«Коварный QR-код»: составлен рейтинг самых хитрых способов кибер-мошенничества

В 2024 году в 92% атак на различные организации использовалась социальная инженерия. 51% успешных атак имели в своей основе социальную инженерию. Основным каналом связи для использования социальной инженерии является электронная почта.

Социальная инженерия — это набор методов манипуляции человеческим сознанием для того, чтобы получить какие-то конфиденциальные и важные данные.

По словам Алишера Джураева, в последнее время огромную популярность обрели QR-коды, и мошенники не обошли их стороной. Пример такого использования может включать пустое письмо с вложением, в котором содержатся определенные требования, например, переустановить пароль на предприятии. Письмо содержит инструкции и QR-код, сканирование которого злоумышленник может использовать для перенаправления на вредоносный сайт.

QR-коды представляют опасность по нескольким причинам. Во-первых, их легко создавать — для этого не требуются специфические технологические знания; любой желающий может воспользоваться генератором QR-кодов. Во-вторых, такие коды трудно обнаружить, так как спам-фильтры в электронной почте не распознают зашифрованные в QR-кодах ссылки.

Наконец, такие коды могут распространяться как в онлайн-среде через мессенджеры и электронную почту, так и в оффлайн-среде — в общественных местах, ресторанах, офисах. Если злоумышленник сможет проникнуть на территорию организации, он может разместить QR-коды в местах, где их быстро сканируют люди. Например, мошенники могут наклеить свои коды на информационную стойку в метро или на стойки оплаты в кафе.

Эксперт рассказал, что в современном мире искусственный интеллект (ИИ) становится инструментом не только полезных технологий, но и злоумышленников. С начала года зафиксировано огромное количество случаев использования ИИ хакерскими группировками, стремящимися оказать влияние на внутреннюю политику различных стран.

Еще злоумышленники могут применять ИИ для сбора информации о сотрудниках компаний, что помогает им создать убедительные шаблоны сообщений. Например, в одной компании получили запрос в виде электронного письма от имени налоговой службы с требованием предоставить документы. Это иллюстрирует использование психологических приемов, таких как создание ощущения срочности, заставляющее человека торопиться и отвлекающее его внимание. В панике люди сами передают информацию преступникам.

Кроме того, ИИ используется для генерации изображений и голосов в реальном времени. Так, в Гонконге сотрудник банка получил письмо от мнимых руководителей с просьбой совершить транзакцию. После видеоконференции с якобы «руководителями», лица и голоса которых были сгенерированы нейросетью, он перевел значительную сумму на счет злоумышленников. Хотя часть транзакций была заблокирована или возвращена, некоторая сумма была потеряна безвозвратно.

В эпоху активного использования технологий, особенно во время пандемии, мессенджеры и социальные сети стали основными инструментами общения, что не осталось незамеченным для злоумышленников. С переходом на удалённую работу многие сотрудники начали активно использовать эти платформы для ускорения процессов. Это открывает новые возможности для мошенников, которые находят в мессенджерах идеальный канал для коммуникации с жертвами.

Одной из основных причин такого внимания к мессенджерам является плосковидная эпоха: когда контакты и коммуникации переместились в цифровую сферу, злоумышленникам стало сложнее использовать традиционные методы, такие как звонки по телефону. С введением новых законов в 2021 году, которые ограничивали оборот сим-карт, фактически усложнился процесс их покупки и продажи. Это сделало для мошенников более трудным задачу связаться с жертвами по телефону. Кроме того, операторы связи начали внедрять спам-фильтры, что ещё больше уменьшает шансы злоумышленников на успешный контакт.

Однако мессенджеры остаются практически вне контроля российского законодательства, что позволяет мошенникам использовать их в своих интересах, действуя под юрисдикцией других стран. Социальные сети и мессенджеры становятся доступными каналами связи для манипуляций и социальной инженерии. Например, злоумышленники могут создать поддельные профили, выдавая себя за знакомых или сотрудников, чтобы завоевать доверие жертвы и получить от неё необходимую информацию.

Следующим важным аспектом в контексте сбора информации является поиск данных по открытым источникам. Мессенджеры и социальные сети становятся отличными ресурсами для изучения личности. К примеру, просто зайдя на страницу конкретного сотрудника, можно обнаружить множество полезной информации: его круг общения, интересы, место работы и даже детали о семье. Эти данные могут служить основой для создания более целенаправленного подхода к взаимодействию с жертвой.

Важным инструментом в этом процессе является сбор информации через общение с людьми. Мессенджеры и соцсети предоставляют уникальные возможности для этого, позволяя строить коммуникацию эффективно. Если удастся убедительно использовать элементы социальной инженерии, шансы на успех значительно увеличиваются. Например, злоумышленник может писать от лица псевдоруководителя, сообщая о предстоящей проверке и настоятельно прося не делиться информацией с коллегами.

Алишер Джураев сам решил провести эксперимент и провести теоретическую атаку на конструкторское бюро, занимающееся производством самолетов и вертолетов. Итог оказался весьма необычным. Начав с изучения страницы компании в интернете, где он собрал данные о фамилиях, именах и должностях сотрудников, Алишер перешел на поиск почты руководителя. Кстати, большинство данных находилось в открытом доступе.

Собрав всю информацию, эксперт использовал специальный сервис, который позволяет находить адреса электронной почты по определённым доменам. Поиск всей важной информации занял всего лишь несколько часов.

Таким образом, эксперт подтвердил, что открытые источники предоставляют невероятные возможности для сбора информации. Это делает их важным инструментом в руках не только исследователей кибербезопасности, но и злоумышленников. Важно помнить о своей информационной безопасности в условиях, когда так легко можно узнать больше о человеке, чем он сам может предполагать.