Це ризиковано, але якщо успішно, винагорода велика.

Атаки заради обману

Претекстування використовує фальшивий ідентифікатор, щоб встановити довіру, наприклад, уособлюючи постачальника або співробітника. Зловмисник активно взаємодіє з вами і може зловживати вашим гаманцем, якщо вони переконають вас, що вони законні.

Атаки на прохід

Тейлгейтинг або піггібекінг - це коли хтось слідує за авторизованою особою до обмеженої зони. Вони можуть покладатися на вашу ввічливість, щоб утримати двері або переконати вас, що їм дозволено входити. Тут також може відігравати роль підстава.

Атаки Quid Pro Quo

Це передбачає обмін вашої інформації на винагороду або компенсацію. Вони можуть пропонувати подарунки або дослідження для отримання ваших даних, обіцяючи щось цінне. Нажаль, вони просто беруть ваші дані, не надаючи вам нічого.

Атаки з вірусами-вимагачами

У випадках атак залякування, шкідливе програмне забезпечення залякує вас до дії, показуючи фальшиві попередження про інфікування шкідливим програмним забезпеченням або компрометованими обліковими записами. Це змушує вас купувати фальшиве кіберзахистове програмне забезпечення, яке може розкрити ваші особисті дані.

Приклади атак із соціальної інженерії

Підкреслення цих прикладів також може служити основною темою цієї статті, щоб дати читачам змогу узяти більше запобіжних заходів у разі зіткнення з подібними ситуаціями.

Нижче наведені приклади атак соціальної інженерії:

Напади глистів

Кіберзлочинці привертають увагу, спонукаючи користувачів клацнути на інфіковані посилання або файли. Приклади включають черв'яка LoveLetter у 2000 році, черв'яка електронної пошти Mydoom у 2004 році та черв'яка Swen, що видається за повідомлення від Microsoft, що пропонує фальшивий патч для безпеки.

Канали поширення посилань на шкідливе ПЗ

Щодо шкідливого програмного забезпечення, інфіковані посилання можуть бути відправлені по електронній пошті, миттєвими повідомленнями або інтернет-чатами. Мобільні віруси можуть бути доставлені через SMS-повідомлення. Зверніть увагу, що ці повідомлення зазвичай використовують цікаві слова, щоб зманити користувачів на клік, обійшовши антивірусні фільтри електронної пошти.

Атаки на мережу однорідних (P2P)

У мережах P2P їх використовують для поширення шкідливого ПЗ з привабливими назвами. Файли, такі як "AIM & AOL Password Hacker.exe" або "Playstation emulator crack.exe", приваблюють користувачів до завантаження та запуску.

Присоромлення інфікованих користувачів

Творці шкідливих програм маніпулюють жертвами, пропонуючи фальшиві утиліти або посібники, що обіцяють незаконні вигоди, наприклад, безкоштовний доступ до Інтернету або генератор номерів кредитних карток. Жертви, не бажаючи розкривати свої незаконні дії, часто уникають повідомлення про інфікування.

Як працює соціальна інженерія?

Джерело: Imperva, Inc.

Атаки з використанням соціальної інженерії переважно ґрунтуються на спілкуванні між злочинцями та цілями. Замість того, щоб розраховувати на насильницькі методи для порушення даних, нападники зазвичай спрямовані на маніпулювання користувачами, щоб примусити їх пожертвувати власною безпекою.

Цикл атаки соціального інженерінгу слідує систематичному процесу, використовуваному цими злочинцями для ефективного обману осіб. Основні етапи цього циклу такі:

• Атаки з використанням соціальної інженерії зазвичай розгортаються в ряді кроків. Зловмисний актор ініціює процес, досліджуючи можливу жертву, спрямовуючи зусилля на збір важливої інформації, такої як слабкі практики безпеки або вразливі точки входу.
• Озброївшись достатньою кількістю деталей, злочинець встановлює довірчі відносини з жертвою, застосовуючи різні тактики. Соціальна інженерія охоплює такі методи, як створення фальшивої терміновості, видача себе за авторитетну фігуру або висячі привабливі винагороди.
• Після цього вони відключаються, що означає, що вони відкликаються після того, як користувач виконав бажану дію.

Ця маніпуляція часто ґрунтується на мистецтві переконання, де нападники використовують психологічні тактики, щоб зловживати людською поведінкою. Розуміючи ці тактики, люди можуть краще впізнавати та протистояти можливим спробам соціальної інженерії, сприяючи більш безпечному цифровому середовищу. Тож залишайтеся інформованими, будьте бджалими та надавайте перевагу онлайн-безпеці!

Соціальна інженерія в Web 3.0

Джерело: Systango

Простір Web 3.0 нещодавно став значним полем для багатьох злочинних соціально-інженерних активностей. У сфері криптовалют хакери часто використовують соціально-інженерні тактики для незаконного доступу до криптовалютних гаманців або облікових записів. Цифрові активи користувачів криптовалют, збережені в гаманцях з конфіденційними приватними ключами, стають головними мішенями для соціально-інженерних шахрайств через їх чутливий характер.

Замість того, щоб покладатися на грубу силу для порушення безпеки та крадіжки криптовалютних активів, злочинці використовують різні техніки для експлуатації людських вразливостей. Наприклад, нападники можуть використовувати схеми, щоб обманом змусити користувачів розкрити приватні ключі через видимо невинні методи, такі як фішингові електронні листи. Уявіть, що ви отримуєте електронний лист, який здається від вашого сервісу гаманця чи служби підтримки, але насправді це спроба фішингу з метою обману вас у розкритті важливої інформації.

Наприклад, зображення спроби соціальної інженерії процесу на X (раніше Twitter) наведено нижче. М'яко кажучи, X може бути відзначений як глобальний продукт з міцними брандмауерами й захистами, але, на жаль, соціальна інженерія не знає меж, оскільки ці злочинці продовжують розробляти інноваційні та більш вдосконалені моделі, щоб прорватися через будь-який напружений бар'єр чи особу/організацію, до яких вони хочуть отримати доступ.

Джерело: X Підтримка

Ще один твіт був помічений на X 15 липня 2020 року від користувача з ніком ‘@loppХудожня робота хлопців-соціальних інженерів, схоже, йому знайома, оскільки його твіти показують певний рівень досвіду.

Джерело: Джеймсон Луп на Ікс

Для захисту ваших утримань криптовалюти надзвичайно важливо бути бджливими проти таких обманницьких тактик. Будьте обережні щодо неочікуваних електронних листів або повідомлень, перевірте автентичність спілкування та ніколи не передавайте особисті ключі невідомим джерелам. Ще одне повідомлення в Твіттері 13 лютого 2022 року показує іншу далеч від схожих дій.

Джерело:Thomasg.eth на X

Крім того, у вересні 2023 року децентралізований протокол Balancer, який працює на блокчейні Ethereum, повідомив про інцидент забезпечення безпеки, пов'язаний із атакою соціального інженерінгу. Платформа відновила контроль над своєю доменною адресою, але попередила користувачів про потенційну загрозу з боку несанкціонованого веб-сайту. Balancer закликав користувачів залишатися бджолами та бути обережними стосовно ризиків, пов'язаних із цим інцидентом.

Джерело: Balancer на X

Ознаки атак соціальної інженерії

Атаки соціальної інженерії обертаються навколо вправного використання злочинцем переконання та впевненості, що спонукає індивідів до дій, які вони зазвичай не розглядали б.

У зустрічі з цими тактиками особи часто виявляються жертвами наступних обманливих поведінок:

• Збільшені емоції: Емоційне маніпулювання є потужним інструментом, який використовується для експлуатації осіб у підвищеному емоційному стані. Люди схильні до прийняття ірраціональних або ризикованих рішень, коли переживають збільшені емоції. Тактики включають в себе спричинення страху, захоплення, цікавості, гніву, вини або сумування.
• Терміновість: Звернення або запити, які вимагають швидкого реагування, представляють собою надійну стратегію для атакування. Створюючи відчуття терміновості, атакуючі можуть висувати як проблему, що потребує негайного вирішення, так і пропонувати обмежений у часі приз або винагороду. Ці тактики призначені для перекриття здатності критичного мислення.
• Довіра: Встановлення вірогідності є найважливішою у соціальних інженерних атаках. Впевненість є ключовим елементом, оскільки зловмисники виготовляють наратив, підтверджений достатнім дослідженням цілі, щоб зробити його легко вірогідним і малоймовірним для підозри.

Як виявити атаки соціальної інженерії

Джерело: Xiph Cyber

Захист від соціальної інженерії починається з самосвідомості. Приділіть хвилину, щоб подумати, перш ніж реагувати або діяти, оскільки зловмисники покладаються на швидкі реакції. Ось декілька питань, які варто розглянути, якщо ви підозрюєте соціально-інженерну атаку:

• Перевірте свої емоції: Чи підвищені ваші емоції? Ви можете бути більш схильними, якщо ви відчуваєте надзвичайно цікавість, страх або захват. Підвищені емоції можуть затемнити судження, тому дуже важливо впізнавати ці червоні прапори.
• Перевірте відправників повідомлень: Чи прийшло повідомлення від легітимного відправника? Ретельно перевірте електронні адреси та профілі в соціальних мережах на незначні відмінності, такі як помилкові імена. У разі можливості підтвердіть з припущеним відправником через інші засоби, оскільки фальшиві профілі є поширеними.
• Підтвердіть ідентифікацію відправника: Чи справді ваш друг відправив повідомлення? Підтвердіть з особою, чи вони відправили повідомлення, особливо якщо це стосується чутливої інформації. Вони можуть не бути усвідомлені щодо взлому або підроблення.
• Перевірте деталі веб-сайту: Чи має веб-сайт дивні деталі? Зверніть увагу на неправильності в URL-адресі, якість зображень, застарілі логотипи або помилки на веб-сторінці. Якщо вам щось здається дивним, залиште веб-сайт негайно.
• Оцініть достовірність пропозиції: Чи здається пропозиція занадто доброю, щоб бути правдою? Будьте обережні з привабливими пропозиціями, оскільки вони часто стимулюють атаки соціальної інженерії. Питайте себе, чому хтось пропонує цінні речі за мінімальну вигоду зі свого боку, і залишайтеся бджілими щодо збору даних.
• Перевіряйте вкладення та посилання: Чи є вкладення або посилання, які виглядають підозріло? Якщо посилання або назва файлу здається незрозумілою або виходить за контекст, переоцініть законність всього спілкування. Червоними прапорами можуть бути дивний час, незвичайний контекст або інші підозрілі елементи.
• Перевірка ідентичності вимагається: Чи може людина довести свою ідентичність? Якщо хтось запитує доступ, особливо особисто, настоюйте на перевірці ідентичності. Переконайтеся, що вони можуть довести свою приналежність до заявленої організації, будь то онлайн або особисто, щоб уникнути потрапляння жертвою фізичних порушень.

Висновок

Постійно змінюючийся ландшафт атак соціальної інженерії вимагає постійної бдительності з боку користувачів Web3. Інновації революціонізували наше життя, але також стали двосековим мечем, що дозволяє як прогресу, так і злочинним діячам. Оскільки відповідальність за захист наших цифрових активів лежить на наших плечах, важливо вживати проактивні заходи.

Ця стаття забезпечила вас цінними знаннями для ідентифікації та боротьби зі спробами соціальної інженерії. Пам'ятайте, що сповільнення та критичне мислення перед прийняттям будь-яких заходів - це ваша ключова оборона. Впроваджуйте зазначені запобіжні заходи, такі як аналіз комунікаційних каналів, впровадження багатофакторної автентифікації, зміцнення паролів та відстеження оновлюваних методів рибальства.

Ми можемо спільно побудувати більш безпечне та відповідальне середовище Web3, бути уважними та пильними. Пам'ятайте, відповідальність лежить на кожній окремій особі захищати себе та їхні цифрові активи. Так що будьте бджілі, будьте проінформовані та бережіть себе!