Media społecznościowe stały się kopalnią łatwo dostępnych informacji na temat przestępczości internetowej – te bezcenne źródła danych osobowych – pozwalają przygotować scenariusz do ataków socjotechnicznych.
Trudno sobie wyobrazić, ile trzeba było się namęczyć, aby uzyskać informacje o danej osobie, gdy nie było Internetu – teraz jest to znacznie prostsze, choć oczywiście trochę generalizuję. Większość ludzi jednak bardzo chętnie dzieli się w sieci informacjami na swój temat, nie tylko osobistymi, ale i zawodowymi.
Media społecznościowe pozostają słabym punktem obrony przed oszustwami wielu organizacji, nawet jeśli firma podejmuje wszelkie środki ostrożności, niezbędne do ochrony informacji wewnętrznych. Jednak zrozumienie zagrożeń stwarzanych przez media społecznościowe, takich jak łatwiejszy dostęp do pracowników, zwiększona powierzchnia ataku i wykorzystanie słabości psychicznej, może pomóc firmom lepiej przygotować się na cyberataki.
Nieco przerażający jest fakt, że cyberprzestępcy mogą obecnie uzyskać wszystko, czego potrzebują, odwiedzając tylko Twoje konta w mediach społecznościowych.
Socjotechnika to sztuka manipulowania ludźmi tak, aby rozstawali się ze swoimi poufnymi informacjami – wszystkimi, jakie są potrzebne atakującemu, od haseł po dane bankowe. Gdy prowadzę szkolenie z zakresu bezpieczeństwa firmy, a wcześniej miałem okazję zrobić w tej firmie audyt, o którym wie tylko zarząd, zdarzają się „zabawne” sytuacje. Pracownicy podczas szkolenia śmieją się, że nikt nie jest przecież tak nierozsądny, aby kliknąć w nieznany link czy też podać jakieś dane. Mają nieco inne miny, gdy podczas indywidualnych spotkań pokazuję im, że to zrobili. Nigdy nie pokazuje błędów jakiegoś pracownika na forum, bo to nie o to chodzi. Analizujemy przypadki obcych ludzi, aby budować świadomość w zakresie bezpieczeństwa i tego jak łatwo wykraść informacje.
Osoby, które stają się celem ataków, niestety bardzo łatwo można nakłonić do ujawnienia swoich prywatnych informacji, przelewu pieniędzy, a nawet przekazania dostępu do swojego komputera. Przestępcy stosują taktyki socjotechniczne, ponieważ o wiele łatwiej jest im manipulować ludźmi w celu zdobycia ich zaufania, niż próbować się włamać do ich oprogramowania. Oczywiście zdarza się, że oprogramowanie ma błędy, jednak zdecydowanie łatwiej jest zmanipulować człowieka.
Dołożyłeś wszelkich starań, aby zabezpieczyć swoją firmę, masz dobrą politykę bezpieczeństwa oraz najlepsze dostępne systemy bezpieczeństwa. Jednak bezpieczeństwo Twojej organizacji jest tak dobre jak dobrzy i roztropni są Twoi pracownicy, a oni mogą cię zawieść, jeśli chodzi o zagrożenia związane z socjotechniką.
Choć wszyscy o tym wiedzą, to jednak klikanie w nieznane linki phishingowe nadal stanowi zagrożenie dla przedsiębiorstwa, a korzystanie z mediów społecznościowych wiąże się również z pewnymi problemami.
Niezależnie od tego, czy pracownicy są w pracy, czy w domu, mogą ujawniać prywatne dane firmowe w mediach społecznościowych i nawet nie wiedzieć, że robią coś złego. Firmie może być dość trudno zarządzać bezpieczeństwem przedsiębiorstwa i bezpieczeństwem mediów społecznościowych pracowników. Musieliby przecież cały czas ich inwigilować w Internecie. Niektóre firmy mogą zdecydować się na wprowadzenie ścisłych zasad dotyczących mediów społecznościowych.
Dobrze jest mieć politykę firmy, ale czy Twoi pracownicy faktycznie jej przestrzegają i rozumieją, w jaki sposób nadmierne udostępnianie informacji może spowodować atak socjotechniczny na firmę lub nawet osobę. Najgorsze są zakazy, których ludzie nie rozumieją, ponieważ rzadko kiedy ich przestrzegają.
Problem z mediami społecznościowymi polega na tym, że ludzie mają tendencję do nadmiernego udostępniania informacji, to jednak otwiera przed inżynierem społecznym wiele możliwości przeprowadzenia ataku. Im więcej informacji o Tobie mają, tym lepiej. Jeśli dasz im wystarczającą ilość danych w sieci, szanse na powodzenie operacji wymierzonej w Ciebie czy też Twoją organizację są ogromne.
Oto najważniejsze informacje, które mogą być przydatne dla oszustów w celu stworzenia scenariusza ataku:
Cyberprzestępcy są skuteczni i odnoszą sukcesy w gromadzeniu danych o swoich celach. Przeczesując publiczne profile pracowników w mediach społecznościowych, zbierają cenne dane dotyczące zainteresowań, pracy, działań i innych ważnych informacji na temat danej osoby. Podobnie jak marketerzy tworzą persony dla swoich klientów, atakujący tworzą bogate profile swoich przyszłych ofiar.
Każdy post i zdjęcie w mediach społecznościowych może zawierać ważne dane, które cyberprzestępcy mogą wykorzystać w celu przeprowadzenia ataku socjotechnicznego. Na przykład selfie zespołu zrobione po strategicznym posiedzeniu zarządu może ujawnić wiele ciekawych informacji, jak np. jakieś notatki leżące na stole czy logo firmy, z którą zamierzacie niedługo rozpocząć współpracę. Uzbrojony w przeanalizowaną wiedzę o swoim celu cyberprzestępca kontaktuje się z potencjalną ofiarą i oferuje szczegółowe informacje na temat swojej pracy lub zainteresowań.
W niektórych przypadkach cyberprzestępcy mogą posunąć się nawet do podszywania się pod współpracownika, tworząc fałszywy profil w mediach społecznościowych.
Podszywanie się pod jakąś osobę ma na celu utworzenie profili identycznych z istniejącymi kontami, dzięki czemu można uzyskać informacje od znajomego lub współpracownika. Takie działanie przez oszusta skutkuje powstaniem dwóch prawie identycznych profili użytkowników, a większość z nas nie sprawdziłaby przecież, czy istnieje więcej niż jeden profil.
Co to ma wspólnego z bezpieczeństwem Twojej sieci? Załóżmy, że Twój pracownik otrzymuje wiadomość od cyberprzestępcy podszywającego się pod współpracownika. Ponieważ ma do niego zaufanie, będzie znacznie mniej ostrożny zanim kliknie złośliwe łącze do złudzenia przypominające link doprawdziwego filmu, zdjęcia lub oprogramowania. Ta metoda phishingu w mediach społecznościowych jest znacznie skuteczniejsza niż typowy phishing e-mailowy – w końcu pracownik myśli, że rozmawia z zaufanym znajomym.
Ciekawym przykładem cyberataku był atak typu spear phishing na Twitterze w lipcu 2020 r., którego celem byli pracownicy Twittera. Hakerzy przejęli konta celebrytów na Twitterze i tweetowali fałszywe zbiórki pieniędzy oraz oszustwa związane z bitcoinami, zachęcając fanów i obserwujących do przekazywania darowizn lub wysyłania określonej ilości bitcoinów w celu otrzymania podwójnego zwrotu. To bardzo częste oszustwo w Internecie, które jest skonstruowane tak, że obiecuje ofierze ogromną sumę pieniędzy w zamian za zaliczkę.
Fałszywi reklamodawcy, podszywający się pod popularnych sprzedawców detalicznych, stanowili kiedyś ogromny problem na Facebooku i Instagramie i choć wydaje się, że platformy poradziły sobie z nimi, nigdy nie wiadomo, czy za chwilę nie powstanie jakaś luka, którą znowu wykorzystają oszuści. Takie reklamy kierują niczego niepodejrzewających użytkowników mediów społecznościowych do fałszywych wersji witryny internetowej marki, gdzie mogą zostać skradzione Twoje dane czy też kupisz produkty, które nigdy do Ciebie nie dotrą.
Nawet jeśli atak nie zostanie przeprowadzony właśnie w mediach społecznościowych, cyberprzestępcy mogą wykorzystać je jako środek do osiągnięcia celu, zbierając dane osobowe o Tobie, aby wykorzystać je do złośliwych celów. Hakerzy mogą wykorzystać nawet najbardziej nieszkodliwe informacje i najmniejsze szczegóły, które udostępniasz na platformie, aby zbudować wiarygodny profil, który można wykorzystać w sieci społecznościowej.
Przygotowałem dla Ciebie listę kontrolną, która pomoże Ci zwiększyć swoje bezpieczeństwo w mediach społecznościowych.
Staraj się unikać logowania do innych witryn za pomocą swoich danych logowania do mediów społecznościowych. Jeśli socjotechnik w końcu włamie się na to konkretne konto, może to spowodować efekt domina i kilka Twoich kont internetowych zostanie narażonych na niebezpieczeństwo. Używaj unikalnych, silnych haseł do każdej witryny, z której korzystasz.