Атака №1: Фишинг и социално инженерство

Накратко за фишинг и социално инженерство

Повечето киберинциденти не започват с пробив в система, а с пробив в доверието.
Phishing и social engineering атаките не разчитат на технически експлойти. Те разчитат на хората.

Атакуващият се представя за легитимен източник. Колега, партньор, доставчик, платформа, институция. Целта не е просто да изпрати имейл, а да предизвика действие. Отваряне на файл. Въвеждане на парола. Одобряване на плащане. Даване на достъп.

Това са атаки, изградени върху контекст, натиск и психологически реакции. Затова и продължават да бъдат най-ефективната входна точка.

Кого таргетират най-често

Phishing не избира „жертви“. Избира достъп и влияние.
Колкото по-близо е човекът до процеси, пари или системи, толкова по-интересен става.

Роли

• служители с достъп до имейл и вътрешни системи

• финансови и административни отдели

• мениджмънт и ключови фигури

• IT и support екипи

Сектори

• малък и среден бизнес

• професионални услуги

• производство и логистика

• публичен сектор

• здравеопазване и образование

Тип организации

• без ясно дефинирани процеси за сигурност

• с хибридна и cloud инфраструктура

• в период на растеж и промени

Колкото по-динамична е средата, толкова по-лесно е атаката да се слее с ежедневието.

На какво разчита атаката

Phishing рядко успява заради един-единствен фактор.
Той работи, когато човешкият, техническият и процесният слой се подредят в негова полза.

Човешки фактор

• бързане

• когнитивна умора

• доверие към авторитет

• страх от грешка

• желание да се помогне

Технически пропуски

• липса на MFA

• слаба имейл защита

• компрометирани акаунти

• липса на видимост

Процесни слабости

• неясни процедури

• липса на второ одобрение

• отсъствие на обучения

• няма навик за проверка

Phishing атаката е успешна, когато средата ѝ го позволява.

Как се хваща

Откриването на phishing рядко е едно събитие. По-често е натрупване на малки сигнали.
Разликата между инцидент и пробив е в това кой ги вижда и колко рано.

Какво може да забележи потребителят

• необичаен тон или спешност

• промяна в банкови детайли

• линкове и файлове с неясен произход

• дребни, но нетипични разминавания

Какво вижда IT екипът

• необичайни логвания

• нови устройства

• нехарактерен достъп

• странни имейл модели

Какво вижда SOC

• поведенчески аномалии

• индикатори за активни кампании

• злоупотреба с креденшъли

• lateral movement след имейл

Phishing рядко остава изолиран. Ако не се хване навреме, той почти винаги е началото на нещо по-голямо.

Как се ограничава

При phishing времето е по-важно от пълната яснота.
Целта на първите действия не е анализ, а прекъсване на веригата.

• незабавно изолиране на засегнатия акаунт

• смяна на пароли и прекратяване на сесии

• премахване на malicious правила и forward-и

• проверка за последващи действия

• вътрешно уведомяване

❗ Какво не помага:

• изтриване на имейла без анализ

• търсене на виновни

• забавяне на реакцията

Phishing не чака. И реакцията не трябва.

Какво реално помага

Phishing не се „решава“. Управлява се като постоянен риск.
И изисква баланс между хора, процеси и технологии.

Хора

• регулярни, реалистични обучения

• култура на проверка, не на страх

• лесен начин за докладване

Процеси

• ясни процедури за плащания и промени

• двойно потвърждение

• playbooks за реакция

• симулации

Технологии

• имейл и домейн защита

• MFA

• поведенчески мониторинг

• XDR и SOC покритие

Колкото по-добре са свързани тези три слоя, толкова по-трудно е phishing да прерасне в инцидент.

Чести митове

Митовете около phishing често създават фалшиво спокойствие.

• „Хората ще се научат и проблемът ще изчезне“

• „Имаме имейл защита, значи сме покрити“

• „Ще го видим, ако се случи“

• „Това е проблем само на малките фирми“

Реалността е, че phishing остава най-честата входна точка дори в много зрели среди.

Следва: Атака №2 – Злоупотреба с идентификационни данни и превземане на акаунт