Social engineering beskriver den måde, hvorpå ofre manipuleres til at dele information, downloade malware og sende penge til kriminelle. I modsætning til ondsindede softwarepakker kan den menneskelige hjerne ikke lappes - på et basisniveau er alle lige sårbare over for social engineering. Og selvom offentlighedens opfattelse af social engineering ikke har udviklet sig meget siden dagene med den nigerianske prins-svindel, har angribere været i stand til at drage fordel af skyhøje niveauer af databrud for at stressteste nogle af de mest uhyggelige og manipulerende teknikker endnu.
Hvordan fungerer social engineering?
Social engineering kan antage en række forskellige former, afhængigt af angribernes tilgang. For angreb på organisationer er det at udgive sig for at være et betroet brand eller partner en af de mest lukrative. I 2019 pålagde cyberkriminelle AI-baseret software for at efterligne en administrerende direktørs stemme.
Den administrerende direktør for et britisk-baseret energiselskab modtog et telefonopkald fra sin chef - eller det troede han - og bad ham om hurtigst muligt at overføre et beløb på € 220,000 ($ 243,000) over til en ungarsk leverandør. Selvom dette repræsenterer et sjældent tilfælde af angribere, der udnytter AI, er de fleste sociale ingeniører stadig opmærksomme på styrken ved at udgive sig for at være en betroet organisation. På samme måde er angreb, der har til formål at efterligne regerings- og myndighedspersoner. Den tillid, der er givet til statslige institutioner, giver angribere en frugtbar mulighed for at misbruge: at udgive sig for at være IRS kan også give social engineering-angreb en tidsbegrænset eller straffefordel, der skubber ofrene til at handle uden behørig eftertanke.
Sociale ingeniørmetoder forgriber sig i vid udstrækning på to grupper af følelser. Den første indebærer frygt og uopsættelighed. Årtiers evolution har set cyberkriminelle finpudse deres frygtfremkaldende teknikker. En uventet e-mail om, at en nylig kreditkorttransaktion ikke blev godkendt, placerer for eksempel hjernen under større mængder af stress, da offeret antager, at deres kort blev brugt svigagtigt. Denne panik får dem til at klikke på det tilknyttede link, indtaste deres legitimationsoplysninger på den overbevisende banklogin-side, kun for at blive omdirigeret til en legitim side. Ikke desto klogere har offeret netop overdraget deres bankoplysninger til svindlere. Selvom det er rentabelt for angribere, er økonomi ikke den eneste måde at fremkalde panik på: ejere af små websteder og virksomheder kan modtage en besked, der fejlagtigt hævder, at et billede på deres websted overtræder loven om ophavsret, hvilket betyder, at de udleverer personlige oplysninger - eller endda penge i form af af en bøde. Nogle haste-baserede angreb bruger endda facaden af tidsbegrænsede aftaler for at presse ofrene til at klikke ASAP.
Den anden form for social engineering angreb appellerer til grådighed; det nigerianske prins-angreb er det traditionelle eksempel på dette. Her modtager offeret en mail fra en person, der hævder at være et flygtende medlem af en nigeriansk kongefamilie. Afsenderen har brug for en persons bankkonto til at sende på tværs af sine millioner, men kræver først sit offers bankoplysninger. Offeret, der er ivrig efter at drage fordel af de millioner, der skal deponeres, kan blive overtalt til at sende et relativt lille forskudsgebyr eller deres detaljer. I cyberkriminalitetsindustrien er dette angreb gammelt – men i 2018 tjente det stadig hundredtusindvis af dollars.
Typer af sociale ingeniørangreb
Social engineering dækker over en bred vifte af angrebsmønstre, som hver har deres egen tilgang til at manipulere ofre.
Phishing-angreb
Phishing omfatter en af de mest berygtede typer af social engineering-angreb. Disse angreb ser et offer modtage beskeder, der har til formål at manipulere dem til at dele følsomme oplysninger eller downloade ondsindede filer. Svindlere erkender, at indbakken er det mest sårbare område i enhver organisation, og beskeder er udformet med stigende legitimitet, der efterligner kendte organisationer, venner af modtageren eller troværdige kunder.
Der er fem hovedformer for phishing-angreb; den farligste er spear phishing-teknikken. Denne taktik retter sig mod en bestemt person – normalt én, der har givet privilegeret adgang til følsom information og netværk. Angriberen vil foretage en længere undersøgelse af den målrettede person, ofte ved at bruge sociale medier til at spore deres adfærd og bevægelser. Målet er at skabe et budskab, der troværdigt er sendt af en, som målet kender og stoler på – eller som refererer til situationer, som målet er bekendt med. Hvalfangst refererer til, at denne proces bliver udnyttet over for højt profilerede individer såsom administrerende direktører. Spear phishing kan styrkes til næsten ufejlbarlighed med Business Email Compromise (BEC) – hvilket gør det muligt at sende ondsindede e-mails fra autoritetspersonens ægte e-mail-konto.
De næste to typer phishing refererer til det medium, hvorigennem offeret blev kontaktet. Mens phishing generelt leder tankerne hen på e-mails, angribere er mere end villige til at bruge enhver form for potentiel kontakt med ofre. Dette kan omfatte vishing – såsom den førnævnte CEO-stemmedupe – og inddragelsen af en (tilsyneladende) person i den anden ende af linjen kan yderligere indgyde en følelse af, at det haster hos ofrene.
IBM har frigivet data der viste vishings inklusion i en kampagne øgede dens chance for succes med op til 300 %. Smishing ser på den anden side, at angribere bruger tekstbeskeder for at nå det samme mål. Måden, hvorpå disse forskellige beskeder og e-mails når deres ofre, er lige så mangefacetteret som angriberne selv: den mest grundlæggende form er bulk-phishing. Meget lignende e-mails - normalt uden for en skabelon - sendes til millioner af modtagere på én gang. Masseangribere ved, at phishing kun er et talspil - send dem til nok mennesker, og til sidst vil nogen blive ofre. Disse e-mails er så generiske som muligt og ser ud til at stamme fra globale banker og store onlinevirksomheder. Fælles emner er falske e-mails til nulstilling af adgangskode og anmodninger om opdateringer af kreditpleje. Søgemaskinephishing forsøger på den anden side at generere 'organiske' ofre; angribere bygger ondsindede websteder, der derefter rangerer højt nok i Googles søgeresultater, til at ofrene antager, at de er legitime. På sociale medieplatforme plukker lystfiskere ofre ved at udgive sig for at være de officielle regnskaber for betroede virksomheder. Når en kunde kontakter dem, vil disse falske konti drage fordel af deres forespørgsler og bekymringer for at indsamle deres personlige oplysninger og kreditkortoplysninger.
Lokkeangreb
Mens phishing ofte er afhængig af højtryks-hastetaktikker, lokker lokkeangreb ofre til at handle imod deres bedste interesser. I 2020, FBI udstedt en advarsel til USA-baserede organisationer; det blev opdaget, at den berygtede cyberkriminalitetsgruppe FIN7 havde brugt ondsindede USB-drev til at levere ransomware til flere organisationer. Disse USB'er var blevet sendt som PR- og offentlig sikkerhedsmeddelelsespakker; en beslaglagt pakke var blevet fundet, der efterlignede det amerikanske sundhedsministerium, med henvisning til Covid-19-retningslinjer, og en anden forsøgte at efterligne en Amazon-gavepakke, fyldt med falske gavekort og den ondsindede USB.
tailgating angreb
Tailgating, eller piggybacking, stammer fra ideer omkring fysisk perimetersikkerhed. Her følger en angriber tæt en legitim og autoriseret person ind i det område, der indeholder værdifulde aktiver. Digital tailgating er en af de enkleste former for cyberangreb, der er stærkt afhængig af medarbejdernes skødesløshed. Dette kan ligne en medarbejder, der efterlader sin enhed uden opsyn, mens han nipper til badeværelset i deres lokale bibliotek – det er med rette, hvordan FBI tog Ross Ulbricht ned, ejeren af det stofsælgende websted Silk Road, i 2013.
Påskud af angreb
Påskudsangreb involverer, at angriberen skaber en troværdig, men falsk situation for offeret. Når de først har købt ind i løgnen, bliver ofrene meget mere manipulerbare. For eksempel centrerer mange påskudsangreb sig omkring, at offeret bliver ramt af et sikkerhedsbrud – tilbyder derefter at løse problemet, enten ved at deres 'IT-support' tager fjernstyringen over ofrets enhed, eller ved at ponyer følsomme kontooplysninger. Teknisk set vil næsten ethvert forsøg på social engineering involvere en vis påskud, takket være dets evne til at gøre et offer mere formbart.
Quid pro quo-angreb
Quid pro quo-angreb bruger lokkemetoden – at dingle en ønskværdig vare eller tjenesteydelse – foran offerets ansigt – men kun når offeret giver personlige oplysninger væk til gengæld. Uanset om det er falske konkurrencegevinster eller en 'hvilken Disney-prinsesse er du'-quiz, kan de oplysninger, der uddeles af disse angreb, bidrage til mere alvorlige angreb længere nede.
Scareware-angreb
Scareware beskriver enhver form for malware, der har til formål at skræmme sine ofre til at dele information eller downloade yderligere malware. Mens falske tekniske supportmeddelelser er det traditionelle eksempel, udnytter nyere angreb fuldt ud følelser af frygt og skam. For nylig blev e-mailadresser stjålet fra en rekrutteringshjemmeside, og falske jobtilbud blev sendt til hver; at klikke på det vedhæftede dokument vil starte download af en trojansk virus. Angrebet var specifikt rettet mod virksomhedens e-mail-adresser, velvidende at medarbejdere, der blev ofre, ville tøve med at fortælle deres arbejdsgivere, at de var blevet smittet, mens de søgte alternativ beskæftigelse.
Vandhulsangreb
Endelig ser vandhulsangreb angribere angribe populære legitime websider. Ved at injicere ondsindet kode på websteder, der ofte frekventeres af mål, er angribere i stand til indirekte at fange ofre med drive-by-downloads og tyveri af legitimationsoplysninger.
Sådan identificeres angreb fra socialt ingeniørarbejde
Social engineering-angreb er så succesfulde takket være deres evne til at gå ubemærket hen som sådan. Derfor er genkendelse af et angreb – helst før det er fanget dig – en vigtig del af angrebsforebyggelse. Her er de 6 vigtigste identifikatorer for et forsøg på social engineering angreb:
Mistænkelig afsender
En af de nemmeste måder at efterligne en legitim virksomhed er e-mail-spoofing. Her vil angriberens adresse være næsten identisk med den ægte organisations – men ikke helt. Nogle tegn kan være ændret lidt eller helt udeladt; dette kan blive utrolig lusket, såsom at skifte et stort 'I' til et lille 'l'.
Generiske hilsner og afmeldinger
Bulk phishing-e-mails vil næsten altid bruge en generisk hilsen såsom sir eller fru. Ægte marketingmateriale begynder dog normalt med et navn, da betroede organisationer normalt vil bruge kontaktoplysningerne i deres database. Denne form for kontakt fra betroede organisationer vil også strække sig til slutningen af e-mailen, da afsenderens signatur ofte vil indeholde kontaktoplysninger. Kombinationen af generisk hilsen og mangel på kontaktoplysninger er en stærk indikator for phishing.
Forfalskede hyperlinks og websteder
En af de nemmeste måder at kompromittere en enhed på er via en hjemmeside fyldt med ondsindet kode. Takket være moderne enheders formatering af hyperlinks kan enhver tekst linkes til enhver URL. Selvom det er muligt at tjekke dette på en pc ved at holde musemarkøren over linket og vurdere dets gyldighed, er mobil- og tabletbrugere mere udsat for uforvarende at klikke videre. At gøre udslettet af falske hyperlinks værre er evnen for angribere til nøje at efterligne legitime websteder, hvilket tilføjer lag af troværdighed til et angreb. En forfalsket URL vil følge det samme mønster som en forfalsket e-mailadresse: en variation i stavemåden eller domænet, såsom at ændre .gov til .net, er nogle af de mest succesrige teknikker.
Sekundære destinationer
Det er meget almindeligt, at markedsføringsmateriale og andre meddelelser indeholder vedhæftede dokumenter. Angribere gør brug af dette ved at dirigere offeret til et ægte dokument – eller hosting-websted – som igen dirigerer offeret til en ondsindet side. Denne teknik pålægges almindeligvis teams af medarbejdere, der regelmæssigt samarbejder om arbejdet. Hvis et legitimt dokument indeholder et link til en ondsindet fil, er det ikke kun mere troværdigt for dets ofre, men det sideskrider også grundlæggende indbakkesikkerhedsmekanismer.
Stavemåde og layout
Den mest åbenlyse indikation på phishing-angreb: dårlig grammatik og stavning. Velrenommerede organisationer dedikerer næsten altid tid til at verificere og korrekturlæse kundekorrespondance. Samtidig fungerer den dårlige grammatik, der er forbundet med den sociale ingeniørkunst med menneskelige hackingangreb, som en iboende filtreringsmekanisme. Angribere ønsker ikke at spilde deres tid på at beskæftige sig med mistænkelige mennesker: De, der falder for den dårlige grammatik og stavning, er sårbare nok til at være et let bytte.
Mistænkelige vedhæftede filer
Uopfordrede e-mails, der anmoder brugeren om at downloade og åbne vedhæftede filer, bør få alarmklokkerne til at ringe. Når det kombineres med en tone af hastende karakter, er det vigtigt at omdirigere denne panik til en følelse af forsigtighed. I tilfælde af kompromittering af virksomheds-e-mail er det muligt, selv for utroligt korte beskeder at udløse en udbredt pandemonium: at modtage en e-mail fra en højtstående leder, der erklærer "Jeg skal have dette dokument udskrevet, på mit skrivebord om 10 minutter" kan narre en praktikant til at overse grammatisk fejl af frygt.
Sådan forhindrer du socialt ingeniørangreb
Selvom det er almindeligt at se phishing-angreb som et rent individuelt problem, er der stigende efterspørgsel efter at se social engineering-forebyggelse som en kollektiv indsats. Når alt kommer til alt, bevæbner angribere simpelthen brugernes naturlige reaktioner på frygt og panik. Beskyttelse af en organisation – og dens brugere – kommer ned til tre nøgleområder.
#1. Sikkerhedsbevidsthedstræning
Først og fremmest: At give medarbejderne redskaber til at forsvare sig selv. Sikkerhedsbevidsthedstræning bør være relevant for deres brugere, samtidig med at der lægges vægt på nogle få ensidige regler. Medarbejdere skal forstå ikke at klikke på links i nogen e-mails og beskeder. I stedet skal de opbygge en vane med blot at søge efter en legitim version. Moderne internethastigheder gør dette til en nem løsning.
Adgangskodehygiejne er på dette tidspunkt en påmindelse om, at hver medarbejder har hørt tusind gange. I betragtning af de snesevis af onlinekonti, hver person nu har, er unikke og komplekse adgangskoder kun virkelig gennemførlige ved brug af en adgangskodemanager. At støtte medarbejdere på denne måde kan i høj grad begrænse eksplosionsradiusen for vellykkede angreb.
Endelig skal medarbejderne forstå, at alle er sårbare. Lækken af personlige oplysninger via sociale medier er det, der driver den enormt succesfulde hval-phishing-industri. Selvom det er godt at huske på, at skoler, kæledyr og fødesteder bør holdes ude af offentlighedens øjne, kan nogle medarbejdere finde det lettere at opsætte sikkerhedsspørgsmål, der er mindeværdige, men teknisk usande. For eksempel at sætte sikkerhedsspørgsmålet 'hvor gik du i skole?' med 'Hogwarts' kunne kaste enhver nysgerrig angriber helt af sig.
#2. Adgangskontrolpolitikker
Kontrol af adgangen til hvert endepunkt er en vital del af social ingeniørforebyggelse. Fra bruger til autentificeringsprocesser skal der være stram kontrol over, hvem der får adgang til hvad. Slutbrugere skal låse computere og enheder, når de træder væk - dette bør forstærkes og automatiseres via korte sleep-timere. Når enheder er i brug i offentlige rum, skal de til enhver tid opbevares i medarbejdernes besiddelse. Al autentificering skal forstærkes med MFA. Dette kan fuldstændig ophæve truslen om BEC og tyveri af loginoplysninger.
I sidste ende kan blot bekræftelse af identitet med et fingeraftryk eller telefon gøre forskellen mellem en forfalsket e-mail, der er fanget – og et BEC-angreb, der forårsager millioner i skader.
#3. Sikkerhedsteknologier
Medarbejdere skal understøttes grundigt med en omfattende pakke af sikkerhedsteknologier. For eksempel, hvis et e-mail-programs spamfiltrering stadig tillader mistænkelige e-mails i indbakker, kan tredjepartsfiltre hjælpe med at overvåge og forhindre social engineering-angreb med en URL-sortlistetilgang. Mens indbakke-baseret forebyggelse er vigtig, hvad der måske mere er implementeringen af browsersikkerhed af høj kvalitet. Dette vil ideelt set bekæmpe rootkits, trojanske heste og spoofs, der stjæler legitimationsoplysninger, og tilbyder langt dyberegående beskyttelse end delvis URL-genkendelse.
LayerX-løsningen
LayerX's brugerførste browserudvidelse tilbyder en enkelt, omfattende tilgang til bekæmpelse af social engineering-angreb. Browsersessioner overvåges på applikationslaget, hvilket giver fuld synlighed i alle browsing-begivenheder. Hver webside kan gå et skridt ud over 'bloker eller afvis'-processen, med dybdegående analyse, der muliggør trusselsneutralisering i realtid. På denne måde kan granulær håndhævelse forhindre selv meget avancerede BEC-angreb i at levere nyttelast. I stedet for at stole på en step-behind-tilgang via DNS-blokeringslister, kombinerer LayerX's fremtidssikrede tilgang banebrydende trusselsintelligens med dyb håndhævelse ved hvert endepunkt.