Mis on ettekäändel rünnak (koos näidetega)?
Üksikisikuid ja ettevõtteid sihivad petturid kasutavad sageli väärtusliku teabe hankimiseks ning kontodele, andmetele, finantsteabele ja võrkudele juurdepääsu saamiseks e-kirju, tekstsõnumeid või telefonikõnesid. Paljud meist on kogenud olukorda, kus keegi esitleb end sõbraliku ja abivalmi klienditeeninduse esindajana, kes aitab lahendada probleemi läbimõeldud stsenaariumi põhjal.
Esialgne petusõnum võib olla midagi sellist:
- 'Märkasime, et teie pangakonto on seisma jäänud ja tahame aidata teil seda uuesti aktiveerida.'
- 'Märkasime teie klienditeabe kirjes ebakõlasid ja tahame aidata teil seda värskendada.'
- 'Keegi üritas tundmatust asukohast teie kontole sisse logida ja me tahame aidata teil kiiresti parooli/PIN-koodi lähtestada.'
Vestluse arenedes küsib pettur privaatset teavet. See võib olla parool, krediitkaardi number või muu tundlik teave, mida saab teie vastu kasutada. Seda pettuse meetodit nimetatakse ettekäändeks.
Mis on ettekääne?
Ettekääne on vorm sotsiaalse inseneri rünnak , inimeste psühholoogiline manipuleerimine tegevuste sooritamiseks või konfidentsiaalse teabe avaldamiseks. Ründaja mõtleb välja stsenaariumi (ettekäände), et kaasata sihikule suunatud ohver ja veenda teda avaldama väärtuslikku teavet või tegema toiminguid, mis tavaolukorras oleksid ebatõenäolised.
Ettekääne on peaaegu iga hea sotsiaalse manipuleerimise rünnaku keskmes; ja see sõltub suuresti ründajast, kes loob veenva ja tõhusa keskkonna, loo ja identiteedi, et petta üksikisikuid ja ettevõtteid tundlikku teavet avaldama. Seda teavet saab seejärel kasutada ohvri edasistes küberrünnakutes ärakasutamiseks. Mida täpsemat teavet teeskleja teie kohta teab enne, kui ta teiega tegeleb, seda suurem on võimalus veenda teid väärtuslikust teabest loobuma.
Ettekäände esitamise põhiosa on stsenaariumi (ettekäände) loomine, mida seejärel kasutatakse sihtmärkide kaasamiseks. 'Stsenaarium' koos 'tegelasega' (rolliga) pani aluse rünnakule. Need kaks elementi moodustavad aluse paljude muude tehnikate rakendamiseks üldeesmärgi saavutamiseks. Stsenaarium on usutavate olukordade ja sündmuste jada, mille on koostanud ja suunanud sotsiaalinsener eesmärgiga manipuleerida ja väärtuslikku teavet ammutada. Seda toetab tavaliselt luure käigus kogutud faktiline teave – eelküsitlus taustteabe saamiseks –, et muuta ettekääne usutavamaks. Tegelane on roll, mida teeskleja valitud stsenaariumis mängib, kehastades tegelikku või väljamõeldud isikut.
Oletagem näiteks, et ründaja soovib kasutada ettekäänet, et saada annetajalt heategevusorganisatsioonile pangakonto mandaate. Ründaja oli varem kogunud põhiteavet (täisnimi, kontaktaadress, e-posti aadress ja telefoninumber) heategevusorganisatsioonile hiljutiste annetajate kohta, otsides läbi nende prügikasti ja leides ära visatud annetajate teabevormid. Ründaja otsustab kasutada annetajate kohta saadud teavet, et luua sellele ettekääne.
Ettekääne kõlab järgmiselt: 'Tere, ma olen Jane, XYZ heategevusorganisatsiooni finantsametnik. Katse teie annetust töödelda ja raha otsekorraldusega kätte saada ebaõnnestus. Kui olete kindel, et teil on piisavalt raha, tahaksin kontrollida, kas see pole meie arvates viga. Kinnitage annetamiseks kasutatud deebetkaardi mandaat ja ma proovin tehingut uuesti teha, kui telefoni teel räägite. Kui tehing õnnestub, muudame vastavalt oma dokumente.
Tegelane, keda selles stsenaariumis mängib ründaja, on viisakas ja sõbralik finantsametnik, kes on huvitatud ebaõnnestunud annetusega seotud probleemide lahendamisest – tüüpiline tegelane, keda me sellise stsenaariumi puhul võiksime kohata. Kelmuse edukaks muutmise võti on see, et ohver usub, et ründaja on see, kes ta end olevat; ja see nõuab, et tegelane oleks sama usutav kui stsenaarium.
Ülaltoodud näide kujutab tüüpilist ettekäänderünnakut. Ettekääne võib ettekäände toetamiseks ja väärtusliku teabe hankimiseks või tegevusele sundimiseks kasutada esinemist (tegelikku või väljamõeldud), veenmist ja muid usaldusväärsuse suurendamise võtteid.
Ettetekstimise tehnikad
Ettekäänded kasutavad sihtmärkide usalduse võitmiseks erinevaid tehnikaid ja taktikaid, nagu kellegi teisena esinemine, tagaotsimine, andmepüük ja vishing, et veenda ohvreid rikkuma oma turvapoliitikat või rikkuma tervet mõistust ning andma ründajale väärtuslikku teavet. Me käsitleme neid tehnikaid üksikasjalikult.
Esinemine kellegi teisena
Matkija on keegi, kes jäljendab või kopeerib teise inimese käitumist või tegevust. Esinemine kellegi teisena on üks taktikatest, mida ettekäänded kasutavad oma sihtmärkide petmiseks ja rünnaku õnnestumise suurendamiseks. Esitades end usaldusväärse üksusena, nagu sõber, kolleeg, klienditeenindaja, ülemus või autoriteet, manipuleerivad jäljendajad oma ohvriga, et võimaldada neile juurdepääs süsteemile või rajatisele. Nipp seisneb selles, et suuta seda teha piisava usaldusväärsusega. Ettekääne võib võltsida selle isiku või asutuse telefoninumbrit või e-posti aadressi, keda ta kehastab, et end seaduslikuna näida.
2015. aastal võrguriistvara tootja Ubiquiti Networks kaotas 46,7 miljonit dollarit sellisele sotsiaalse insener-rünnakule. Ettekäänded saatsid Ubiquiti töötajatele sõnumeid, kes esinesid organisatsiooni tippjuhtidena, ja nõudsid maksete tegemist erinevatele pangakontodele. Kasutatud tehnikad olid kombinatsiooniks kellegi teisena esinemisest ja organisatsiooni kõrgema töötaja e-kirjade võltsimisest.
Ettekäändeldajad kasutavad tekstis ka esinemist SIM-kaardi vahetamise pettus – konto ülevõtmise pettuse tüüp, mis on suunatud kaheastmelise kinnitamise nõrkusele, mille teine etapp on SMS või telefonikõne. See saavutatakse mobiilioperaatori telefonikõnes ohvri kehastamisel ja väitega, et ta on telefoni kaotanud. Kui pettur suudab veenda mobiilioperaatorit teisaldama telefoninumbri petturi juhitavale SIM-kaardile, võib pettur saada kaheastmelises kinnitamises kasutatavad ühekordsed paroolid ja tungida ohvri kontodele. 2019. aastal Twitteri tegevjuht Jack Dorsey Twitteri kontole häkiti sisse selle meetodi kaudu.
Tagalumine
Turvalisuse kontekstis on tagaotsimine (tuntud ka kui piggybacking) see, kui volitamata isik jälgib täpselt volitatud isikut, et pääseda piiratud rajatisse. Ründaja võib varitseda sissepääsu ümber ja oodata õiget võimalust.
Ettekäänded kasutavad seda tehnikat sageli juurdepääsukontrollimehhanismide ületamiseks ja juurdepääsu saamiseks väga piiratud aladele. Selleks luuakse ettekääne ja pannakse selga persoon, mis eksitab väravavalvureid neid piiratud rajatisse laskma. Ettekäändeks võib olla kaabellevifirma insenerina esinemine, kes on riietatud erinevate tööriistadega kombinesooni ja vajab juurdepääsu rajatisele, et kontrollida vigaseid kaabelliine või pitsa kohaletoimetaja, kes peab lõunasööki viima hoone põrandad. See ettekäändetehnika tugineb inimeste kaasasündinud soovile olla abivalmis või sõbralik. Kuni on mõni näiliselt hea põhjus kedagi sisse lasta, kipuvad inimesed seda tegema, mitte vastanduma.
Andmepüük
Andmepüük on pettuslik katse hankida tundlikku teavet, nagu kasutajanimed, paroolid ja krediitkaardiandmed, maskeerides end elektroonilises suhtluses, näiteks e-kirjas või SMS-is, usaldusväärseks isikuks. Kuigi ettekääne ja andmepüük liigitatakse eraldi, käivad need sageli käsikäes. Paljud andmepüügikatsed on üles ehitatud ettekäände stsenaariumide ümber, kus petturid kasutavad ühte teise saavutamiseks.
Ettekääne võib hõlmata tegevjuhi või töövõtjana esinemist meili teel. On olnud juhtumeid, kus töötajat püütakse andmepüügiga, mis ohustab e-posti kontot, mis omakorda võimaldab ründajal luua veelgi veenvama ettekäände teise sihtmärgi vastu. Andmepüügi sihitud vorm, mida tuntakse ka õngepüügina, püüab andmepüüki konkreetselt väärtuslikult sihtmärgilt. See hõlmab tavaliselt ettekäände esitamist, mille käigus veetakse väärtuslikku sihtmärki uskuma, et nad suhtlevad kellegagi ettevõttes või partnerettevõttes. Lõppeesmärk on veenda sihtmärki tegema suuri rahaülekandeid.
2017. aastal MacEwani ülikool Kanadas kaotas umbes 9 miljonit dollarit petturile, keda ülikooli töötajad arvasid olevat töövõtja. Ründaja saatis rea andmepüügimeile, mis olid üles ehitatud ettekäändel stsenaariumitele, mis veensid töötajaid müüja makseandmeid muutma, ning nende muudatuste tulemusel kanti maksed üle petturile.
Soovides
Vishing (hääl andmepüügi) on sotsiaalse manipuleerimise rünnak, mille eesmärk on petta ohvreid, et nad annaksid rahalise tasu saamise eesmärgil telefoni teel tundlikku isiklikku teavet. Ettekäände esitamine on nägemuse põhiosa ja petturid kasutavad seda sageli telefoni teel usaldusväärse isikuna esinedes. Paljud ettekäänded koguvad oma ohvri isikuandmeid erinevate luureviiside abil ja kasutavad seda teavet usutava stsenaariumi loomiseks.
Vishing-põhine ettekääne kasutab ära kõnetehingutes kasutatavate tuvastamistehnikate nõrkust. Petturid kasutavad teatud inimeste häälte jäljendamiseks ja nende sihtmärkide eksitamiseks sageli tänapäevaseid VoIP-funktsioone, nagu helistaja ID võltsimine, petturlikud interaktiivsed häälreaktsioonisüsteemid (IVR) ja hiljuti tehisintellekti loodud hääled (deepfake). Nende kaasaegsete tehnoloogiate kasutamine muudab julgeolekuasutustel kurjategijate jälitamise keerulisemaks.
Hiljuti kasutas pettur ettekäände stsenaariume ja ühe Saksa ettevõtte tegevjuhi tehisintellekti loodud häält, et veenda Ühendkuningriigi tütarettevõtte tegevjuhti kandma Ungari tarnijale üle 243 000 dollari suurune summa. Ühendkuningriigi tütarettevõtte tegevjuht arvas, et talle helistas Saksamaa emaettevõtte tegevjuht. Vastavalt Wall Street Journali aruanne , jäljendas tehisintellekti loodud kõne täpselt kehastatava tegevjuhi häält ja saksa aktsenti, mis on piisav selleks, et Ühendkuningriigi tütarettevõtte tegevjuht tuvastaks selle oma ülemuse häälena.
Õiguslikud tagajärjed
Küberkurjategijad ja petturid ei kasuta ettekäände esitamist eranditult ebaseaduslike tegevuste jaoks. Eradetektiivid kasutavad seda seaduslikult, et saada inimestelt väärtuslikku teavet. Eradetektiiv võib kasutada ettekäändet, et leida keegi, kes on oma elukoha osas kõrvalehoidev. Uurija võib kellelegi helistada, et lasta neil suuliselt avaldada teavet sihtisiku elukoha aadressi kohta.
Sõltuvalt teie elukohariigist ja asjaoludest võib ettekäände esitamine varieeruda väärtuslikust ja olulisest vahendist ebaseadusliku ja ebaeetilise käitumiseni.
Näiteks Ameerika Ühendriikides on ebaseaduslik valetada, et saada mis tahes kaitstud isikuandmeid, nagu finants-, kindlustus-, maksu-, tervise- või telefoniandmed. Samuti ei saa te mingil juhul esineda politseiniku või föderaalse õiguskaitseagendina. On nii absoluutseid kui ka halle alasid; nii et sa pead teadma, kuhu piir tõmmata. Ebaselgus tuleneb sellest, kuidas kehtivad föderaal- ja osariigi seadused ettekäände määratlevad ja millist teavet see hõlmab. Kuhu jooned tõmmatakse ja kuidas neid jooni tuvastada, on väljakutse, millega seisab silmitsi enamik eradetektiive.
2006. aastal palkas HP erajuurdlusettevõtte, et aidata tal välja selgitada, millised selle juhatuse liikmed lekitasid meediasse eraettevõtte teavet. Uurimisfirma palkas omakorda töövõtja, kes kasutas ettekäändel saada juhatuse liikmete telefonisalvestisi, mis päädis piinliku skandaaliga. The HP ettekäände skandaal paljastatud hallid alad USA ettekäändeseaduses, mis algselt kehtis ainult finantsdokumentide kohta, ja USA Kongress sekkus, muutes ettekäände kasutamise telefoni (mitterahaliste) andmete hankimiseks föderaalseks kuriteoks. Seadus, ametlikult tuntud kui 2006. aasta telefonikõnede ja eraelu puutumatuse kaitse seadus , keelab konkreetselt valeandmete esitamise, kellegi teisena esinemise või pettuse, et saada isiklikke telefonikõnesid.
Samamoodi 2016. aastal palkas erauurimisettevõte Uber kasutas ettekääne pääseda ligi teabele oma vastaste kohta monopolidevastases kohtuasjas. See tava viis Uberi lõpuks piinlikku juriidilisse katastroofi.
Kui seda tehakse õigesti, on ettekääne esitamine suurepärane tehnika, mida professionaalne uurija saab kasutada väärtusliku teabe saamiseks, mida tavaolukorras oleks raske hankida. Uurija või isegi uurijat palkava kliendina on aga väga oluline mitte lubada uurimises kasutada ebaseaduslikku ettekäänet. See võib anda tagasilöögi uurijale või isegi kliendile, nagu HP ja Uberi puhul.
Kuidas vältida rünnakute ettekäändel
Uuringud on näidanud, et inimesed on turvaahela nõrgim lüli. Selle nõrkuse leevendamiseks peame hakkama investeerima tööturbe ehk OpSec-i. Üks tõhusamaid vastumeetmeid ettekäände esitamise rünnakute vastu on töötajate teadlikkuse tõstmise koolitus selle kohta, kuidas ettekäändeskeeme ära tunda ja neile asjakohaselt reageerida. Töötajate koolitamine nende tööülesannetega seotud turvaprotokollide alal vähendab nende haavatavust sotsiaalsete manipulatsioonide rünnakute (nt ettekääne) suhtes. Näiteks sellistes olukordades nagu vishing ja sabas, kui isiku identiteeti ei ole võimalik kontrollida, tuleb töötajaid koolitada viisakalt keelduma. Allpool on mõned konkreetsed näited sammudest, mida saate teha, et vältida rünnakut, mis kahjustab teid või teie ettevõtet.
Siit saate teada, kuidas vältida ettekäändel olevat rünnakut.
- Luua tundliku teabe käsitlemiseks turvaprotokollid, eeskirjad ja protseduurid
- Ärge avaldage tundlikku teavet kinnitamata üksustele e-posti, telefoni või tekstisõnumite kaudu
- Olge ettevaatlik pakkumiste suhtes, mis tunduvad 'liiga head, et tõsi olla'
- Inokuleerige töötajaid ettekäändetehnikate vastu, sisendades veenmiskatsetele vastupanu sarnaste või seotud katsetega kokku puutudes
- Hävitage tundlikud dokumendid turvaliselt, purustades või põletades
- Olge ettevaatlik, kui sõbrunete Internetis inimestega, keda te päriselus ei tunne