Już 36% cyberataków opiera się na inżynierii społecznej, a najskuteczniejsi cyberprzestępcy są w stanie pozyskać kontrolę nad firmowymi danymi zaledwie w 40 minut. Pomaga w tym generatywna sztuczna inteligencja, dzięki której można sklonować głos dowolnego pracownika, a potem skontaktować się ze wsparciem technicznym IT pod pretekstem zgłoszenia utraty hasła. Specjaliści z Palo Alto Networks z jednostki Unit 42 przestrzegają, że to tylko jeden z przykładów socjotechnik bezwzględnie wykorzystujących zwykłą ludzką ufność. Dlatego inżynierię społeczną należy traktować jako systemową lukę wymagającą wielowarstwowych kontroli technicznych i ścisłej weryfikacji opartej na zasadzie zerowego zaufania.

Badania Unit 42 – jednostki w Palo Alto Networks zajmującej się analizą trendów w zagrożeniach i działaniami cyberprzestępców – wskazują, że od maja 2024 do maja 2025 roku przestępcy najczęściej atakowali sektor zaawansowanych technologii. Jednak po wyodrębnieniu ataków socjotechnicznych najbardziej narażona okazała się branża produkcyjna. Podobnie wyglądają statystyki dotyczące phishingu, który stanowi 23% wszystkich włamań, ale koncentrując się wyłącznie na działaniach socjotechnicznych, udział procentowy phishingu wzrasta aż do 65% . Dowodzi to elastyczności cyberprzestępców, którzy potrafią precyzyjnie dobrać taktykę do profilu atakowanej branży, firmy, a nawet konkretnej osoby.

Tak działa coraz więcej grup cyberprzestępców, a jedną z najskuteczniejszych jest Muddled Libra . Grupa, zamiast przeprowadzać szeroko zakrojone ataki phishingowe, namierza kluczowych pracowników i tworzy ich profile psychologiczne na podstawie publicznie dostępnych informacji. Następnie przestępcy podszywają się pod nich i kontaktują się np. z firmowym działem pomocy pod dowolnym pretekstem: utraty hasła, problemu z dostępem do zasobów, pozyskanie poświadczenia dostępu, itp. W rezultacie grupy te uzyskują dostęp do danych, które można szybko spieniężyć, a potem zniknąć.

 

„Takie ataki są na pierwszy rzut oka bardzo trudne do zidentyfikowania. Wyłudzenie dostępu do kont pracowników jest poprzedzone skrupulatnym rozpoznaniem. Przestępcy wielokrotnie kontaktują się z działem pomocy w atakowanej firmie, aby jak najlepiej poznać procedury odzyskiwania kont czy zmiany zakresu uprawnień.

Wiemy o przypadku kradzieży ponad 350 GB danych, który nie został w porę wykryty, bo przestępcy nie użyli żadnego złośliwego oprogramowania. Korzystano wyłącznie z legalnych poświadczeń. Atakujący skontaktowali się z działem pomocy technicznej organizacji, podając się za pracownika, który utracił dostęp do systemu. Cyberprzestępcy korzystający z tej techniki są doskonale przygotowani i znają ofiary, których tożsamość starają się zreplikować. W ten sposób często udaje im się zresetować hasło dostępowe i niepostrzeżenie wejść do systemu informatycznego organizacji” – mówi Tomasz Pietrzyk, szef zespołu ds. rozwiązań technicznych Palo Alto Networks.

 

Wobec rosnących napięć geopolitycznych warto podkreślić, że zaawansowana inżynieria społeczna nie jest domeną wyłącznie organizacji cyberprzestępczych nastawionych na zarabianie pieniędzy. Grupy sponsorowane przez wywiady wrogich sobie państw również chętnie korzystają z socjotechnik w celach destabilizacyjnych. Przykładowo cyberprzestępcy powiązani z Iranem podszywali się pod zaufane instytucje, aby za pomocą sfałszowanych wiadomości e-mail dystrybuować złośliwe oprogramowanie . Z kolei grupy północnokoreańskie upodobały sobie podszywanie się pod kandydatów do pracy, wykorzystując sfabrykowane CV, profesjonalne profile w mediach społecznościowych i rekrutację zdalną, aby zatrudnić się w firmach obranych za cel ataku .

Ataki socjotechniczne to potężne narzędzie, z którego korzysta dziś coraz więcej indywidualnie działających cyberprzestępców, jak i zorganizowanych grup. Specjaliści z Palo Alto Networks prognozują, że udział tego rodzaju cyberataków będzie dalej rósł. Jednym z kluczowych czynników jest rozwój generatywnej sztucznej inteligencji, ponieważ modele językowe mogą wesprzeć atakujących w opracowywaniu coraz skuteczniejszych scenariuszy i narzędzi.

Inżynieria społeczna pozostaje najskuteczniejszym wektorem ataku, ponieważ wykorzystuje słabości ludzkiego zachowania, a nie luki w oprogramowaniu. Cyberprzestępcy szybko dostrzegli, że znacznie łatwiej zdobyć zaufanie człowieka niż ominąć technologiczne zabezpieczenia. W związku z tym firmy będą tak bezpieczne, jak dobrze ustrukturyzowane będą ich procesy, decyzje i wiedza pracowników.

Badacze z jednostki Unit 42 zalecają szkolenia pracowników HR i wsparcia IT, w zakresie rozpoznawania i zgłaszania przypadków, które mogą wskazywać na próby podszywania się pod pracowników firmy lub kandydatów do pracy. Potrzebne są w tym celu także praktyczne testy polegające na symulowaniu takich ataków. Należy także wdrażać zasady dostępu warunkowego, które przed wpuszczeniem urządzenia i użytkownika, który z niego korzysta, do systemu oceniają je, badają lokalizację i dane behawioralne użytkownika podczas logowania.