Hva er samfunnsingeniør?

DLP

Innholdsfortegnelse

Hvordan fungerer sosialteknikk?
Typer sosiale ingeniørangrep
Hvordan identifisere sosiale ingeniørangrep
Hvordan forhindre sosiale ingeniørangrep
LayerX-løsningen

Social engineering beskriver måten ofre blir manipulert til å dele informasjon, laste ned skadelig programvare og sende penger til kriminelle. I motsetning til ondsinnede programvarepakker, kan den menneskelige hjernen ikke lappes – på et basisnivå er alle like sårbare for sosial ingeniørkunst. Og selv om offentlig oppfatning av sosial ingeniørkunst ikke har utviklet seg mye siden dagene med den nigerianske prins-svindel, har angripere vært i stand til å dra nytte av skyhøye nivåer av datainnbrudd for å stressteste noen av de mest grusomme og manipulerende teknikkene til nå.

Sosialteknikk forklart

Hvordan fungerer sosialteknikk?

Sosial ingeniørarbeid kan ha en rekke forskjellige former, avhengig av angripernes tilnærming. For angrep mot organisasjoner er det å utgi seg som en pålitelig merkevare eller partner noe av det mest lukrative. I 2019 påla nettkriminelle AI-basert programvare for å etterligne stemmen til en administrerende direktør.

Administrerende direktør for et britisk-basert energiselskap mottok en telefon fra sjefen sin – eller det trodde han – som ba ham om å raskt overføre en sum på € 220,000 ($ 243,000) over til en ungarsk leverandør. Selv om dette representerer et sjeldent tilfelle av angripere som utnytter AI, er de fleste sosiale ingeniører fortsatt klar over kraften i å posere som en pålitelig organisasjon. På samme måte er angrep som tar sikte på å etterligne myndighets- og autoritetspersoner. Tilliten som gis til statlige institusjoner gir en fruktbar mulighet for angripere til å misbruke: Å utgi seg for å være skattemyndighetene kan også gi sosiale ingeniørangrep en tidsbegrenset eller straffefordel, og presse ofrene til å handle uten behørig ettertanke.

Sosiale ingeniørmetoder forgriper i stor grad to grupper av følelser. Den første innebærer frykt og haster. Tiår med evolusjon har sett nettkriminelle finpusse sine fryktfremkallende teknikker. En uventet e-post som sier at en nylig kredittkorttransaksjon ikke ble godkjent, setter for eksempel hjernen under høyere mengder stress ettersom offeret antar at kortet deres ble brukt uredelig. Denne panikken ser at de klikker på den tilknyttede lenken, legger inn legitimasjonen sin på den overbevisende bankpåloggingssiden, bare for å bli omdirigert til en legitim side. Ikke desto klokere, offeret har nettopp overlevert bankopplysningene sine til svindlere. Selv om det er lønnsomt for angripere, er ikke økonomi den eneste måten å indusere panikk på: små nettsteder og bedriftseiere kan motta en melding som feilaktig hevder at et bilde på nettstedet deres bryter opphavsrettsloven, som fører til at de utleverer personlig informasjon – eller til og med penger i formen. av en bot. Noen hastebaserte angrep bruker til og med fasaden til tidsbegrensede avtaler, for å presse ofrene til å klikke ASAP.

Den andre formen for sosialt ingeniørangrep appellerer til grådighet; det nigerianske Prince-angrepet er det tradisjonelle eksemplet på dette. Her mottar offeret en e-post fra en person som hevder å være et flyktende medlem av en nigeriansk kongefamilie. Avsenderen trenger noens bankkonto for å sende over millionene hans, men krever først offerets bankinformasjon. Offeret, som er opptatt av å dra nytte av millionene som skal settes inn, kan bli overtalt til å sende et relativt lite forhåndsgebyr eller deres detaljer. I cyberkriminalitetsindustrien er dette angrepet eldgammelt – men i 2018 tjente det fortsatt hundretusenvis av dollar.

Typer sosiale ingeniørangrep

Sosial teknikk dekker et bredt spekter av angrepsmønstre, som hver har sin egen tilnærming til å manipulere ofre.

Phishing-angrep

Phishing omfatter en av de mest beryktede typene sosiale ingeniørangrep. Disse angrepene ser at et offer mottar meldinger som tar sikte på å manipulere dem til å dele sensitiv informasjon eller laste ned skadelige filer. Svindlere erkjenner at innboksen er det mest sårbare området i hver organisasjon, og meldinger er laget med økende legitimitet, etterligner kjente organisasjoner, venner av mottakeren eller troverdige kunder.

Det er fem hovedformer for phishing-angrep; den farligste av disse er spyd-phishing-teknikken. Denne taktikken retter seg mot en bestemt person – vanligvis en som har gitt privilegert tilgang til sensitiv informasjon og nettverk. Angriperen vil gjennomføre en langvarig etterforskning av den målrettede personen, ofte ved hjelp av sosiale medier for å spore deres atferd og bevegelser. Målet er å lage en melding som trolig ble sendt av noen målet kjenner og stoler på – eller som refererer til situasjoner som målet er kjent med. Hvalfangst refererer til at denne prosessen blir utnyttet mot høyprofilerte individer som administrerende direktører. Spear phishing kan styrkes til nesten ufeilbarlighet med Business Email Compromise (BEC) – slik at ondsinnede e-poster kan sendes fra autoritetsfigurens ekte e-postkonto.

De neste to typene phishing refererer til mediet som offeret ble kontaktet gjennom. Mens phishing vanligvis bringer tankene til e-poster, angripere er mer enn villige til å bruke enhver form for potensiell kontakt med ofre. Dette kan inkludere vishing – slik som den nevnte CEO-stemmedupen – og inkludering av en (tilsynelatende) person i den andre enden av linjen kan ytterligere gi ofrene en følelse av at det haster.

IBM har gitt ut data som viste at vishings inkludering i en kampanje økte sjansen for suksess med opptil 300 %. Smishing, derimot, ser at angripere bruker tekstmeldinger for å oppnå det samme målet. Måten disse ulike meldingene og e-postene når ofrene på er like mangefasettert som angriperne selv: den mest grunnleggende formen er bulk-phishing. Svært lignende e-poster – vanligvis utenfor en mal – sendes til millioner av mottakere samtidig. Masseangripere vet at phishing bare er et tallspill – send dem til nok folk, og til slutt vil noen bli ofre. Disse e-postene er så generiske som mulig, og ser ut til å stamme fra globale banker og store nettselskaper. Vanlige emner er falske e-poster om tilbakestilling av passord og forespørsler om oppdateringer om kredittbehandling. Søkemotornettfisking forsøker på den annen side å generere "organiske" ofre; angripere bygger ondsinnede nettsteder som deretter rangeres høyt nok i Googles søkeresultater til at ofrene antar at de er legitime. På sosiale medieplattformer plukker fiskefiskere ut ofre ved å forkle seg som de offisielle kontoene til pålitelige selskaper. Når en kunde kontakter dem, vil disse falske kontoene dra nytte av deres spørsmål og bekymringer for å samle inn personlig informasjon og kredittkortinformasjon.

Åteangrep

Mens phishing ofte er avhengig av presserende hastetaktikker, lokker lokkeangrep ofre til å handle mot deres beste. I 2020, FBI utstedt en advarsel til USA-baserte organisasjoner; det ble oppdaget at den beryktede nettkriminalitetsgruppen FIN7 hadde brukt ondsinnede USB-stasjoner for å levere løsepengevare til flere organisasjoner. Disse USB-ene hadde blitt sendt som PR- og offentlig sikkerhetsvarselpakker; en beslaglagt pakke ble funnet etterligne det amerikanske helsedepartementet, med henvisning til Covid-19-retningslinjer, og en annen forsøkte å etterligne en Amazon-gavepakke, fylt med falske gavekort og den ondsinnede USB-en.

tailgating angrep

Tailgating, eller piggybacking, stammer fra ideer rundt fysisk perimetersikkerhet. Her følger en angriper tett en legitim og autorisert person inn i området som inneholder verdifulle eiendeler. Digital bakluke er en av de enkleste formene for cyberangrep, og er sterkt avhengig av de ansattes uforsiktighet. Dette kan se ut som at en ansatt forlater enheten sin uten tilsyn mens han napper på badet i det lokale biblioteket sitt – dette er legitimt hvordan FBI tok ned Ross Ulbricht, eieren av nettstedet Silk Road, som selger narkotika, i 2013.

Påskudd for angrep

Påskuddsangrep innebærer at angriperen skaper en troverdig, men falsk situasjon for offeret. Når de først har kjøpt seg inn i løgnen, blir ofrene mye mer manipulerbare. For eksempel sentrerer mange påskuddsangrep rundt at offeret blir påvirket av et sikkerhetsbrudd – og tilbyr deretter å fikse problemet, enten ved at deres 'IT-støtte' tar fjernkontrollen over offerets enhet, eller ved å ponni opp sensitiv kontoinformasjon. Teknisk sett vil nesten alle forsøk på sosial ingeniørarbeid innebære en viss påskudd, takket være dets evne til å gjøre et offer mer formbart.

Quid pro quo-angrep

Quid pro quo-angrep bruker lokkemetoden – hengende en ønskelig vare eller tjeneste – foran offerets ansikt – men bare når offeret gir bort personlig informasjon i retur. Enten det er falske konkurransegevinster eller en «hvilken Disney-prinsesse er du»-quiz, kan informasjonen som deles ut av disse angrepene, bidra til mer alvorlige angrep lenger ned i linjen.

Scareware-angrep

Scareware beskriver enhver form for skadelig programvare som tar sikte på å skremme ofrene til å dele informasjon eller laste ned ytterligere skadelig programvare. Mens falske tekniske støttemeldinger er det tradisjonelle eksemplet, utnytter nyere angrep følelsene av frykt og skam fullt ut. Nylig ble e-postadresser stjålet fra et rekrutteringsnettsted, og falske jobbtilbud ble sendt til hver; ved å klikke på det vedlagte dokumentet vil nedlastingen av et trojansk virus starte. Angrepet var spesifikt rettet mot bedriftens e-postadresser, vel vitende om at ansatte som ble ofre ville nøle med å fortelle arbeidsgiverne sine at de hadde blitt smittet mens de søkte alternativt arbeid.

Vannhullsangrep

Til slutt, vannhullsangrep ser angripere målrette mot populære legitime nettsider. Ved å injisere ondsinnet kode på nettsteder som ofte besøkes av mål, er angripere i stand til å indirekte fange ofre med drive-by-nedlastinger og legitimasjonstyveri.

Hvordan identifisere sosiale ingeniørangrep

Sosiale ingeniørangrep er så vellykkede takket være deres evne til å gå ubemerket hen som sådan. Derfor er det å gjenkjenne et angrep – helst før det fanges deg – en sentral del av angrepsforebygging. Her er de 6 hovedidentifikatorene for et forsøk på sosialingeniørangrep:

Mistenkelig avsender

En av de enkleste måtene å etterligne en legitim virksomhet er e-postforfalskning. Her vil angriperens adresse være nesten identisk med den ekte organisasjonens – men ikke helt. Noen tegn kan endres litt eller helt utelatt; dette kan bli utrolig lurt, for eksempel å bytte en stor "I" til en liten "l".

Generiske hilsener og avmeldinger

Bulk phishing-e-poster vil nesten alltid bruke en generisk hilsen som sir eller fru, ekte markedsføringsmateriale begynner imidlertid vanligvis med et navn, ettersom pålitelige organisasjoner normalt vil bruke kontaktdetaljene som er inkludert i databasen deres. Denne formen for kontakt fra pålitelige organisasjoner vil også strekke seg til slutten av e-posten, da avsenderens signatur ofte vil inneholde kontaktinformasjon. Kombinasjonen av generisk hilsen og mangel på kontaktinformasjon er en sterk indikator på phishing.

Forfalskede hyperkoblinger og nettsteder

En av de enkleste måtene å kompromittere en enhet på er via et nettsted lastet med ondsinnet kode. Takket være moderne enheters formatering av hyperkoblinger, kan enhver tekst kobles til en hvilken som helst URL. Selv om det er mulig å sjekke dette på en PC ved å holde musepekeren over lenken og vurdere dens gyldighet, er mobil- og nettbrettbrukere mer utsatt for å klikke seg gjennom. Å gjøre utslettet av falske hyperkoblinger verre er muligheten for angripere til å etterligne legitime nettsteder, og legge til lag med troverdighet til et angrep. En falsk URL vil følge samme mønster som en falsk e-postadresse: en variasjon i stavemåten eller domenet, for eksempel å endre .gov til .net, er noen av de mest vellykkede teknikkene.

Sekundære destinasjoner

Det er veldig vanlig at markedsføringsmateriell og andre meldinger inkluderer vedlagte dokumenter. Angripere benytter seg av dette ved å lede offeret til et ekte dokument – eller vertsside – som igjen leder offeret til en ondsinnet side. Denne teknikken pålegges vanligvis team med ansatte som regelmessig samarbeider om arbeidet. Hvis et legitimt dokument inneholder en lenke til en ondsinnet fil, er det ikke bare mer troverdig for ofrene, men også de grunnleggende sikkerhetsmekanismene for innboksen.

Stavemåte og layout

Den mest åpenbare indikasjonen på phishing-angrep: dårlig grammatikk og stavemåte. Anerkjente organisasjoner dedikerer nesten alltid tid til å verifisere og korrekturlese kundekorrespondanse. Samtidig fungerer den dårlige grammatikken knyttet til den sosiale ingeniørkunsten menneskelige hackingangrep som en iboende filtreringsmekanisme. Angripere ønsker ikke å kaste bort tiden sin på å håndtere mistenkelige mennesker: de som faller for dårlig grammatikk og stavemåte er sårbare nok til å være et lett bytte.

Mistenkelige vedlegg

Uønskede e-poster som ber brukeren om å laste ned og åpne vedlegg bør få alarmklokkene til å ringe. Når det kombineres med en tone av at det haster, er det viktig å omdirigere denne panikken til en følelse av forsiktighet. I tilfeller av kompromittering av forretningse-poster, er det mulig selv for utrolig korte meldinger å utløse en utbredt pandemonium: å motta en e-post fra en høytstående leder som erklærer "Jeg trenger dette dokumentet skrevet ut, på skrivebordet mitt om 10 minutter" kan lure en praktikant til å overse grammatisk feil av frykt.

Hvordan forhindre sosiale ingeniørangrep

Selv om det er vanlig å se på phishing-angrep som et rent individuelt problem, er det økende etterspørsel etter å se forebygging av sosial ingeniørkunst som en kollektiv innsats. Tross alt våpner angripere ganske enkelt brukernes naturlige reaksjoner på frykt og panikk. Å beskytte en organisasjon – og dens brukere – kommer ned til tre nøkkelområder.

#1. Opplæring i sikkerhetsbevissthet

Først og fremst: gi ansatte verktøy til å forsvare seg. Opplæring i sikkerhetsbevissthet bør være relevant for brukerne deres, samtidig som det legges vekt på noen få ensidige regler. Ansatte må forstå å ikke klikke på lenker i e-poster og meldinger. I stedet må de bygge opp en vane med å bare finne en legitim versjon. Moderne internetthastigheter gjør dette til en enkel løsning.

Passordhygiene er på dette tidspunktet en påminnelse om at hver ansatt har hørt tusen ganger. Gitt de dusinvis av nettkontoer hver person nå har, er unike og komplekse passord bare virkelig gjennomførbare ved bruk av en passordbehandling. Å støtte ansatte på denne måten kan langt på vei begrense eksplosjonsradiusen for vellykkede angrep.

Til slutt må ansatte forstå at alle er sårbare. Lekkasjen av personlig informasjon via sosiale medier er det som driver den enormt vellykkede hvalfiskeindustrien. Selv om det er greit å huske på at skoler, kjæledyr og fødesteder bør holdes utenfor offentligheten, kan noen ansatte finne det lettere å sette opp sikkerhetsspørsmål som er minneverdige, men teknisk usanne. For eksempel sette sikkerhetsspørsmålet "hvor gikk du på skolen?" med Galtvort kan kaste alle nysgjerrige angripere helt av.

#2. Retningslinjer for tilgangskontroll

Å kontrollere tilgangen til hvert endepunkt er en viktig del av forebygging av sosial ingeniørkunst. Fra bruker til autentiseringsprosesser må det være tett kontroll over hvem som får tilgang til hva. Sluttbrukere må låse datamaskiner og enheter når de går bort – dette bør forsterkes og automatiseres via korte søvntimer. Når enheter er i bruk i offentlige rom, må de til enhver tid være i de ansattes besittelse. All autentisering må forsterkes med MFA. Dette kan fullstendig oppheve trusselen om BEC og tyveri av påloggingslegitimasjon.

Til syvende og sist kan det å verifisere identiteten med et fingeravtrykk eller en telefon utgjøre forskjellen mellom en falsk e-post som blir fanget – og et BEC-angrep som forårsaker millioner i skader.

#3. Sikkerhetsteknologier

Ansatte må støttes grundig med en omfattende pakke med sikkerhetsteknologier. For eksempel, hvis et e-postprograms spamfiltrering fortsatt tillater mistenkelige e-poster inn i innbokser, kan tredjepartsfiltre hjelpe til med å overvåke og forhindre sosiale ingeniørangrep med en URL-svartelistetilnærming. Mens innboksbasert forebygging er viktig, er det kanskje mer implementering av høykvalitets nettlesersikkerhet. Dette vil ideelt sett bekjempe rootkits, trojanske hester og falske falske identiteter, og tilbyr langt dyperegående beskyttelse enn delvis URL-gjenkjenning.

LayerX-løsningen

LayerXs bruker-første nettleserutvidelse tilbyr en enkelt, omfattende tilnærming til å bekjempe angrep fra sosiale ingeniører. Nettleserøkter overvåkes på applikasjonslaget, og gir full synlighet til alle nettlesingshendelser. Hver nettside kan gå et skritt utover "blokkere eller avslå"-prosessen, med dybdeanalyse som tillater trusselnøytralisering i sanntid. På denne måten kan granulær håndheving forhindre at selv svært avanserte BEC-angrep leverer nyttelast. I stedet for å stole på en skritt bak tilnærming via DNS-blokkeringslister, kombinerer LayerXs fremtidssikre tilnærming banebrytende trusselintelligens med dyp håndhevelse ved hvert endepunkt.