Inżynieria społeczna i ChatGPT największym zagrożeniem dla naszych danych
W 2023 r. taktyka inżynierii społecznej będzie kluczową metodą hakerów do pozyskiwania danych i poświadczeń pracowników. Ponad 75 proc. ukierunkowanych cyberataków zaczyna się od fałszywych wiadomości e-mail. Cyberprzestępcy wykorzystują ChatGPT do konstruowania nowych technik wprowadzania w błąd ofiar – alarmują eksperci Check Point.
Zagrożenia bezpieczeństwa na świecie prawdopodobnie staną się z czasem bardziej wyrafinowane, a tym samym droższe: eksperci przewidują, że globalne koszty cyberprzestępczości osiągną 10,5 biliona dolarów do 2025 roku, co stanowi wzrost o 15 proc. z 3 bilionów dolarów w 2015 roku. - Oszustwa z wykorzystaniem socjotechniki stanowią rosnącą i znaczącą część cyberzagrożeń. Najpowszechniejszym sposobem wyłudzania danych i pieniędzy są fałszywe oferty inwestycji lub pilnych nakazów zapłaty za usługi firm. Na poziomie technicznym tworzenie złośliwego oprogramowania staje się coraz łatwiejsze. Mówiąc o inżynierii społecznej, ChatGPT może być użyty do napisania idealnej elektronicznej wiadomości phishingowej w bardzo krótkim czasie. Pozwala też – nawet osobom bez stosownej wiedzy eksperckiej – na napisanie kodu, który zbiera informacje, łącząc się z infrastrukturą będącą celem nieuprawnionego ataku – podkreśla Wojciech Głażewski, dyrektor zarządzający Check Point Software w Polsce.
Obawy podziela Biuro Informacji Kredytowej, które w najnowszym raporcie „Cyberbezpieczeństwo Polaków” (kwiecień 2023) alarmuje - już niemal 7 na 10 ankietowanych obawia się, że oszuści podszyją się pod jakąś instytucję albo osobę, a oni w dobrej wierze odpowiedzą i przekażą im swoje dane czy dostęp do konta. Związek Banków Polskich ocenia wartość udaremnionych prób wyłudzeń z wykorzystaniem danych osobowych na 48 mln złotych kwartalnie (ZBP raport InfoDok).
Z analiz BIK wynika, że według ankietowanych w największym stopniu nasiliło się zagrożenie wyłudzeniami metodą podszywania się pod instytucję publiczną (68 proc) oraz zagrożenie phishingiem (68 proc.).
- Typowe przypadki wyłudzeń to przede wszystkim manipulacja socjotechniczna w rozmowie telefonicznej, w której oszust podszywa się pod pracowników banku, firmy telekomunikacyjnej, policji, znanej instytucji finansowej czy firmy, wywołująca u rozmówcy poczucie zagrożenia, strach. W takiej sytuacji jesteśmy skłonni do podania wrażliwych danych osobom, które oferują nam pomoc – tłumaczy Andrzej Karpiński, dyrektor Departamentu Bezpieczeństwa Grupy BIK.
CERT Orange Polska (IV 2023) również zwraca uwagę na rosnące zagrożenie inżynierią społeczną, wskazując metody działań i techniki stosowane przez atakujących, wśród których najpopularniejsze w Polsce to: hakowanie (73 proc.), które obejmuje m.in. przełamywania haseł, ataki DDoS, złośliwe oprogramowanie (65 proc.), czyli działania z wykorzystaniem oprogramowania przejmującego kontrolę nad urządzeniem, wykradającego dane czy szpiegującego; oraz socjotechnika (niemal 60 proc.), czyli manipulacja, podszycie się. Podsumowując 2022 rok CERT Orange wskazuje na ponad 130 tysięcy zablokowanych fałszywych stron wyłudzających dane i przeszło 5 milionów ochronionych internautów.
Socjotechnika pozostaje jedną z najniebezpieczniejszych technik hakerskich stosowanych przez cyberprzestępców, głównie dlatego, że opiera się raczej na ludzkim błędzie niż na lukach technicznych. To sprawia, że ??ataki te są jeszcze bardziej niebezpieczne — o wiele łatwiej jest oszukać człowieka niż włamać się do systemu bezpieczeństwa. I jasne jest, że hakerzy o tym wiedzą: według raportu Verizon Data Breach Investigations, 85 proc. wszystkich naruszeń danych wiąże się z interakcją człowieka.
Ataki socjotechniczne nie tylko stają się coraz bardziej powszechne wobec przedsiębiorstw i małych i średnich firm, ale są również coraz bardziej wyrafinowane. Hakerzy – dzięki wykorzystaniu ChatGPT - opracowują coraz sprytniejsze metody oszukiwania pracowników i osób fizycznych w celu pozyskania cennych danych.
Od czasu pandemii COVID-19, FBI odnotowało 300 proc. wzrost liczby cyberataków na świecie. Jednocześnie ponad połowa firm na świecie dziś korzysta z tzw. pracowników zdalnych (freelancerów). A – jak wynika z analiz FBI - 53 proc. dorosłych zgadza się, że praca zdalna znacznie ułatwiła hakerom i cyberprzestępcom wykorzystywanie ludzi. Firma CyberArk, zajmująca się bezpieczeństwem cybernetycznym, poinformowała, że 96 proc. organizacji pozwala pracownikom zewnętrznym na dostęp do krytycznych systemów, otwierając ścieżkę dostępu do swoich danych, którą hakerzy mogą wykorzystać.
Jeden z najgłośniejszych przykładów ataku socjotechnicznego było ujawnienie (na początku 2021 r) przez hakerów danych osobowych ponad 214 milionów kont na Facebooku, Instagramie i Linkedin. Hakerzy uzyskali dostęp do danych, włamując się do zewnętrznego kontrahenta o nazwie Socialarks, który był zatrudniony przez wszystkie trzy firmy i miał uprzywilejowany dostęp do ich sieci.
Facebook to często wykorzystywana platforma do ataków. Hakerzy wykorzystali pretekst – śmierć celebryty Robina Williamsa kierując do użytkowników serwisu Facebooka fałszywą wiadomość phishingową, która zachęcała użytkowników do kliknięcia łącza i obejrzenia ekskluzywnego filmu, na którym Robin Williams żegna się przez telefon komórkowy. Oczywiście nie było to wideo, lecz link prowadził do fałszywej strony z wiadomościami BBC, która próbowała nakłonić użytkowników do kliknięcia innych linków prowadzących do oszukańczych ankiet online.
W Polsce o zuchwałym przejęciu danych osobowych pisał Maciej Jakubowski na Blogu Home.pl, kiedy 9 listopada 2022 roku tysiące widzów TVP Sport na YouTube zobaczyło w miejsce materiału z nowinkami sportowymi, “transmisję live” z Elonem Muskiem w roli głównej, zachęcającym do inwestycji w kryptowaluty. Określenie “live” było efektem użycia technologii deepfake, która służyła do podszywania się pod inną, najczęściej znaną osobę z użyciem sztucznej inteligencji. Celem akcji było pozyskanie od widzów wpłat poprzez fałszywą stronę, która była podlinkowana na czacie wydarzenia. Aby uwiarygodnić transmisję, hakerzy zmienili nazwę i zdjęcie kanału na “Twitter”, a po niedługim czasie na “Tesla – live”. Jednocześnie oszuści usunęli wszystkie poprzednie materiały wideo.
W tym przypadku cyberprzestępcy stosowali socjotechnikę - mogli pozyskać od użytkowników serwisu ciasteczka sesyjne (dane z plików cookies) do YouTube, które pozwoliły przejąć kontrolę nad kontem.
- Wystarczyło, że hakerzy wysłali odpowiednio spreparowanego maila z załącznikiem, który zawierał odpowiedni skrypt lub makro. Przed tym oszustwem nie ochroni nawet zabezpieczenie konta kluczem U2F – ostrzegał autor bloga.
W kwietniu 2023 roku analitycy Check Point Research odkryli hakerskie oprogramowanie (trojan) wymierzone w popularny system Android, nazwanego FakeCalls. Oprogramowanie mogło podszywać się pod ponad 20 aplikacji finansowych i imitować rozmowy telefoniczne z pracownikami banku. Ten rodzaj ataku nazywany jest phishingiem głosowym (AKA Vishing). Hakerzy za cel obrali sobie klientów w Korei Południowej. Według raportu opublikowanego na rządowej stronie Korei Południowej straty finansowe spowodowane phishingiem głosowym wyniosły w 2020 r. około 600 mln USD, a liczba ofiar sięgnęła nawet 170 000 osób w okresie od 2016 do 2020 r. Oszustwa phishingowe w Korei Południowej spowodowały szkody o wartości ponad 1,24 miliarda dolarów w ciągu ostatnich pięciu lat, przy czym odzyskano mniej niż 30 proc. skradzionych pieniędzy.
Phishing i podszywanie się pod inne osoby w wiadomościach e-mail wciąż ewoluują, obejmując nowe trendy, technologie i taktyki. Na przykład liczba ataków związanych z kryptowalutami wzrosła o prawie 200 proc. między październikiem 2020 r. a kwietniem 2021 r. i prawdopodobnie pozostanie poważnym zagrożeniem, ponieważ Bitcoin i inne waluty oparte na łańcuchu bloków nadal rosną pod względem popularności i ceny. Zaledwie w ciągu roku (2021-2022) platformy kryptograficzne straciły szacunkowo 44 miliardy dolarów z powodu działań hakerów wykorzystujących niezabezpieczone portfele, włamania do kart SIM lub kradzież fraz odzyskiwania i haseł (socjotechnika)
Źródło: materiały prasowe Check Point