Vi vet alla om vilken typ av angripare som använder sin tekniska expertis för att infiltrera skyddade datorsystem och kompromissa med känsliga data. Den här typen av skadlig skådespelare gör nyheter hela tiden och uppmanar oss att motverka deras bedrifter genom att investera i ny teknik som kommer att stärka vårt nätverksförsvar.
Det finns dock en annan typ av angripare som använder olika taktik för att skjorta våra verktyg och lösningar. De kallas ”sociala ingenjörer” eftersom de utnyttjar den enda svagheten som finns i alla organisationer: mänsklig psykologi. Med hjälp av telefonsamtal och andra media lurar dessa angripare människor att lämna åtkomst till organisationens känsliga information.
Socialteknik är en term som omfattar ett brett spektrum av skadlig aktivitet. I den här artikeln ska vi fokusera på de fem vanligaste attacktyperna som socialtekniker använder för att rikta sina offer. Dessa är phishing, pretexting, bete, quid pro quo och tailgating.
Nätfiske
Nätfiske är den vanligaste typen av socialteknisk attack som inträffar idag. Men vad är det exakt? På hög nivå försöker de flesta nätfiskebedrägerier tre saker:
- Få personlig information som namn, adresser och personnummer.
- Använd förkortade eller vilseledande länkar som omdirigerar användare till misstänkta webbplatser som är värd för nätfiskelandningssidor.
- Inkorporera t hot, rädsla och en känsla av brådska i ett försök att manipulera användaren att svara snabbt.
Inga två phishing-e-postmeddelanden är desamma. Det finns faktiskt minst sex olika underkategorier av nätfiskeattacker. Dessutom vet vi alla att vissa är dåligt utformade i den utsträckning att deras meddelanden lider av stavnings- och grammatikfel. Ändå har dessa e-postmeddelanden vanligtvis samma mål att använda falska webbplatser eller formulär för att stjäla inloggningsuppgifter för användare och annan personlig information.
En ny phishing-kampanj använde ett komprometterat e-postkonto för att skicka ut attack-e-postmeddelanden. Dessa meddelanden bad mottagarna att granska ett föreslaget dokument genom att klicka på en inbäddad URL. Inslaget med Symantecs URL-skydd för klicktid omdirigerade denna skadliga URL mottagare till ett komprometterat SharePoint-konto som levererade en andra skadlig URL inbäddad i ett OneNote-dokument. Denna URL omdirigerade i sin tur användare till en phishing-sida som imiterar en Microsoft Office 365-inloggningsportal.
Pretexting
Pretexting är en annan form av socialteknik där angripare fokuserar på att skapa en bra förevändning , eller ett tillverkat scenario, som de använder för att försöka stjäla sina offres personliga information. I dessa typer av attacker säger bedragaren vanligtvis att de behöver vissa informationsbitar från sitt mål för att bekräfta sin identitet. I själva verket stjäl de den informationen och använder den för att begå identitetsstöld eller för att inleda sekundära attacker.
Mer avancerade attacker försöker ibland lura sina mål att göra något som missbrukar en organisations digitala och / eller fysiska svagheter. En angripare kan till exempel utge sig för en extern IT-revisor så att de kan prata ett målföretags fysiska säkerhetsteam om att släppa in dem i byggnaden.
Phishing-attacker använder främst rädsla och brådskande till deras fördel, förevändning attacker förlitar sig på att bygga en falsk känsla av förtroende för offret. Detta kräver att angriparen bygger en trovärdig berättelse som ger lite utrymme för tvivel hos deras mål.
Förtextning kan och tar olika former. Ändå bestämmer många hotaktörer som anammar den här typen av attack att maskerera som HR-personal eller anställda i finansutvecklingen. Dessa förklädnader gör det möjligt för dem att rikta in sig på chefer på C-nivå, som Verizon fann i sin Data Breach Investigations Report (DBIR) för 2019.
Bete
Biting liknar på många sätt phishing-attacker. Vad som emellertid skiljer dem från andra typer av socialteknik är löftet om ett föremål eller gods som skadliga aktörer använder för att locka offer. Baiters kan utnyttja utbudet av gratis nedladdning av musik eller film, till exempel för att lura användare att lämna sina inloggningsuppgifter.
Biteattacker är inte heller begränsade till online-system. Angripare kan också fokusera på att utnyttja mänsklig nyfikenhet genom användning av fysiska medier.
Tillbaka i juli 2018 rapporterade KrebsOnSecurity till exempel om en attackkampanj riktad till statliga och lokala myndigheter i USA. Operationen skickade ut kinesiska postmärkta kuvert som innehöll ett förvirrande brev tillsammans med en CD-skiva. Poängen var att väcka mottagarnas nyfikenhet så att de skulle ladda CD: n och därmed oavsiktligt infektera sina datorer med skadlig kod.
Quid Pro Quo
Liknar bete, lovar quid pro quo-attacker en fördel i utbyte mot information. Den här förmånen antar vanligtvis en tjänst, medan beten brukar ha formen av en vara.
En av de vanligaste typerna av quid pro quo-attacker som har kommit ut de senaste åren är när bedragare imiterar US Social Security Administration (SSA). Dessa falska SSA-personer kontaktar slumpmässiga individer, informerar dem om att det har uppstått ett datorproblem i deras slut och ber att dessa individer bekräftar sitt personnummer, allt i syfte att begå identitetsstöld. I andra fall som upptäcks av Federal Trade Commission (FTC), skapar skadliga aktörer falska SSA-webbplatser som säger att de kan hjälpa användare att ansöka om nya socialförsäkringskort men istället helt enkelt stjäla deras personliga information.
Det är viktigt att notera dock att angripare kan använda quid pro quo-erbjudanden som är mycket mindre sofistikerade än SSA-teman. Som tidigare attacker har visat är kontorsarbetare mer än villiga att ge bort sina lösenord för en billig penna eller till och med en chokladkaka.
Tailgating
Vår sista typ av socialteknisk attack typ av dagen är känd som tailgating eller ”piggybacking.” I dessa typer av attacker följer någon utan rätt autentisering en autentiserad anställd in i ett begränsat område. Angriparen kan utgöra en leveransförare och vänta utanför en byggnad för att komma igång. När en anställd får säkerhetens godkännande och öppnar dörren, angriper ber arbetstagaren att hålla dörren och därmed få tillgång till byggnaden.
Tailgating fungerar inte i alla företagsinställningar, t.ex. stora företag vars ingångar kräver användning av ett nyckelkort. Men i medelstora företag kan angripare inleda samtal med anställda och använda denna bekantskap för att komma förbi receptionen.
Faktum är att Colin Greenless, en säkerhetskonsult på Siemens Enterprise Communications, använde dessa taktiker för att få tillgång till flera golv och datarummet hos ett FTSE-noterat finansföretag. Han kunde till och med starta butik i ett mötesrum på tredje våningen och arbeta där i flera dagar.
Socialteknikrekommendationer
M onda aktörer som bedriver socialteknikattacker rovar bort mänsklig psykologi och nyfikenhet för att äventyra deras målsinformation. Med detta mänskliga fokus i åtanke är det upp till organisationer att hjälpa sina anställda att motverka dessa typer av attacker.
Här är några tips som organisationer kan införliva i sina utbildningsprogram för säkerhetsmedvetenhet som hjälper användare för att undvika socialtekniska system:
- Öppna inga e-postmeddelanden från otillförlitliga källor. Kontakta en vän eller familjemedlem personligen eller per telefon om du får ett misstänkt e-postmeddelande från dem.
- Ge inte erbjudanden från främlingar till tvivel. Om de verkar för bra för att vara sanna, är de förmodligen det.
- Lås din bärbara dator när du är borta från din arbetsstation.
- Köp antivirusprogram. Ingen AV-lösning kan försvara sig mot alla hot som försöker äventyra användarnas information, men de kan hjälpa till att skydda mot vissa.
- Läs ditt företags sekretesspolicy för att förstå under vilka omständigheter du kan eller bör låta en främling komma in i byggnad.