Пытаюсь классифицировать онлайн социальную инженерию по отношению к организациям (соответственно, пока еще без частных лиц и оффлайн-атак).
Выложу первую часть промежуточной версии. Нужна критика со стороны, чтобы не было «это лишь твои фантазии».
Классификатор предназначен для того, чтобы представить социальную инженерию как нечто понятное и управляемое. Комбинируя разные элементы можно получить более 100 000 сценариев социальной инженерии (при использовании полной версии). Но зная каждый элемент, можно эффективно построить техническую защиту и обучить сотрудников правилам кибербезопасности.
По типу:
— Таргетированная (персонализированная атака под компанию, отдел, человека)
— Массовая (когда не принципиально, какой из сотрудников в какой компании получит письмо)
— Смешанная (используется небольшая персонализация, например, под бухгалтеров, но рассылается по тысячам компаний или заточенная под конкретную организацию, но не принципиально, кто получит вредонос)
По каналам коммуникации:
— Email (корпоративные и личные)
— Соц. сети (в ЛС, комментарий к посту, стена группы куда входит жертва, теги в посте с упоминанием username)
— Мессенджеры
— Онлайн-консультанты
— Формы обратной связи
По направлению у организаций:
— Внешняя от сотрудника (пишет из отпуска, командировки, из филиала/головного офиса)
— Внешняя от организации (выдуманный или действующий представитель подрядчика, партнера, гос. органа)
— Внешняя от физ. лиц (потенциальные/действующие клиенты)
— Внешняя с подделкой отправителя email (изменяются заголовки email и в почтовом клиенте виден легитимный отправитель)
— Внутренняя с подделкой отправителя email
— Внутренняя при взломе инфраструктуры (рассылка идет из инфраструктуры организации с нового созданного email)
— Внутренняя при взломе email сотрудника (реальный или фиктивный взлом email с последующей рассылкой)
— Внутренняя с пересылкой извне (клиентская поддержка пересылает в тех. поддержку или ИТ-отдел)
— Внутренняя легализованная (начальник попался и отдает приказ сотрудникам совершить вредоносное действие)
По формату:
— Веб-сайты (включая онлайн-документы и формы авторизации к ресурсам)
— Реклама (например, с гео-таргетингом на определенный бизнес-центр)
— Видео и Аудио-deepfake
— «Find trap» сценарий (побуждение пользователя самостоятельно найти вредоносный ресурс (сайт, канал, файл)).
— Приложения (в неофициальных магазинах, в официальных магазинах крадущие данные или шпионы)
— Многоходовки (сначала общаемся с жертвой, потом отправляем вредонос)
— Лидеры мнений (например, админ группы рассказал о ресурсе (платно или нет), а он был подменен на вредоносный)
— Вложения (по типу: архивы с паролем и без, офисные документы, html-файлы. По небезопасному действию: разрешение макросов, разрешение небезопасного содержимого)
— Ссылки (с символом @, слеш в юникоде, с обфускацией, кириллические, QR-коды, некорректный синтаксис, в виде картинок в теле письма, в документах, очень длинные, в виде цифр, невидимая при наведении мыши, редиректы, неактивные, похожие на официальные сайты, в поддоменах)
— Плагины для браузера (в неофициальных магазинах, в официальных магазинах крадущие данные или шпионы)
По целевым группам, По контексту, Усиление контекста, По персонализации, По целевому вредоносному действию, По рискам (ущербу) и типовым негативным последствиям (продолжение следует)