Un atac de momeală este un tip de atac de tip phishing care folosește ingineria socială pentru a te manipula. Aceste atacuri adesea apelează la lăcomia sau curiozitatea ta pentru a te păcăli să-ți infectezi dispozitivul cu malware.
Aceste atacuri apar adesea în trei forme:
Unul dintre cele mai infame atacuri de momeală din istorie a fost atacul din 2008 asupra Departamentului de Apărare al SUA.
Acesta a fost numit „cea mai gravă breșă a computerelor militare ale SUA din istorie”, și a dus la crearea Comandamentului Cibernetic al Statelor Unite ale Departamentului de Apărare.
Operațiunea Buckshot Yankee, cum a ajuns să fie cunoscută, a implicat un stick USB infectat lăsat în parcarea unei facilități DoD din Orientul Mijlociu.
Un agent a conectat un stick USB infectat la un laptop și a instalat involuntar un cod malițios care avea scopul de a fura informații de pe calculatoarele de la bază.
Malware-ul în sine era un vierme auto-replicator care s-a răspândit automat prin rețeaua DoD. Pentagonului i-a luat 14 luni să elimine complet viermele din sistemele lor.
Și acesta a fost un tactic clasic de momeală care a apelat la curiozitatea victimei. Aproape a dus la o criză națională de proporții neînchipuite.
Atât indivizii cât și organizațiile sunt expuse riscului atacurilor de momeală. Dar sunt organizațiile care ar trebui să fie mai precaute. Până la urmă, mizele sunt mai mari și consecințele sunt mult mai grave.
Un singur angajat căzând pradă unui atac de momeală poate provoca un lanț de breșe de date, pierderi de reputație, daune financiare și multe altele.
Mai jos, te voi ghida printr-o analiză detaliată a atacurilor de momeală. Îți voi arăta ce sunt, principiile specifice folosite, scenarii și tehnici comune, studii de caz și semnale de alarmă.
Hai să începem!
Un atac de momeală este un subset al atacurilor generalizate de phishing. În esență, momeala este o formă de phishing.
Totuși, un atac de momeală are câteva elemente specifice:
Să analizăm ambele puncte de mai jos și să vedem cum funcționează atacurile de momeală:
Majoritatea atacurilor de momeală apelează la două emoții de bază – lăcomia și curiozitatea.
Când vine vorba de lăcomie, hackerii adesea încearcă să te convingă cu promisiuni de îmbogățire, reduceri, oferte exclusive și lucruri care par prea frumoase pentru a fi adevărate.
Perspectiva beneficiului financiar adesea îi orbește pe victime făcându-le să ia decizii impulsive fără a se gândi bine.
Asta îi face să ia riscuri pe care altfel nu le-ar lua. Prin lăcomie, atacurile de momeală își manipulează victimele să-și compromită singure securitatea.
Acest lucru ar putea însemna descărcarea unui software malițios sau accesarea unui link care promite o reducere mare la un produs.
Cu curiozitatea, povestea este oarecum diferită. Hackerii folosesc cel mai des medii fizice pentru a atrage atenția și a juca pe curiozitatea victimelor lor.
Ideea este de a crea un sentiment de mister și intrigă prin acest atac. Victimele se vor simți obligate să vadă ce se află pe stick-ul USB găsit la întâmplare, sau să deschidă link-ul misterios pe care l-au primit.
Autorii răi vor adăuga adesea etichete de „Confidențial” sau „Clasificat” pe aceste stick-uri USB pentru a stârni și mai mult curiozitatea victimelor.
Online, aceste atacuri de momeală bazate pe curiozitate ar putea promite informații confidențiale sau secrete la care altfel nu ai avea acces.
Prin înțelegerea modului în care atacurile de momeală folosesc aceste două emoții pentru a te manipula să iei acțiuni impulsive, îți poți crește conștientizarea și te poți apăra.
Acest lucru este valabil atât pentru indivizi, cât și pentru organizații. Angajații ar trebui, de asemenea, să primească o educație de bază în atacurile de momeală pentru a evita să cadă pradă acestor atacuri.
Atacurile de momeală adesea au scenarii specifice care sunt mai comune comparativ cu atacurile de phishing de bază.
Să trecem prin câteva dintre ele:
Ai putea primi un mesaj sau email care vorbește despre o reducere foarte mare (prea frumoasă pentru a fi adevărată) la un produs sau serviciu pe care îl căutai.
Uneori, produsul/serviciul promis într-un atac de momeală este gratuit. Hackerul vrea să joace cât mai mult pe lăcomia ta.
Și cine poate rezista la ceva gratuit?
Un alt scenariu comun este câștigarea unei sume mari de bani. Acesta ar putea fi o loterie la care ai fost înscris automat (conform hackerului) sau o moștenire.
Personal, am primit multe email-uri de tip loterie în trecut, și toate cer informațiile tale personale pentru a-ți transfera banii.
Nu te lăsa păcălit – e o înșelătorie!
Hackerul ar putea să se dea drept un serviciu de cumpărături pe care l-ai folosit înainte și să te surprindă cu un premiu neașteptat.
Ar putea inventa diverse motive, cum ar fi un program de loialitate care recompensează clienții.
Bineînțeles, atât link-urile cât și numerele de telefon furnizate de hacker sunt false. Nu cădea în capcană!
Un alt scenariu de momeală este atunci când autorul amenințării îți lasă un aviz că ai ratat o livrare. De data aceasta, ne confruntăm cu un atac fizic, iar faptul că hackerul știe unde locuiești este extrem de periculos.
Eticheta poate conține un număr de telefon sau altă metodă de contact – nu le folosi. Lăsați curiozitatea să dispară pentru că e o înșelătorie.
Dar cum construiesc atacatorii atacurile de momeală și cum asigură eficacitatea acestora? Să vedem mai jos!
Atacatorii cibernetici folosesc anumite tehnici pentru a asigura eficiența atacului lor de momeală. Să vedem ce sunt aceste tehnici:
În atacurile de momeală care implică fișiere maligne, hackerii se asigură că ascund acele fișiere sub formate care par inofensive.
Ei vor folosi extensii inofensive, nume care sună legitim, și icoane care nu ar trebui să ridice semne de întrebare.
Toate acestea sunt o înșelătorie menită să te păcălească să le deschizi. Scopul este să creeze iluzia inocenței și să ascundă pericolul.
Acest lucru funcționează și în cazul legăturilor maligne pe care hackerul încearcă să le deghizeze prin editarea URL-urilor lor și să le facă să pară inofensive.
Atacurile de momeală se bazează aproape în totalitate pe prima impresie inițială. Hackerii știu că au doar câteva secunde să te convingă să faci ceva prost.
Prin urmare, au nevoie ca tu să ai suficientă încredere în ei pentru a da clic pe un link sau pentru a descărca un software malițios.
Adesea, vor pretinde că reprezintă companii legitime cu care ai avut de-a face anterior. Toate acestea au rolul de a câștiga încrederea ta și de a te face să îți cobori garda.
Hackerul ar putea de asemenea să asume o anumită autoritate într-un domeniu dat – ca de exemplu specialist în marketing sau secretar – pentru a câștiga încrederea ta.
Toate atacurile de momeală folosesc emoțiile pentru a te determina să faci lucruri pe care altfel nu le-ai face. Dar de ce funcționează?
Asta pentru că există o amplificare emoțională. Aceste atacuri funcționează prin amplificarea anumitor emoții precum lăcomia, curiozitatea, raritatea și urgența.
Acest lucru crește șansa ca tu să cazi în capcana, pentru că emoțiile tale vor lua controlul.
Atunci când ne dăm bătuți în fața curiozității, lăcomiei sau urgenței, procesele noastre de gândire rațională sunt puse în umbră și lasă loc deciziilor impulsive.
Pe asta pariază hackerii – că prin amplificarea acestor emoții, vei lua decizii fără să te gândești prea mult.
Pentru a înțelege cum funcționează atacurile de momeală în lumea reală și pentru a sublinia consecințele potențiale, am pregătit 5 studii de caz din viața reală care implică astfel de atacuri.
Analizându-le, vom înțelege mai bine cum funcționează aceste atacuri. Deci, să începem!
Stuxnet este, poate, cel mai notoriu atac de momeală din istorie, un atac care a avut consecințe geopolitice grave.
Iată detalii despre Stuxnet sau Operațiunea Jocurile Olimpice, așa cum a devenit cunoscută:
Facilitatea nucleară Natanz era cunoscută ca fiind impenetrabilă la infiltrare la momentul respectiv, deoarece sistemele sale nu erau conectate la internet în niciun moment.
Singura modalitate prin care cineva ar fi putut să se infiltreze în facilitate era fizic. Și asta exact cum Stuxnet a ajuns înăuntru – un angajat de la Natanz a conectat stick-ul USB la un dispozitiv de lucru.
Odată ce viermele a fost eliberat în mediul înconjurător, s-a răspândit fără discriminare de la un dispozitiv la altul pe rețeaua internă a Natanz și a găsit toate PLC-urile Siemens.
În mod interesant, Stuxnet a exploatat cinci vulnerabilități zero-day și o ușă din spate pentru a se răspândi prin calculatoarele Windows din facilitatea Natanz:
Dacă știi ceva despre securitatea cibernetică, atunci știi că exploatarea atâtor vulnerabilități în același timp este extrem de neobișnuită.
Asta se întâmplă pentru că hackerii nu vor să-și dezvăluie toate cărțile dintr-o dată. De obicei, odată ce o vulnerabilitate zero-day ajunge în mediul sălbatic, companiile de securitate dezvoltă un patch și întrerup accesul hackerului.
Cu toate acestea, Stuxnet a fost un atac cibernetic fără menajamente, care a avut nevoie doar de o singură oportunitate pentru a se infiltra în facilitatea Natanz și a stricat programul său nuclear.
Viermele a fost scris și în mai multe limbaje de programare, inclusiv C, C++, și alte limbaje orientate pe obiect.
Chiar și în ziua de azi, rămâne una dintre cele mai sofisticate piese de malware scrise vreodată. Experții îl analizează și astăzi pentru a învăța din el.
A fost Stuxnet un succes, totuși? Într-un cuvânt, da. A reușit să scoată din funcțiune aproximativ 2.000 de centrifuge într-un an, în timp ce numărul obișnuit de centrifuge scoase din funcțiune era de aproximativ 800.
Se spune că Stuxnet a amânat programul nuclear al Iranului cu cel puțin doi ani. Singurul motiv pentru care a fost descoperit vreodată a fost că un angajat de la Natanz l-a scos pe un dispozitiv de lucru.
Cercetătorii în securitate l-au găsit în cele din urmă și l-au descifrat, în cea mai mare parte. Avea peste 15.000 de linii de cod, ceea ce este cu mult înaintea a ceea ce cuprinde oricare alt malware.
Și totul a început de la un singur stick USB pe care un angajat de la Natanz l-a găsit în mod aleator și l-a conectat la un dispozitiv de lucru.
Un atac de momeală de la cap la coadă!
Avertisment – Operațiunea Aurora a inclus doar elemente de momeală (tactici de pescuit cu lance) dar nu a fost un atac de momeală tipic. S-a concentrat pe exploatarea vulnerabilităților zero-day și a ușilor din spate în schimb.
Operațiunea Aurora a fost una dintre cele mai extinse atacuri cibernetice din istorie, efectuate de Grupul Elderwood (cu legături chineze) împotriva mai multor companii americane de mare notorietate.
Țintele confirmate includ:
Potrivit diverselor rapoarte, Operațiunea Aurora a vizat și companii precum Symantec, Yahoo, Dow Chemical, Northrop Grumman și Morgan Stanley.
Scopul principal al atacului a fost să fure secrete comerciale din sectorul privat american – depozitele lor de cod sursă.
Iată ordinea evenimentelor:
I. Începe Atacul
Anatomia Operațiunii Aurora este fascinantă datorită nivelului său sofisticat. Potrivit McAfee, atacatorii au folosit mai multe vulnerabilități zero-day în aplicația browser Internet Explorer și software-ul de revizuire Perforce.
Hackerii au trimis eficient e-mailuri de momeală angajaților care lucrau în aceste companii, încercând să se prezinte ca și colegi sau surse de încredere. Au atras victimele să dea clic pe linkuri maligne care ar instala malware-ul infectat pe dispozitivele companiilor.
Prin tacticile de pescuit cu lance și exploatarea vulnerabilităților zero-day, atacatorii au obținut accesul necesar pentru a accesa sistemele de calcul ale companiilor.
De asemenea, au folosit conexiuni backdoor în conturile Gmail pentru a obține acces la sistemele de calcul.
II. Google Anunță Atacul
La 12 ianuarie 2010, Google a anunțat pe blogul său că a fost victima unui atac cibernetic la mijlocul lunii decembrie care a provenit din China.
De asemenea, au afirmat că peste 20 de companii au fost atacate în același interval de aceeași grupare.
Din acest motiv, Google a declarat că va lua în considerare încheierea relațiilor sale de afaceri cu China. Mai multe declarații politice au fost făcute în aceeași zi de diferite părți.
Guvernul chinez nu a emis o reacție formală la aceste acuzații.
III. Symantec Începe Investigația Atacurilor
Firmele de securitate cibernetică Symantec și McAfee au oferit să investigheze atacul în numele Google și al celorlalte companii afectate.
După ce au analizat probele (nume de domeniu, semnături de malware, adrese IP, etc.), au descoperit că Grupul Elderwood era responsabil pentru Operațiunea Aurora.
Grupul de hackeri este cunoscut și sub numele de „Grupul Beijing”, și au pus mâna pe o parte din codul sursă Google și informații despre mai mulți activiști chinezi.
Dmitri Alperovitch, VP de Cercetare a Amenințărilor McAfee, a identificat atacul drept „Operațiunea Aurora” pentru că „Aurora” era o cale de fișier inclusă în două dintre malware-urile folosite în atacuri.
IV. După Atac
După ce atacurile au devenit cunoscute publicului, multe țări au oprit temporar utilizarea Internet Explorer din cauza vulnerabilităților zero-day încorporate în el.
Google s-a retras și a păstrat doar o versiune locală a motorului său de căutare din Hong Kong.
Operațiunea Aurora s-a dovedit a fi mai dăunătoare pentru China decât pentru SUA, deoarece aceasta din urmă a suferit mai mult în urma atacului.
Atacurile de momeală nu sunt în general greu de observat. Din fericire, luând câteva precauții și fiind conștient de modul în care atacurile de momeală încearcă să vă înșele, veți face un pas important în protejarea voastră.
În primul rând, să vă arăt cele mai comune semnale de alarmă pentru atacurile de momeală!
Din start, dacă vedeți o linie subiect a emailului alarmantă, ar trebui să înceapă deja să sune alarma scam-ului vostru.
Astfel de linii de subiect ar putea să spună „Schimbați Parola Acum” sau „Obțineți Această Reducere Cât Este Încă Disponibilă”.
Dacă celălalt părții creează o senzație de urgență și vrea să vă atingă emoțiile pentru a vă determina să luați decizii impulsivie, ar trebui să începeți să vă puneți întrebări despre intenția lor.
Ori este un email de marketing legitim (?) sau un atac de momeală menit să vă înșele. În multe cazuri, cele două nu sunt la fel de clare precum ne-am dori.
Dacă celălalt părții cere informații personale sau sensibile, cum ar fi numărul de card de credit, NU le furnizați.
Nicio companie legitimă nu va solicita vreodată informații sensibile prin email sau mesaje directe. Asta pentru că informațiile sensibile sunt chiar așa – sensibile pentru identitatea voastră, și numai voi ar trebui să le cunoașteți.
99.99% din toate emailurile care cer astfel de informații sunt atacuri de momeală. Restul de 0.01% sunt fie companii neprofesionale, fie companii care se confruntă cu probleme de securitate deosebit de grave.
Atunci când primiți un email ciudat de la cineva pe care îl cunoașteți (chiar și de la superiorul vostru), aruncați o privire la adresa de email sau domeniu.
Apoi comparați-o cu cea reală din lista voastră de contacte. Sunt acestea la fel? Sau cea folosită în email este puțin diferită?
Poate că are o literă în plus sau folosește litere mari, sau una dintre litere este duplicată. Aceasta este o adresă de email de phishing, creată cu grijă (sau nu) pentru a vă înșela.
Deoarece atacurile de momeală sunt o subcategorie a atacurilor de phishing, vă voi îndruma către ghidul meu despre atacurile de phishing.
Metodele de prevenire și semnalele de alarmă sunt aceleași pentru ambele:
Un furnizor de servicii antimalware premium vă va ajuta să preveniți infecțiile în cazul în care din greșeală cădeți pradă unui atac de momeală și descărcați un malware.
De asemenea, puteți opta pentru un furnizor de email mai privat și mai sigur, cum ar fi Proton. Filtrele lor de email sunt mai bine adaptate pentru identificarea spam-ului potențial și a atacurilor de phishing (emailurile vor fi trimise automat în Spam).
Acest lucru vă va oferi o idee mai bună despre ce să vă așteptați de la aceste emailuri. Dar aveți grijă – nu toate emailurile din folderul vostru Spam sunt emailuri de phishing.
Filtrele de email nu sunt întotdeauna 100% precise, deci pot face greșeli.
Atacurile de momeală sunt cea mai obișnuită formă de atacuri de phishing. Ele folosesc psihologia pentru a vă înșela să accesați un link infectat sau să descărcați un atașament malițios.
Dar sunt și unele dintre cele mai ușor de apărat atacuri. Sunt necesare doar două lucruri pentru a face inutil un atac de momeală:
În toată seriozitatea, tot ce aveți nevoie sunt aceste două lucruri pentru a nu cădea niciodată din nou într-un atac de momeală.
Cu toate acestea, să știți cum să identificați un atac de momeală nu este întotdeauna ușor. Așa că, lăsați acest ghid (și celălalt despre phishing în general) să vă învețe cum să o faceți!
Surse
CRN – Pentagon Confirmă Atac Cibernetic din 2008 Asupra Armatei SUA
CSO Online – Stuxnet Explicat: Primul Cyberweapon Cunoscut
Gizmodo – Povestea din Interior a Descoperirii lui Stuxnet
JPost – „Virusul Stuxnet a Întârziat Programul Nuclear al Iranului cu 2 Ani”
CS Monitor – Furtul Secretelor de Afaceri din SUA: Experții Identifică Două „Bande” Cibernetice Imense în China
Google Blog – O Nouă Abordare față de China
Privacy Affairs – De Ce Este Phishing-ul Atât de Comun și Cum Să Vă Protejați Împotriva Lui?