Vi ved alle om den type angriber, der udnytter deres tekniske ekspertise til at infiltrere beskyttede computersystemer og kompromittere følsomme data. Denne race af ondsindet skuespiller kommer hele tiden med nyheder, hvilket får os til at imødegå deres udnyttelse ved at investere i nye teknologier, der vil styrke vores netværksforsvar.

Der er dog en anden type angriber, der bruger forskellige taktikker til at skørt vores værktøjer og løsninger. De kaldes “sociale ingeniører”, fordi de udnytter den ene svaghed, der findes i enhver organisation: menneskelig psykologi. Ved hjælp af telefonopkald og andre medier narrer disse angribere folk til at aflevere adgang til organisationens følsomme oplysninger.

Social engineering er et udtryk, der omfatter et bredt spektrum af ondsindet aktivitet. I denne artikel skal vi fokusere på de fem mest almindelige angrebstyper, som sociale ingeniører bruger til at målrette mod deres ofre. Disse er phishing, pretexting, agn, quid pro quo og tailgating.

Phishing

Phishing er den mest almindelige type social engineering-angreb, der finder sted i dag. Men hvad er det præcist? På et højt niveau bestræber de fleste phishing-svindel sig på at opnå tre ting:

• Få personlige oplysninger såsom navne, adresser og personnumre.
• Brug forkortede eller vildledende links, der omdirigerer brugere til mistænkelige websteder, der er vært for phishing-destinationssider.
• Indarbejd t trusler, frygt og en presserende følelse i et forsøg på at manipulere brugeren til at reagere hurtigt.

Ingen to phishing-e-mails er de samme. Der er faktisk mindst seks forskellige underkategorier af phishing-angreb. Derudover ved vi alle, at nogle er dårligt udformede, i det omfang deres meddelelser lider af stave- og grammatikfejl. Alligevel har disse e-mails normalt det samme mål at bruge falske websteder eller formularer til at stjæle brugerloginoplysninger og andre personlige data.

En nylig phishing-kampagne brugte en kompromitteret e-mail-konto til at sende angrebsmails ud. Disse meddelelser bad modtagere om at gennemgå et foreslået dokument ved at klikke på en integreret URL. Indpakket med Symantecs Click-time URL Protection, omdirigerede denne ondsindede URL modtagere til en kompromitteret SharePoint-konto, der leverede en anden ondsindet URL indlejret i et OneNote-dokument. Denne URL omdirigerede igen brugere til en phishing-side, der efterligner en Microsoft Office 365-loginportal.

Pretexting

Pretexting er en anden form for social engineering, hvor angribere fokuserer på at skabe et godt påskud , eller et fabrikeret scenario, som de bruger til at forsøge at stjæle deres ofres personlige oplysninger. I disse typer angreb siger svindleren normalt, at de har brug for bestemte bit information fra deres mål for at bekræfte deres identitet. I virkeligheden stjæler de disse data og bruger dem til at begå identitetstyveri eller afholde sekundære angreb.

Mere avancerede angreb prøver undertiden at narre deres mål til at gøre noget, der misbruger en organisations digitale og / eller fysiske svagheder. For eksempel kan en angriber efterligne en ekstern it-service-revisor, så de kan tale et målvirksomheds fysiske sikkerhedsteam om at lade dem komme ind i bygningen.

Mens phishing-angreb hovedsageligt bruger frygt og haster til deres fordel, foregiver tekst angreb er afhængige af at opbygge en falsk følelse af tillid til offeret. Dette kræver, at angriberen opbygger en troværdig historie, der efterlader lidt plads til tvivl fra deres målsætning.

Pretexting kan og antager forskellige former. Alligevel beslutter mange trusselsaktører, der omfavner denne angrebstype, at maskere sig som HR-personale eller ansatte i økonomiudviklingen. Disse forklædninger giver dem mulighed for at målrette mod ledere på C-niveau, som Verizon fandt i sin Data Data Breach Investigations Report (DBIR) fra 2019.

Agn

Agn er på mange måder magen til phishing-angreb. Det, der adskiller dem fra andre typer social engineering, er imidlertid løftet om en vare eller god, som ondsindede aktører bruger for at lokke ofre. Baiters kan udnytte tilbudet om gratis download af musik eller film, for eksempel for at narre brugere til at aflevere deres loginoplysninger.

Agneangreb er heller ikke begrænset til online-ordninger. Angribere kan også fokusere på at udnytte menneskelig nysgerrighed via brugen af fysiske medier.

Tilbage i juli 2018 rapporterede KrebsOnSecurity for eksempel om en angrebskampagne rettet mod statslige og lokale regeringsorganer i USA. Operationen sendte kinesiske poststemplede konvolutter, der indeholdt et forvirrende brev sammen med en cd (CD). Pointen var at fremkalde modtageres nysgerrighed, så de kunne indlæse cd’en og derved utilsigtet inficere deres computere med malware.

Quid Pro Quo

Svarende til agn, quid pro quo-angreb lover en fordel i bytte for information. Denne fordel antager normalt form af en tjeneste, mens agn normalt har form af en vare.

En af de mest almindelige typer af quid pro quo-angreb, der er kommet ud i de seneste år, er når svindlere efterligner US Social Security Administration (SSA). Disse falske SSA-medarbejdere kontakter tilfældige personer, informerer dem om, at der har været et computerproblem ved deres ende og beder dem om at bekræfte deres personnummer, alt sammen med det formål at begå identitetstyveri. I andre tilfælde opdaget af Federal Trade Commission (FTC) opretter ondsindede aktører falske SSA-websteder, der siger, at de kan hjælpe brugerne med at ansøge om nye socialsikringskort, men i stedet blot stjæle deres personlige oplysninger.

Det er vigtigt at bemærke dog, at angribere kan bruge quid pro quo-tilbud, der er langt mindre sofistikerede end SSA-temaer. Som tidligere angreb har vist, er kontormedarbejdere mere end villige til at give deres adgangskoder til en billig pen eller endda en bar chokolade.

Tailgating

Vores sidste type angreb af social engineering dagen er kendt som tailgating eller “piggybacking.” I disse typer angreb følger en person uden den korrekte godkendelse en godkendt medarbejder ind i et begrænset område. Angriberen kan efterligne en leveringsdriver og vente uden for en bygning for at få tingene i gang. Når en medarbejder får sikkerhedens godkendelse og åbner døren, angriberen beder medarbejderen om at holde døren og derved få adgang til bygningen.

Tailgating fungerer ikke i alle virksomhedsindstillinger såsom store virksomheder, hvis indgange kræver brug af et nøglekort. Imidlertid i mellemstore virksomheder kan angribere indlede samtaler med medarbejderne og bruge dette kendskab til at komme forbi receptionen.

Faktisk brugte Colin Greenless, en sikkerhedskonsulent hos Siemens Enterprise Communications, disse taktikker for at få adgang til flere etager og datarummet hos et FTSE-børsnoteret finansfirma. Han var endda i stand til at etablere forretning i et mødelokale på tredje sal og arbejde der i flere dage.

Socialtekniske anbefalinger

M ondsindede aktører, der deltager i socialtekniske angreb, byder på menneskelig psykologi og nysgerrighed for at kompromittere deres måls information. Med dette menneskecentriske fokus i tankerne er det op til organisationer at hjælpe deres medarbejdere med at imødegå disse typer angreb.

Her er et par tip, som organisationer kan indarbejde i deres træningsprogrammer i sikkerhedsbevidsthed, der hjælper brugere for at undgå social engineering-ordninger:

• Åbn ikke e-mails fra kilder, der ikke er tillid til. Kontakt en ven eller et familiemedlem personligt eller telefonisk, hvis du modtager en mistænkelig e-mail fra dem.
• Giv ikke tilbud fra fremmede til tvivl. Hvis de synes for gode til at være sande, er de sandsynligvis det.
• Lås din bærbare computer, når du er væk fra din arbejdsstation.
• Køb antivirussoftware. Ingen AV-løsning kan forsvare sig mod enhver trussel, der søger at bringe brugernes oplysninger i fare, men de kan hjælpe med at beskytte mod nogle.
• Læs din virksomheds fortrolighedspolitik for at forstå, under hvilke omstændigheder du kan eller skal lade en fremmed komme ind i bygning.