WhatsApp Соціальна інженерія
Your "boss" on WhatsApp isn't your boss.
Що таке WhatsApp Соціальна інженерія?
Повідомлення у WhatsApp від Вашого CEO. Новий номер, пояснює він, бо його звичайний телефон на ремонті. Йому потрібна невелика послуга. Чи не могли б Ви купити кілька подарункових карток для заходу подяки клієнтам? Він Вам відшкодує. Це терміново. Він весь день на зустрічах і не може зайнятися цим сам. Це одна з найпоширеніших та найдорожчих атак соціальної інженерії у світі. Центр скарг на інтернет-злочини FBI повідомив, що шахрайства з компрометацією ділової електронної пошти та імітацією особи спричинили збитки у $2,7 мільярда у 2022 році. Варіант через WhatsApp працює, тому що месенджери відчуваються неформальними та миттєвими. Люди відповідають на повідомлення швидше, ніж на листи, з меншою ретельністю та із сильнішим відчуттям особистого зобов'язання, коли повідомлення, здається, надходить від старшого керівника. У цій симуляції Ви проживете розмову у WhatsApp в реальному часі з людиною, яка видає себе за Вашого менеджера. Повідомлення ескалуються у терміновості та емоційному тиску. Ви навчитесь розпізнавати шаблони: чому зловмисники обирають подарункові картки (неможливо відстежити), чому вони створюють часовий тиск (щоб запобігти верифікації), та чому вони обирають месенджери замість електронної пошти (менше контролів безпеки). Ви практикуватимете найефективніший єдиний захист: позасмугову верифікацію. Це означає зв'язатися з імовірним відправником через інший канал, який зловмисник не контролює, перш ніж вживати будь-яких дій. Швидке повідомлення у Slack або телефонний дзвінок Вашому справжньому начальнику миттєво припиняє шахрайство.
Що ви дізнаєтесь у WhatsApp Соціальна інженерія
- Визначати поширені шаблони імітації начальника у WhatsApp та інших платформах обміну повідомленнями
- Розпізнавати тактики психологічного тиску, включаючи терміновість, авторитетність та ізоляцію
- Застосовувати позасмугову верифікацію для підтвердження запитів, отриманих через неформальні канали
- Пояснити, чому зловмисники надають перевагу подарунковим карткам, банківським переказам та криптовалюті для платіжних шахрайств
- Повідомляти про підозрювані спроби соціальної інженерії через належні організаційні канали
WhatsApp Соціальна інженерія — Кроки навчання
-
Тихий день
Це повільний день середи. Аліса виконує рутинні завдання в домашньому офісі. Її телефон гуде з новим повідомленням WhatsApp.
-
Повідомлення від VP
Аліса отримує повідомлення WhatsApp від когось, який називає себе Девідом Моррісоном, віце-президентом з операцій Meridian Analytics.
-
Терміновий запит
Повідомлення здається законним - Девід Моррісон є віце-президентом з операцій. Аліса помічає, що номер телефону не збережено в її контактах, що дивно, оскільки вона має справжній номер Девіда з довідника компанії. Але, можливо, він користується іншим телефоном?
-
Побудова довіри
Ще одне повідомлення надходить від «Давида», поки Аліса все ще читає перше.
-
Аліса відповідає
Прохання виглядає розумним. Девід є керівником вищої ланки, і в Meridian Analytics регулярно відбуваються заходи для клієнтів. Аліса вирішує відповісти та запропонувати свою допомогу.
-
Ескалація
«Давид» відповідає швидко, додаючи терміновості та конкретних інструкцій.
-
Щось відчувається
Давайте зупинимось і подумаємо про те, що щойно сталося.
-
Виявлено червоні прапори
Давайте розглянемо цю розмову ближче. Кілька речей не збігаються.
-
Час перевірки
Аліса розуміє, що щось не так. Замість того, щоб продовжувати розмову в WhatsApp, вона вирішує перевірити запит через офіційні канали. Вона бере телефон, щоб зателефонувати справжньому Девіду Моррісону за номером, збереженим у контактах її компанії.
-
Підтверджено: це шахрайство
Девід підтверджує, що він ніколи не надсилав жодних повідомлень WhatsApp і не планує жодного клієнтського заходу на п’ятницю. Він дякує Алісі за перевірку та каже їй негайно повідомити про це групі безпеки. Імітатор використовував ім’я та посаду Девіда – інформацію, яку легко знайти в LinkedIn або на веб-сайті компанії – щоб завоювати довіру.