We weten allemaal van het type aanvaller dat zijn technische expertise gebruikt om in beveiligde computersystemen te infiltreren en gevoelige gegevens in gevaar te brengen. Dit soort kwaadwillende actoren maakt de hele tijd nieuws, wat ons ertoe aanzet hun exploits tegen te gaan door te investeren in nieuwe technologieën die onze netwerkverdediging versterken.
Er is echter een ander type aanvaller die andere tactieken gebruikt om te omzeilen. onze tools en oplossingen. Ze worden ‘social engineers’ genoemd omdat ze misbruik maken van de enige zwakte die in elke organisatie wordt aangetroffen: menselijke psychologie. Met behulp van telefoontjes en andere media misleiden deze aanvallers mensen om toegang te geven tot de gevoelige informatie van de organisatie.
Social engineering is een term die een breed spectrum van kwaadaardige activiteiten omvat. Laten we ons voor de toepassing van dit artikel concentreren op de vijf meest voorkomende aanvalstypen die social engineers gebruiken om hun slachtoffers te targeten. Dit zijn phishing, voorwendselen, uitschelden, quid pro quo en bumperkleven.
Phishing
Phishing is het meest voorkomende type social engineering-aanval dat tegenwoordig plaatsvindt. Maar wat is het precies? Op een hoog niveau proberen de meeste phishing-aanvallen drie dingen:
- Verkrijg persoonlijke informatie zoals namen, adressen en burgerservicenummers.
- Gebruik verkorte of misleidende links die gebruikers omleiden naar verdachte websites die phishing-bestemmingspagina’s hosten.
- Neem t haat, angst en een gevoel van urgentie in een poging de gebruiker te manipuleren om snel te reageren.
Geen twee phishing-e-mails zijn hetzelfde. Er zijn eigenlijk minstens zes verschillende subcategorieën van phishing-aanvallen. Bovendien weten we allemaal dat sommige zo slecht zijn gemaakt dat hun berichten last hebben van spellings- en grammaticafouten. Toch hebben deze e-mails meestal hetzelfde doel: nepwebsites of -formulieren gebruiken om inloggegevens van gebruikers en andere persoonlijke gegevens te stelen.
Een recente phishing-campagne gebruikte een gecompromitteerd e-mailaccount om aanvalsmails te verzenden. Deze berichten vroegen ontvangers om een voorgesteld document te bekijken door op een ingesloten URL te klikken. Verpakt met Symantec’s Click-time URL Protection, stuurde deze kwaadaardige URL ontvangers om naar een gecompromitteerd SharePoint-account dat een tweede kwaadaardige URL leverde die was ingesloten in een OneNote-document. Die URL leidde gebruikers op zijn beurt om naar een phishing-pagina die zich voordoet als een Microsoft Office 365-inlogportaal.
Pretexting
Pretexting is een andere vorm van social engineering waarbij aanvallers zich richten op het creëren van een goed voorwendsel , of een verzonnen scenario, dat ze gebruiken om te proberen de persoonlijke informatie van hun slachtoffers te stelen. Bij dit soort aanvallen zegt de oplichter meestal dat ze bepaalde stukjes informatie van hun doelwit nodig hebben om hun identiteit te bevestigen. In werkelijkheid stelen ze die gegevens en gebruiken deze om identiteitsdiefstal te plegen of secundaire aanvallen uit te voeren.
Meer geavanceerde aanvallen proberen soms hun doelwitten te misleiden om iets te doen dat misbruik maakt van de digitale en / of fysieke zwakheden van een organisatie. Een aanvaller kan zich bijvoorbeeld voordoen als een externe IT-serviceauditor, zodat deze het fysieke beveiligingsteam van een doelbedrijf kan overhalen om hen het gebouw binnen te laten.
Terwijl phishing-aanvallen voornamelijk angst en urgentie in hun voordeel gebruiken, worden voorwendsels gebruikt. aanvallen berusten op het opbouwen van een vals gevoel van vertrouwen bij het slachtoffer. Dit vereist dat de aanvaller een geloofwaardig verhaal opbouwt dat weinig ruimte laat voor twijfel bij het doelwit.
Pretexting kan en zal verschillende vormen aannemen. Toch besluiten veel bedreigingsactoren die dit type aanval omarmen, zich voor te doen als HR-personeel of werknemers in de financiële ontwikkeling. Met deze vermommingen kunnen ze zich richten op leidinggevenden op C-niveau, zoals Verizon ontdekte in zijn Data Breach Investigations Report (DBIR) uit 2019.
Baiting
Baiting lijkt in veel opzichten op phishingaanvallen. Wat hen echter onderscheidt van andere soorten social engineering, is de belofte van een item of goed dat kwaadwillende actoren gebruiken om slachtoffers te verleiden. Baiters kunnen bijvoorbeeld het aanbod van gratis muziek- of filmdownloads gebruiken om gebruikers te misleiden om hun inloggegevens in te leveren.
Baiting-aanvallen zijn ook niet beperkt tot online schema’s. Aanvallers kunnen zich ook richten op het uitbuiten van menselijke nieuwsgierigheid door het gebruik van fysieke media.
In juli 2018 rapporteerde KrebsOnSecurity bijvoorbeeld over een aanvalscampagne gericht op staats- en lokale overheidsinstanties in de Verenigde Staten. De operatie stuurde Chinese poststempel enveloppen met daarin een verwarrende brief samen met een compact disc (cd). Het punt was om de nieuwsgierigheid van de ontvangers te prikkelen, zodat ze de cd zouden laden en daardoor onbedoeld hun computers zouden infecteren met malware.
Quid Pro Quo
Net als bij baiting, beloven quid pro quo-aanvallen een uitkering in ruil voor informatie. Dit voordeel neemt meestal de vorm aan van een dienst, terwijl lokken meestal de vorm aanneemt van een goed.
Een van de meest voorkomende soorten tegenprestatie-aanvallen die de afgelopen jaren naar voren zijn gekomen, is wanneer fraudeurs zich voordoen als de Amerikaanse socialezekerheidsadministratie (SSA). Deze nep-SSA-medewerkers nemen contact op met willekeurige individuen, informeren hen dat er een computerprobleem aan hun kant is en vragen die individuen hun burgerservicenummer te bevestigen, allemaal met het doel identiteitsdiefstal te plegen. In andere gevallen die door de Federal Trade Commission (FTC) werden ontdekt, zetten kwaadwillende actoren valse SSA-websites op die zeggen dat ze gebruikers kunnen helpen bij het aanvragen van nieuwe socialezekerheidskaarten, maar in plaats daarvan gewoon hun persoonlijke gegevens stelen.
Het is belangrijk om echter op te merken dat aanvallers tegenprestaties kunnen gebruiken die veel minder geavanceerd zijn dan listige SSA-thema’s. Zoals eerdere aanvallen hebben aangetoond, zijn kantoormedewerkers meer dan bereid om hun wachtwoorden weg te geven voor een goedkope pen of zelfs een reep chocola.
Bumperkleven
Ons laatste type social engineering-aanval de dag staat bekend als bumperkleven of ‘meeliften’. Bij dit soort aanvallen volgt iemand zonder de juiste authenticatie een geauthenticeerde medewerker naar een beperkt gebied. De aanvaller kan zich voordoen als een bezorger en buiten een gebouw wachten om dingen op gang te brengen. Wanneer een medewerker de goedkeuring van de beveiliging krijgt en de deur opent, kan de aanvaller vraagt de medewerker om de deur vast te houden en zo toegang te krijgen tot het gebouw.
Tailgating werkt niet in alle bedrijfsomgevingen, zoals grote bedrijven waarvan de toegang het gebruik van een keycard vereist. In middelgrote ondernemingen kunnen aanvallers gesprekken met werknemers aangaan en deze blijk van bekendheid gebruiken om langs de receptie te komen.
Colin Greenless, een beveiligingsadviseur bij Siemens Enterprise Communications, gebruikte deze tactieken zelfs om toegang te krijgen tot meerdere verdiepingen en de dataroom van een FTSE-beursgenoteerd financieel bedrijf. Hij kon zelfs een winkel opzetten in een vergaderruimte op de derde verdieping en daar een aantal dagen werken.
Aanbevelingen voor social engineering
M. kwaadwillende actoren die zich bezighouden met social engineering-aanvallen jagen op menselijke psychologie en nieuwsgierigheid om de informatie van hun doelwitten in gevaar te brengen. Met deze mensgerichte focus in gedachten, is het aan organisaties om hun werknemers te helpen dit soort aanvallen tegen te gaan.
Hier zijn een paar tips die organisaties kunnen opnemen in hun trainingsprogramma’s voor beveiligingsbewustzijn die gebruikers zullen helpen om social engineering-schema’s te vermijden:
- Open geen e-mails van niet-vertrouwde bronnen. Neem persoonlijk of telefonisch contact op met een vriend of familielid als u een verdacht e-mailbericht van hen ontvangt.
- Geef geen aanbiedingen van vreemden het voordeel van de twijfel. Als ze te mooi lijken om waar te zijn, zijn ze dat waarschijnlijk ook.
- Vergrendel uw laptop als u niet achter uw werkstation bent.
- Koop antivirussoftware. Geen enkele AV-oplossing kan zich verdedigen tegen elke dreiging die de informatie van gebruikers in gevaar wil brengen, maar ze kunnen wel helpen beschermen tegen sommigen.
- Lees het privacybeleid van uw bedrijf om te begrijpen onder welke omstandigheden u een vreemde in de gebouw.