T1598.001: ЦІЛЬОВИЙ ФІШИНГ ЧЕРЕЗ СТОРОННІ СЕРВІСИ

Зловмисники можуть надсилати повідомлення цільового фішингу (spearphishing) через сторонні сервіси для виманювання чутливої інформації, яка може бути використана під час вибору цілі. Такий фішинг — це спроба обманом змусити ціль розкрити дані, найчастіше облікові дані або іншу корисну інформацію. Він часто включає методи соціальної інженерії, такі як видавання себе за джерело з важливою причиною для збору даних (наприклад, для створення чи компрометації акаунтів) та/або надсилання кількох, здавалося б, термінових повідомлень.

Усі форми цільового фішингу — це електронна соціальна інженерія, спрямована на конкретну особу, компанію чи галузь. У цьому сценарії зловмисники надсилають повідомлення через різні соціальні мережі, особисту вебпошту та інші сервіси, які не контролюються підприємством.

Такі сервіси, як правило, мають менш сувору політику безпеки, ніж корпоративні. Як і в більшості видів цільового фішингу, мета полягає в тому, щоб встановити рапорт із ціллю або зацікавити її в якийсь спосіб. Зловмисники можуть створювати фейкові акаунти в соціальних мережах і писати співробітникам про потенційні можливості працевлаштування. Це дає правдоподібний привід для запитань про послуги, політики та інформацію про їхнє середовище. Зловмисники також можуть використовувати інформацію з попередніх етапів розвідки (наприклад, із соцмереж або сайтів жертви), щоб створити переконливі та правдоподібні приманки (lures).

Чому атаки через сторонні сервіси такі успішні?

• Відсутність корпоративного контролю: Ваша компанія може мати найкращий у світі фаєрвол, але він не бачить, що вам пишуть в особистий Telegram або WhatsApp.
• Психологія «особистого простору»: Люди звикли, що робота — це небезпека, а особистий LinkedIn — це безпека. Зловмисники експлуатують це розслаблене середовище.
• Легітимність платформи: Повідомлення приходить із домену linkedin.com або facebook.com, які зазвичай додані в «білі списки» більшості організацій.
• Вибудовування стосунків (Rapport Building): На відміну від звичайної спам-розсилки, хакер може тижнями «прогрівати» жертву: лайкати пости, коментувати, вести нібито професійну бесіду, перш ніж попросити «глянути на файл» або «заповнити анкету».

Популярні сценарії (Lures):

• «Привабливий оффер»: Рекрутер просить надати деталі про ваш поточний проект, щоб порівняти їх із вимогами нової вакансії.
• «Технічна конференція»: Запрошення виступити на івенті, для чого потрібно «завантажити програму заходу» або «зареєструватися через корпоративний акаунт».
• «Скарга клієнта»: У Facebook-месенджер сторінки компанії пише «розлючений клієнт», надсилаючи посилання на «докази браку», які насправді ведуть на фішинговий сайт.

Як захиститися?

• Навчання (Cyber Hygiene): Співробітники мають розуміти, що професійна етика не передбачає запитань про внутрішні налаштування безпеки або паролі, навіть у LinkedIn.
• Розмежування контекстів: Впровадьте правило: ніколи не використовуйте робочі паролі для особистих акаунтів і не переходьте за підозрілими посиланнями з робочих пристроїв, навіть якщо вони прийшли в особистий месенджер.
• Перевірка профілів: Навчіть розпізнавати фейкові акаунти (нещодавня дата створення, мало контактів, стокові фото, відсутність спільних знайомих).
• Політика розкриття інформації: Чітко визначте, яка інформація про внутрішні процеси компанії є конфіденційною і не може обговорюватися з «рекрутерами» чи «експертами» в мережі.