Новости социальной инженерии

В последнее время увеличивается количество случаев гиперперсонализированного мошенничества по электронной почте. Рассмотрим, как компании могут эффективно справляться с этой угрозой.

Искусственный интеллект (ИИ) является мощной силой, которая может быть использована не только во благо. С одной стороны, генеративный ИИ повышает продуктивность предприятий, с другой – помогает киберпреступникам улучшать свои атаки, особенно в области гиперперсонализированных фишинговых писем.

Киберпреступники используют генеративный ИИ для настройки фишинговых писем, увеличивая объем и сложность своих атак. 80% руководителей служб безопасности заявляют, что их организации стали жертвами фишинговых писем, созданных с помощью ИИ. Чтобы ИТ-руководители могли подготовиться к новым видам мошенничества, компании должны понимать, с чем они сталкиваются.Эволюция фишинговых атак

Фишинговые атаки направлены на манипуляцию человеческой психологией и предубеждениями. Как отмечает Фредрик Хейдинг, научный сотрудник Гарвардского университета, "они работают, потому что захватывают короткие пути в вашем мозгу. Но если вы сделаете паузу и обдумаете содержание письма, ваш рациональный мозг возьмет верх".

На самом деле 61% людей распознают мошеннические действия, такие как фишинговые электронные письма, из-за неправильной орфографии и грамматики, которые в них содержатся. Но, как сообщает Okta, эти сигналы больше не используются, поскольку генеративный ИИ исправляет такие ошибки.Генеративный ИИ в руках преступников

"Мы смогли обмануть генеративную модель ИИ и создать очень убедительные фишинговые письма всего за пять минут", – отмечает Стефани Каррутерс из IBM X-Force Red. Обычно ее команде требуется около 16 часов для создания фишингового письма. Таким образом, ИИ значительно сокращает время и усилия, необходимые для создания таких атак.Благодаря генеративному ИИ, преступники могут создавать и отправлять персонализированные фишинговые письма целевой аудитории быстрее и с большей эффективностью. Это вызывает серьёзные опасения у 98% руководителей в области кибербезопасности.

Защита от новых атак

Для борьбы с эволюционирующими фишинговыми атаками руководители служб безопасности должны совершенствовать свои меры защиты. Несмотря на то, что многие ИТ-организации полагаются на своих облачных провайдеров и устаревшие инструменты безопасности, лучшей защитой от ИИ может стать сам ИИ.ИИ может улучшить обнаружение угроз, аналитику и скорость реагирования на инциденты. Он способен идентифицировать фишинговый контент с помощью поведенческого анализа, обработки естественного языка, анализа вложений, обнаружения вредоносных URL и других методов.Обучение безопасности

Помимо использования ИИ для защиты, компании должны обучать своих сотрудников технике безопасности, чтобы уменьшить вероятность человеческой ошибки. Обучение должно включать распознавание фишинговых атак, созданных с помощью ИИ, и практические советы по их избеганию.Как заключает специалист по кибербезопасности Гленис Тан: "Обучение технике безопасности по-прежнему играет важную роль. Будьте осторожны и сохраняйте скептицизм".

Новости из Индии: риэлторская фирма из Пуны недавно стала жертвой мошенничества на сумму ₹4 крор (приблизительно $486,000), когда киберпреступники, выдавая себя за председателя компании, обманули бухгалтера и заставили его перевести средства компании на мошеннические банковские счета. В аналогичной афере финансовый контролер местного подразделения транснациональной компании также потерял несколько крор рупий, когда финансовый директор был в отпуске.

Атаки становятся всё более изощренными, и киберпреступники всё чаще нацеливаются на крупные компании для получения значительных сумм. По словам экспертов, количество так называемых китобойных атак, или мошенничества генерального директора, увеличилось в два-три раза за последний год. Мошенники используют социальную инженерию, чтобы выдавать себя за топ-менеджеров компаний и обманом заставлять сотрудников переводить деньги, предоставлять конфиденциальные данные, покупать подарочные карты или разрешать доступ к сети. Эти инциденты часто приводят к финансовым потерям, утечкам данных и повреждению репутации компаний.

"Это большая проблема, в которой замешаны преступные организации," - говорит Ранджит Беллари, партнер индийской компании EY Forensic & Integrity. "Мы расследуем мошенничества в области социальной инженерии в течение последних семи-восьми лет, но в последнее время число атак на должностных лиц уровня CEO и CXO резко возросло. Мошенники используют искусственный интеллект и боты, изучают профили руководителей в социальных сетях и другой доступный контент, чтобы создавать убедительные электронные письма, которые кажутся законными. Эти атаки успешны отчасти из-за низкой осведомленности сотрудников и того, что мошенники поняли: легче заставить сотрудников подчиниться письмам от высшего руководства."

Беллари добавил, что обучение сотрудников является первой линией защиты. "Компании должны проводить тренинги по повышению осведомленности. В большинстве случаев это реактивные меры, но важно быть проактивными."Многие компании стараются скрыть факты мошенничества, из-за чего реальное количество случаев может быть гораздо выше.

Акшай Гаркель, партнер и кибер-лидер Grant Thornton Bharat, отмечает, что в крупных компаниях с годовым доходом от ₹50,000 до ₹100,000 крор (приблизительно от $6 до $12 миллиардов) иногда проще списать небольшие суммы, чем наносить удар по репутации работодателя. "Однако, правоохранительные органы должны быть проинформированы обо всех случаях," - добавил он.

По словам Гаркеля, за этими инцидентами стоят чисто финансовые мотивы. "Уровень осведомленности о безопасности нуждается в улучшении. Мониторинг и блокировка таких инцидентов должны быть более тщательными."Ашок Харихаран, исполнительный директор компании по выявлению мошенничества IDfy, подчеркнул, что даже его компания стала мишенью. "Месяц назад 50-60 из 650 сотрудников компании получили электронное письмо якобы от меня. Никто не попался на удочку, но подобные инциденты случались и в прошлом. Личные данные легко доступны, и мошенники могут использовать их для атак. Перевод денег через UPI стал чрезвычайно простым, что сделало его основой для большинства мошенничеств.

"Крупные организации чаще сталкиваются с подобными мошенничествами. "Необходимо проводить информационные семинары для финансовых групп и тех, кто имеет дело с поставщиками, так как они являются наиболее уязвимыми целями," - заключил Харихаран.

Новая платформа "фишинг как услуга" (PhaaS), известная как ONNX Store, нацелена на учетные записи Microsoft 365 сотрудников финансовых фирм, используя QR-коды во вложениях PDF. Платформа работает с помощью ботов Telegram и имеет механизмы обхода двухфакторной аутентификации (2FA).

По мнению исследователей из EclecticIQ, ONNX является переработанной версией фишингового набора Caffeine, управляемого арабоязычным злоумышленником MRxC0DER. Впервые платформа Caffeine была обнаружена компанией Mandiant в октябре 2022 года, когда она была нацелена на российские и китайские платформы вместо западных сервисов.

В феврале 2024 года EclecticIQ зафиксировали атаки ONNX, направленные на сотрудников банков, кредитных союзов и частных финансовых фирм. Фишинговые электронные письма, замаскированные под сообщения от отделов кадров (HR), содержали PDF-вложения с вредоносными QR-кодами. Сканирование QR-кода на мобильном устройстве позволяло злоумышленникам обойти защиту от фишинга и перенаправить жертв на поддельные страницы входа в Microsoft 365.

Жертвам предлагалось ввести свои учетные данные и токен 2FA на поддельной странице входа, что позволяло злоумышленникам мгновенно получать доступ к учетным данным и токену через WebSockets. Это позволяло им взломать учетную запись до истечения срока действия токена аутентификации и проверки MFA. Затем они могли получить доступ к скомпрометированной учетной записи, фильтровать конфиденциальную информацию или продать учетные данные в темной сети для дальнейших атак.

ONNX представляет собой привлекательную и экономически эффективную платформу для киберпреступников. Операционный центр находится в Telegram, где боты позволяют управлять фишинговыми операциями через интуитивно понятный интерфейс. ONNX использует зашифрованный код JavaScript и сервисы Cloudflare для обхода антифишинговых инструментов и защиты от отключения доменов. Платформа предлагает четыре уровня подписки с различными возможностями для фишинговых кампаний.

Для защиты от таких изощренных фишинговых атак рекомендуется блокировать вложения в формате PDF и HTML из непроверенных источников, блокировать доступ к веб-сайтам с ненадежными сертификатами и настраивать аппаратные ключи безопасности FIDO2 для привилегированных учетных записей. Очень важно также обучать сотрудников распознавать фишинг, чтобы они могли эффективно защищаться от подобных угроз.