• 500 de campanii de deturnare prin e-mail într-un singur an, folosind doar ingineria socială, au fost contabilizate, potrivit cercetătorilor de la Proofpoint
• Infractorii cibernetici au foarte multă imaginație atunci când vine vorba de crearea unor subiecte aparent uzuale, mizând pe nivelul dumneavoastră scăzut de atenție și pe presiunea timpului

Ingineria socială este componenta preeminentă a majorității covârșitoare a atacurilor cibernetice din prezent. Indiferent dacă obiectivul unui infractor cibernetic este de a comite în mod direct o fraudă, de a colecta acreditări sau de a instala programe malware, la un moment dat o ființă umană trebuie să fie manipulată prin deturnare mentală pentru a întreprinde o acțiune în numele actorilor.

În 2021, Proofpoint a observat peste 500 de campanii care utilizează deturnarea de conversații pe e-mail, asociate cu 16 familii diferite de malware. Principalele surse de amenințare, inclusiv TA571, TA577, TA575 și TA542, utilizează în mod regulat thread hijacking în campanii. În majoritatea cazurilor observate, în special în cazul surselor de amenințare care distribuie Qbot, Emotet, IcedID și Ursnif, mecanismul de deturnare a firelor este automatizat, conversațiile de e-mail sunt furate de pe gazdele infectate, iar răspunsurile la mesaje sunt trimise automat de către atacator.

Thread hijacking, sau deturnarea conversațiilor, este o tehnică prin care infractorii răspund la conversațiile de e-mail benigne folosind un atașament malițios, un URL sau o cerere de a efectua o acțiune în numele sursei de amenințare. Un infractor care utilizează această metodă profită de încrederea persoanei în conversația de e-mail existentă. De obicei, un destinatar așteaptă un răspuns de la expeditor și, prin urmare, este mai înclinat să interacționeze cu conținutul injectat.

„Cu excepția cazului în care expeditorul este o adresă de e-mail cunoscută, ar trebui să fiți întotdeauna precauți, dacă nu chiar suspicioși la orice mesaj care invită la o acțiune, indiferent de ce ar fi, mai ales dacă implică să dați clic pe un hyperlink. Ar putea fi o așa-zisă confirmare de plată, o cerere de ofertă sau orice altceva asemănător. Infractorii devin din ce în ce mai bogați în imaginație în ceea ce privește ingineria socială și înșelarea lucrătorilor din domeniul informaticii care nu sunt suspicioși”, avertizează Lucia Milică, Vicepreședinte Proofpoint și Global Resident Chief Information Security Officer.

Pentru a deturna cu succes o conversație existentă, infractorii trebuie să obțină acces la căsuțele de e-mail ale utilizatorilor legitimi. Acesta poate fi obținut în diverse moduri, inclusiv prin phishing, atacuri malware, liste de referințe disponibile pe forumurile de hacking sau tehnici de spargere a parolelor. Infractorii pot, de asemenea, să deturneze servere de e-mail sau căsuțe poștale întregi și să trimită automat răspunsuri din botnet-uri controlate.

Un alt exemplu de atacuri de inginerie socială sunt amenințările de tip Lure și Task Business Email Compromise (BEC), care încep de obicei cu o conversație benignă sau pun o întrebare pentru a determina destinatarul să se implice în e-mail. E-mailurile de tip „Lure/task” sunt, de obicei, o temă de trecere – dacă victima răspunde, aceasta poate fi condusă către un alt tip de amenințare, cum ar fi o fraudă cu carduri cadou, salarii sau facturi. Proofpoint identifică și blochează în mod automat aproximativ 80.000 de e-mailuri cu tematică de sarcină în fiecare lună.

Pentru a descărca raportul complet Proofpoint 2022 Social Engineering Report, vă rugăm să vizitați:

https://www.proofpoint.com/sites/default/files/threat-reports/Proofpoint_Threat_Research_Social_Engineering_Report_2022.pdf

Vizitați noul CISO Hub al Proofpoint la www.proofpoint.com/us/ciso-hub, o sursă de conținut la nivel CISO, ce conţine evaluări, cercetări, tendințe, resurse tehnice, instrumente și evenimente viitoare. Fiecare lună prezintă un subiect actual, relevant în mod unic pentru rolul CISO.