Чому компанії не можуть зупинити атаки соціальної інженерії? | Думка

Джерело: CryptoNewsNet Оригінальна назва: Чому компанії не можуть зупинити соціальне інженерство? | Думка Оригінальне посилання: За минулий рік більшість найбільших експлойтів у крипто-сфері мали одну й ту ж кореневу причину: людей. За останні кілька місяців Ledger закликав користувачів призупинити активність у мережі після того, як npm-обслуговувачів обдурили, а шкідливі пакети поширювалися; Workday розкрив кампанію соціального інженерства, яка отримала доступ до даних у сторонній CRM; а оператори, пов’язані з державою, продовжували фальшиві вакансії проти команд у криптоіндустрії для поширення шкідливого програмного забезпечення.

Підсумки

• Криптовалюта не зламується — її змушують саму себе зізнатися. Більшість порушень тепер виникає через фішинг, фальшиві оновлення та impersonation, а не через зламаний код, що робить “людей” основною зоною атаки.
• Програмовані гроші перетворюють дрібні помилки у катастрофічні втрати. Один витік ключа або схвалений запит може миттєво і безповоротно зняти кошти, роблячи соціальне інженерство системним ризиком, а не помилкою користувача.
• Поки операційна безпека не буде розглядатися як основна інфраструктура, експлойти будуть продовжувати масштабуватися. Аудити та огляди коду не зможуть зупинити людське обманювання — лише впровадження стандартів безпеки для пристроїв, доступу та навчання.

Незважаючи на мільярди, витрачені на кібербезпеку, компанії продовжують програвати через простий соціальний інженеринг. Команди вкладають гроші у технічні засоби захисту, аудити та огляди коду, ігноруючи операційну безпеку, гігієну пристроїв і базові людські фактори. Оскільки все більше фінансової активності переходить у блокчейн, цей сліпий плям стає системним ризиком для цифрової інфраструктури.

Єдиний спосіб уповільнити зростання соціального інженерства — це широкі, послідовні інвестиції в операційну безпеку, що зменшують вигоду від цих тактик.

Соціальне інженерство — ахіллесова п’ята кібербезпеки

Звіт Verizon за 2025 рік про дослідження порушень даних пов’язує “людський фактор” у кібербезпеці (фішинг, викрадені облікові дані та щоденні помилки) приблизно з 60% порушень даних.

Соціальне інженерство працює, тому що воно спрямоване на людей, а не на код, використовуючи довіру, терміновість, знайомство та рутини. Ці типи експлойтів не можна викорінити за допомогою аудиту коду і важко захистити автоматизованими інструментами кібербезпеки. Огляд коду та інші поширені практики кібербезпеки не зможуть запобігти тому, щоб співробітник схвалив шахрайський запит, що виглядає як від менеджера, або завантажив фальшиве оновлення програмного забезпечення, яке здається легітимним.

Навіть високотехнічні команди потрапляють у пастку; людська слабкість універсальна і вперта. В результаті соціальне інженерство продовжує спричиняти реальні інциденти.

Крипто підвищує ставки

Програмовані гроші концентрують ризик. У Web3 компрометація seed-фрази або API-токена може бути еквівалентом злома банківської ячейки. Неповоротна природа крипто-транзакцій посилює помилки: як тільки кошти переміщуються, часто неможливо їх повернути. Одна помилка у безпеці пристрою або обробці ключів може знищити активи. Децентралізований дизайн Web3 означає, що часто немає служби підтримки, до якої можна звернутися, залишаючи користувачам самих себе.

Хакери, включаючи державних операторів, помітили ефективність соціального інженерства і адаптувалися відповідно. Операції сильно залежать від соціального інженерства: фальшиві пропозиції роботи, отруєні PDF, шкідливі пакети та цілеспрямований фішинг, що використовують людські вразливості.

Ці експлойти вражаюче ефективні і прості у виконанні, і технологічні компанії, здається, не здатні їм протистояти. На відміну від експлойтів нульового дня, які швидко виправляються (змушуючи хакерів шукати нові стратегії експлойтів), хакери можуть багаторазово використовувати ті самі тактики соціального інженерства, працюючи автономно, витрачаючи більше часу на злом і менше — на R&D.

Компаніям потрібно інвестувати в операційну безпеку

Занадто багато організацій досі вважають безпеку простою перевіркою відповідності — ставлення, яке підкріплюється м’якими регуляторними стандартами. Компанії регулярно проходять аудити і публікують бездоганні звіти, навіть приховуючи очевидні операційні ризики: ключі адміністраторів зберігаються на особистих ноутбуках, облікові дані передаються через чат і електронну пошту, застарілі привілеї доступу ніколи не оновлюються, а ноутбуки для подорожей перепрофілюються під розробницькі машини.

Виправлення цієї дисциплінарної недбалості вимагає явних, примусових заходів операційної безпеки. Команди повинні використовувати керовані пристрої, сильний захист кінцевих точок і шифрування всього диска; логіни компанії мають використовувати менеджери паролів і MFA, що протистоїть фішингу; системні адміністратори повинні ретельно керувати привілеями та доступом. Ці заходи не є універсальним рішенням, але вони ускладнюють соціальне інженерство і допомагають зменшити вплив потенційних експлойтів.

Найголовніше — команда повинна інвестувати у навчання з операційної безпеки; співробітники (не команди кібербезпеки) — перша лінія оборони проти соціального інженерства. Компанії мають витрачати час на навчання команд розпізнавати ймовірні фішингові атаки, практикувати безпечну обробку даних і розуміти практики операційної безпеки.

Критично важливо, щоб організації добровільно не приймали посилені заходи кібербезпеки; регулятори повинні втрутитися і встановити обов’язкові операційні стандарти, що роблять справжню безпеку необов’язковою. Стандарти відповідності мають виходити за межі документації і вимагати підтвердження безпечних практик: підтверджене управління ключами, періодичні огляди доступу, посилення кінцевих точок і симуляція фішингу. Без регуляторної сили стимул завжди буде орієнтований на вигляд, а не на результати.

Соціальне інженерство лише погіршується

Вкрай важливо інвестувати в операційну безпеку зараз, оскільки кількість атак зростає експоненційно.

Генеративний ШІ змінив економіку обману. Зловмисники тепер можуть персоналізувати, локалізувати і автоматизувати фішинг у промислових масштабах. Кампанії, що раніше були орієнтовані на одного користувача або підприємство, тепер можна використовувати для цільової атаки тисяч бізнесів із мінімальними додатковими витратами. Фішинг-атаки можна персоналізувати всього кількома кліками, включаючи інтимні деталі, щоб зробити підроблений лист більш легітимним.

ШІ також прискорює розвідку. Публічні сліди, викрадені облікові дані та відкриті джерела інформації можна аналізувати і зібрати у “брифи” про кожну жертву, допомагаючи хакерам розробляти глибоко переконливі атаки.

Зменшення кількості атак

Соціальне інженерство процвітає там, де довіра і зручність переважають перевірку і обережність. Організаціям потрібно перейти до більш оборонної позиції і (правильно) припускати, що вони постійно під загрозою соціального інженерства.

Команди мають впроваджувати принципи нульової довіри у щоденних операціях і включати принципи операційної безпеки у всі сфери діяльності компанії. Вони мають навчати співробітників з операційної безпеки, щоб виявляти атаки на ранніх стадіях і тримати команду в курсі нових тактик соціального інженерства.

Найголовніше — компанії мають визначити, де ще живе довіра у їхніх операціях (там, де зловмисник може видавати себе за співробітника, програмне забезпечення або клієнта) і додати додаткові заходи безпеки.

Соціальне інженерство не зникне, але ми можемо зробити його набагато менш ефективним і менш руйнівним, коли атаки трапляються. По мірі того, як галузь зміцнює свої оборонні позиції проти цих атак, соціальне інженерство стане менш прибутковим для хакерів, і кількість атак знизиться, нарешті поклавши край цьому безперервному циклу експлойтів.