social engineering

Фішинговий лист надходить у вашу поштову скриньку. Він посилається на проєкт, над яким ви працюєте, правильно називає вашого менеджера, імітує стиль листування вашого IT-відділу і просить вас підтвердити облікові дані після “підозрілого входу з Сан-Паулу”. Жодних друкарських помилок. Жодних незграбних фраз. Жодного загального “Шановний клієнте”. Він читається саме як легітимне повідомлення від вашої компанії.

Два роки тому написання цього листа вимагало від зловмисника-людини годин дослідження вашої організації, вашої ролі та ваших комунікаційних патернів. Сьогодні LLM виробляє його за секунди. Подайте кілька профілів LinkedIn та зразок корпоративного листа, і він генерує десятки персоналізованих варіантів, кожен адаптований для іншої цілі, будь-якою мовою.

Ось чому традиційні поради з виявлення фішингу про виявлення граматичних помилок та підозрілого форматування стають ненадійними. Сигнали, на які навчали шукати співробітників, зникають.

Ваш CFO приєднується до відеодзвінка з фінансовою командою в Гонконгу. Вона просить виконати серію грошових переказів загалом на $25 мільйонів. Її обличчя, її голос, її манери. Команда виконує. Весь дзвінок був deepfake.

Це сталося з Arup, британською інженерною фірмою, на початку 2024 року. Зловмисники відтворили CFO та кількох інших керівників, використовуючи публічно доступне відео. Кожна людина на тому дзвінку, крім цілі, була синтетичною.

Ви отримуєте лист від “Norton LifeLock”, що підтверджує щорічне продовження підписки на $499,99. Ви не купували Norton LifeLock. Немає посилання для натискання, немає вкладення для відкриття. Лише номер телефону для дзвінка, якщо “ця оплата була зроблена помилково”.

Тож ви дзвоните. Людина, яка відповідає, звучить професійно, терпляче і щиро бажає допомогти. Вас просять відвідати сайт і завантажити “інструмент скасування”, щоб вони могли обробити повернення коштів. Те, що ви насправді завантажуєте, це програма віддаленого доступу. Протягом кількох хвилин людина на тому кінці контролює вашу машину.

Жодного шкідливого посилання не натиснуто. Жодне вкладення не відкрито. Ваша безпека електронної пошти нічого не спіймала, бо нічого ловити не було.

Це зворотний фішинг, і це один з найшвидше зростаючих типів атак у корпоративних середовищах.

Перший день: лист від нового постачальника запитує, чи ви правильна людина для обговорення можливостей партнерства. Нічого підозрілого. Жодних посилань. Жодних вкладень. Ви відповідаєте, підтверджуючи свою роль.

Третій день: надходить продовження з “пропозицією” у вкладенні. Ви відкриваєте без вагань. Ви вже знаєте цього відправника.

Це бочковий фішинг. Перший лист мав одну мету: змусити вас довіряти другому.

Хакеру не потрібно зламувати ваше шифрування. Йому достатньо переконати одного працівника допомогти.

Атаки соціальної інженерії експлуатують людську психологію замість технічних вразливостей. Поки ваша команда безпеки оновлює програмне забезпечення та моніторить мережі, зловмисники вивчають вашу оргструктуру, профілі LinkedIn та навіть відгуки вашої компанії на Glassdoor. Вони шукають способи маніпулювати людьми за вашими захисними лініями.

Ці атаки працюють, тому що вони націлені на те, що жоден файрвол не може захистити: природні людські схильності довіряти, допомагати та підкорятися авторитету.

Ваш телефон вібрує. Текст від вашого “банку” каже, що виявлено підозрілу активність на вашому рахунку. Натисніть тут для верифікації. Посилання виглядає легітимним. Повідомлення термінове.

Ви вже тягнетесь до посилання, ще не дочитавши.

Саме ця реакція робить смішинг ефективним. SMS-фішинг успішний там, де email провалюється, тому що ми роками навчались не довіряти нашим поштовим скринькам. Ніхто не навчив нас підозрювати текстові повідомлення.

Телефон дзвонить. IT-підтримка каже, що на вашому обліковому записі інцидент безпеки. Їм потрібен ваш пароль для скидання та захисту ваших даних. Абонент звучить професійно, може трохи стурбовано. На вашому визначнику відображається реальний номер вашої компанії.

Ви даєте їм свій пароль.

Я бачив, як це трапляється з розумними, обізнаними з безпеки людьми. Вони знали краще. У цей момент це не мало значення. Саме це робить вішинг настільки ефективним.