Vad är socialteknik?

DLP

Innehållsförteckning

Hur fungerar social ingenjörskonst?
Typer av sociala ingenjörsattacker
Hur man identifierar sociala ingenjörsattacker
Hur man förhindrar sociala ingenjörsattacker
LayerX-lösningen

Social ingenjörskonst beskriver det sätt på vilket offer manipuleras till att dela information, ladda ner skadlig programvara och skicka pengar till brottslingar. Till skillnad från skadliga programvarupaket kan den mänskliga hjärnan inte lappas – på basnivå är alla lika sårbara för social ingenjörskonst. Och även om allmänhetens uppfattning om social ingenjörskonst inte har utvecklats mycket sedan dagen med den nigerianska prinsen bluff, har angripare kunnat dra nytta av skyhöga nivåer av dataintrång för att stresstesta några av de mest skändliga och manipulativa teknikerna hittills.

Social ingenjörskonst förklaras

Hur fungerar social ingenjörskonst?

Social ingenjörskonst kan ta ett antal olika former, beroende på angriparnas tillvägagångssätt. För attacker mot organisationer är att utge sig för att vara ett pålitligt varumärke eller partner en av de mest lukrativa. Under 2019 tog cyberbrottslingar ut AI-baserad programvara för att efterlikna rösten som en verkställande direktör.

VD:n för ett brittiskt energiföretag fick ett telefonsamtal från sin chef – eller så trodde han – och bad honom att omedelbart överföra en summa på € 220,000 ($ 243,000) över till en ungersk leverantör. Även om detta representerar ett sällsynt fall av angripare som utnyttjar AI, är de flesta sociala ingenjörer fortfarande medvetna om kraften i att posera som en pålitlig organisation. På samma linje finns attacker som syftar till att efterlikna regerings- och auktoritetspersoner. Det förtroende som ges till statliga institutioner utgör en fruktbar möjlighet för angripare att missbruka: att utge sig för att vara IRS kan också ge sociala ingenjörsattacker en tidsbegränsad eller bestraffande fördel, vilket får offren att agera utan vederbörlig eftertanke.

Sociala ingenjörsmetoder griper till stor del två grupper av känslor. Den första innebär rädsla och brådska. Decennier av evolution har sett cyberkriminella finslipa sina rädslaframkallande tekniker. Ett oväntat e-postmeddelande som säger att en nyligen genomförd kreditkortstransaktion inte godkändes, till exempel sätter hjärnan under högre mängder stress eftersom offret antar att deras kort användes bedrägligt. Denna panik gör att de klickar på den associerade länken, matar in sina referenser på den övertygande bankens inloggningssida, bara för att omdirigeras till en legitim sida. Inte desto klokare, offret har just överlämnat sina bankuppgifter till bedragare. Även om det är lönsamt för angripare, är ekonomin inte det enda sättet att framkalla panik: små webbplatser och företagare kan få ett meddelande som felaktigt hävdar att en bild på deras webbplats bryter mot upphovsrättslagen, vilket innebär att de lämnar över personlig information – eller till och med pengar i formen av böter. Vissa brådskande attacker använder till och med fasaden av tidsbegränsade affärer, för att pressa offren att klicka ASAP.

Den andra formen av social ingenjörskonst tilltalar girighet; den nigerianska prinsens attack är det traditionella exemplet på detta. Här får offret ett mejl från en person som säger sig vara en flyende medlem av en nigeriansk kungafamilj. Avsändaren behöver någons bankkonto för att skicka över sina miljoner, men kräver först offrets bankinformation. Offret, angelägen om att dra nytta av de miljoner som ska sättas in, kan övertalas att skicka en relativt liten förskottsavgift eller deras uppgifter. Inom cyberbrottsindustrin är denna attack uråldrig – men 2018 tjänade den fortfarande hundratusentals dollar.

Typer av sociala ingenjörsattacker

Social ingenjörskonst täcker ett brett spektrum av attackmönster, som var och en tar sin egen inställning till att manipulera offer.

Nätfiskeattacker

Nätfiske omfattar en av de mest ökända typerna av social ingenjörsattacker. Dessa attacker ser att ett offer får meddelanden som syftar till att manipulera dem till att dela känslig information eller ladda ner skadliga filer. Bedragare inser att inkorgen är det mest sårbara området i varje organisation, och meddelanden skapas med ökande legitimitet, efterliknar kända organisationer, vänner till mottagaren eller trovärdiga kunder.

Det finns fem huvudformer av nätfiskeattacker; den farligaste av dessa är spjutfisketekniken. Denna taktik riktar sig mot en specifik individ – vanligtvis en som har beviljats privilegierad tillgång till känslig information och nätverk. Angriparen kommer att genomföra en lång utredning av den riktade individen, ofta med hjälp av sociala medier för att spåra deras beteenden och rörelser. Målet är att skapa ett meddelande som troligen skickades av någon som målet känner och litar på – eller som refererar till situationer som målet är bekant med. Valfångst syftar på att denna process utnyttjas mot högprofilerade individer som VD:ar. Spear phishing kan stärkas till nästan ofelbarhet med Business Email Compromise (BEC) – vilket gör att skadliga e-postmeddelanden kan skickas från auktoritetspersonens äkta e-postkonto.

De följande två typerna av nätfiske hänvisar till det medium genom vilket offret kontaktades. Även om nätfiske i allmänhet för tankarna till e-postmeddelanden, angripare är mer än villiga att använda någon form av potentiell kontakt med offer. Detta kan inkludera vishing – som den tidigare nämnda VD-röstluren – och inkluderingen av en (skenbar) person i andra änden av linjen kan ytterligare ingjuta en känsla av brådska hos offren.

IBM släppte data som visade vishings inkludering i en kampanj ökade dess chans att lyckas med upp till 300 %. Smishing, å andra sidan, ser att angripare använder textmeddelanden för att uppnå samma mål. Sättet på vilket dessa olika meddelanden och e-postmeddelanden når sina offer är lika mångfacetterat som angriparna själva: den mest grundläggande formen är bulknätfiske. Mycket liknande e-postmeddelanden – vanligtvis utanför en mall – skickas till miljontals mottagare samtidigt. Massangripare vet att nätfiske bara är ett sifferspel – skicka dem till tillräckligt många människor, och så småningom kommer någon att falla offer. Dessa e-postmeddelanden är så generiska som möjligt och verkar komma från globala banker och stora onlineföretag. Vanliga ämnen är falska e-postmeddelanden om återställning av lösenord och förfrågningar om uppdateringar av kreditvård. Sökmotornätfiske, å andra sidan, försöker generera "organiska" offer; angripare bygger skadliga webbplatser som sedan rankas tillräckligt högt i Googles sökresultat så att offren antar att de är legitima. På sociala medieplattformar plockar sportfiskare ut offer genom att maskera sig som officiella konton för betrodda företag. När en kund kontaktar dem kommer dessa falska konton att dra nytta av deras frågor och problem för att samla in deras personliga information och kreditkortsuppgifter.

Betesattacker

Medan nätfiske ofta förlitar sig på brådskande taktik under högt tryck, lockar betesattacker offren att agera mot deras bästa. 2020, FBI utfärdat en varning till USA-baserade organisationer; det upptäcktes att den ökända cyberbrottsgruppen FIN7 hade använt skadliga USB-enheter för att leverera ransomware till flera organisationer. Dessa USB-enheter hade skickats som PR- och offentliga säkerhetsmeddelanden; ett beslagtaget paket hade hittats som imiterade det amerikanska hälsodepartementet, med hänvisning till riktlinjer för Covid-19, och ett annat försökte imitera ett Amazon-presentpaket, fyllt med falska presentkort och skadlig USB.

Tailgating attacker

Tailgating, eller piggybacking, härrör från idéer kring fysisk perimetersäkerhet. Här följer en angripare noga en legitim och auktoriserad person in i området som innehåller värdefulla tillgångar. Digital baklucka är en av de enklaste formerna av cyberattacker, som är starkt beroende av de anställdas slarv. Det här kan se ut som att en anställd lämnar sin enhet utan uppsikt medan han nappar till badrummet i sitt lokala bibliotek – det är med all rätt FBI tog ner Ross Ulbricht, ägare till drogförsäljningswebbplatsen Silk Road, 2013.

Med förevändning för attacker

Att förevända attacker innebär att angriparen skapar en trovärdig men falsk situation för offret. När de väl har köpt sig in i lögnen blir offren mycket mer manipulerbara. Många förevändningsattacker kretsar till exempel kring att offret påverkas av ett säkerhetsintrång – erbjuder sig sedan att åtgärda problemet, antingen genom att deras "IT-support" tar fjärrkontrollen över offrets enhet eller genom att ponnya upp känslig kontoinformation. Tekniskt sett kommer nästan varje försök till social ingenjörskonst att innebära en viss förevändning, tack vare dess förmåga att göra ett offer mer formbart.

Quid pro quo attacker

Quid pro quo-attacker använder betemetoden – dinglande en önskvärd vara eller tjänst – framför offrets ansikte – men endast när offret ger bort personlig information i gengäld. Oavsett om det är falska tävlingsvinster eller en "vilken Disney-prinsessa är du"-quiz, kan informationen som delas ut av dessa attacker bidra till mer allvarliga attacker längre fram.

Scareware-attacker

Scareware beskriver alla former av skadlig programvara som syftar till att skrämma sina offer att dela information eller ladda ner ytterligare skadlig programvara. Medan falska tekniska supportmeddelanden är det traditionella exemplet, utnyttjar nya attacker känslor av rädsla och skam fullt ut. Nyligen stals e-postadresser från en rekryteringswebbplats och falska jobberbjudanden skickades till var och en; Om du klickar på det bifogade dokumentet initieras nedladdningen av ett trojanskt virus. Attacken riktade sig specifikt mot företags e-postadresser, i vetskap om att anställda som föll offer skulle tveka att berätta för sina arbetsgivare att de hade blivit smittade när de sökte alternativt arbete.

Vattenhål Attacker

Slutligen, vattenhålsattacker ser angripare inrikta sig på populära legitima webbsidor. Genom att injicera skadlig kod på webbplatser som ofta besöks av mål, kan angripare indirekt fånga offer med drive-by-nedladdningar och autentiseringsstöld.

Hur man identifierar sociala ingenjörsattacker

Social ingenjörsattacker är så framgångsrika tack vare deras förmåga att gå obemärkt som sådana. Att känna igen en attack – helst innan den har fångat dig – är därför en viktig del av att förebygga attacker. Här är de sex huvudidentifierarna för ett försök till social ingenjörsattack:

Misstänkt avsändare

Ett av de enklaste sätten att utge sig för att vara ett legitimt företag är e-postspoofing. Här kommer angriparens adress att vara nästan identisk med den genuina organisationens – men inte riktigt. Vissa tecken kan ändras något eller helt utelämnas; detta kan bli otroligt lömskt, som att byta ett versaler "I" till ett gement "l".

Generiska hälsningar och sign-offs

Bulk nätfiske-e-postmeddelanden kommer nästan alltid att använda en generisk hälsning som sir eller fru. Äkta marknadsföringsmaterial börjar dock vanligtvis med ett namn, eftersom betrodda organisationer normalt använder kontaktuppgifterna i deras databas. Denna form av kontakt från betrodda organisationer kommer också att sträcka sig till slutet av e-postmeddelandet, eftersom avsändarens signatur ofta innehåller kontaktinformation. Kombinationen av generisk hälsning och brist på kontaktinformation är en stark indikator på nätfiske.

Förfalskade hyperlänkar och webbplatser

Ett av de enklaste sätten att äventyra en enhet är via en webbplats laddad med skadlig kod. Tack vare moderna enheters formatering av hyperlänkar kan vilken text som helst länkas till vilken URL som helst. Även om det är möjligt att kontrollera detta på en PC genom att hålla muspekaren över länken och bedöma dess giltighet, löper mobil- och surfplattanvändare större risk att omedvetet klicka sig igenom. Att göra utslagen av falska hyperlänkar värre är förmågan för angripare att nära efterlikna legitima webbplatser och lägga till lager av trovärdighet till en attack. En falsk URL följer samma mönster som en falsk e-postadress: en variation i stavningen eller domänen, som att ändra .gov till .net, är några av de mest framgångsrika teknikerna.

Sekundära destinationer

Det är mycket vanligt att marknadsföringsmaterial och andra meddelanden innehåller bifogade dokument. Angripare använder sig av detta genom att dirigera offret till ett äkta dokument – eller värdwebbplats – som i sin tur leder offret till en skadlig sida. Denna teknik tas vanligtvis ut mot team av anställda som regelbundet samarbetar i arbetet. Om ett legitimt dokument innehåller en länk till en skadlig fil, är det inte bara mer trovärdigt för dess offer, utan det undviker också grundläggande säkerhetsmekanismer för inkorgen.

Stavning och layout

Den mest uppenbara indikationen på nätfiskeattacker: dålig grammatik och stavning. Ansedda organisationer ägnar nästan alltid tid åt att verifiera och korrekturläsa kundkorrespondens. Samtidigt fungerar den dåliga grammatiken som är förknippad med den sociala ingenjörskonsten att hacka attacker som en inneboende filtreringsmekanism. Angripare vill inte slösa bort sin tid på att ta itu med misstänkta personer: de som faller för dålig grammatik och stavning är tillräckligt sårbara för att vara ett lätt byte.

Misstänkta bilagor

Oönskade e-postmeddelanden som ber användaren att ladda ner och öppna bilagor bör få larmklockorna att ringa. I kombination med en brådskande ton är det viktigt att omdirigera denna panik till en känsla av försiktighet. I fall av kompromiss med e-post för företag är det möjligt även för otroligt korta meddelanden att släppa lös en utbredd pandemonium: att få ett e-postmeddelande från en hög chef som förklarar "Jag behöver det här dokumentet utskrivet, på mitt skrivbord om 10 minuter" kan lura en praktikant att förbise grammatiska fel av rädsla.

Hur man förhindrar sociala ingenjörsattacker

Även om det är vanligt att se nätfiskeattacker som ett rent individuellt problem, finns det en växande efterfrågan på att se förebyggande av social ingenjörskonst som en kollektiv insats. När allt kommer omkring, beväpnar angripare helt enkelt användarnas naturliga reaktioner på rädsla och panik. Att skydda en organisation – och dess användare – handlar om tre nyckelområden.

#1. Utbildning för säkerhetsmedvetenhet

Först och främst: ge de anställda verktygen att försvara sig. Säkerhetsmedvetandeutbildning bör vara relevant för deras användare, samtidigt som man betonar några ensidiga regler. Anställda måste förstå att de inte klickar på länkar i några e-postmeddelanden och meddelanden. Istället måste de bygga upp en vana att helt enkelt söka efter en legitim version. Moderna internethastigheter gör detta till en enkel lösning.

Lösenordshygien är vid det här laget en påminnelse om att varje anställd har hört tusen gånger om. Med tanke på de dussintals onlinekonton varje person nu har, är unika och komplexa lösenord endast verkligt möjliga genom att använda en lösenordshanterare. Att stödja anställda på detta sätt kan gå långt för att begränsa sprängradien för framgångsrika attacker.

Slutligen måste anställda förstå att alla är sårbara. Läckan av personlig information via sociala medier är det som driver den enormt framgångsrika valfiskebranschen. Även om det är bra att komma ihåg att skolor, husdjur och födelseorter bör hållas borta från allmänhetens ögon, kan vissa anställda tycka att det är lättare att ställa säkerhetsfrågor som är minnesvärda men tekniskt osanna. Till exempel att ställa säkerhetsfrågan "var gick du i skolan?" med 'Hogwarts' skulle kunna kasta alla nyfikna angripare helt av sig.

#2. Åtkomstkontrollpolicyer

Att kontrollera åtkomsten till varje endpoint är en viktig del av förebyggande av social ingenjörskonst. Från användare till autentiseringsprocesser, det måste finnas en strikt kontroll över vem som får åtkomst till vad. Slutanvändare måste låsa datorer och enheter när de går iväg – detta bör förstärkas och automatiseras via korta insomningstimer. När enheter används i offentliga utrymmen måste de alltid förvaras i de anställdas ägo. All autentisering måste förstärkas med MFA. Detta kan helt förneka hotet om BEC och stöld av inloggningsuppgifter.

I slutändan kan bara verifiera identiteten med ett fingeravtryck eller telefon göra skillnaden mellan ett falskt e-postmeddelande som fångas – och en BEC-attack som orsakar miljoner i skador.

#3. Säkerhetstekniker

Anställda måste få grundligt stöd med en omfattande uppsättning säkerhetsteknologier. Till exempel, om ett e-postprograms skräppostfiltrering fortfarande tillåter misstänkta e-postmeddelanden i inkorgar, kan tredjepartsfilter hjälpa till att övervaka och förhindra sociala ingenjörsattacker med en webbadress-svarta lista. Även om inkorgsbaserat förebyggande är viktigt, är det kanske mer implementeringen av högkvalitativ webbläsarsäkerhet. Detta kommer idealiskt att bekämpa rootkits, trojaner och falska identitetsstölder, vilket ger ett mycket djupare skydd än partiell URL-igenkänning.

LayerX-lösningen

LayerX:s användarförsta webbläsartillägg erbjuder en enda, heltäckande metod för att bekämpa sociala ingenjörsattacker. Webbläsarsessioner övervakas i applikationslagret, vilket ger full insyn i alla webbläsarhändelser. Varje webbsida kan gå ett steg längre än "blockera eller neka"-processen, med en djupgående analys som möjliggör hotneutralisering i realtid. På så sätt kan granulär tillämpning förhindra att även mycket avancerade BEC-attacker levererar nyttolaster. Istället för att förlita sig på ett steg-behind tillvägagångssätt via DNS-blockeringslistor, kombinerar LayerX:s framtidssäkra tillvägagångssätt banbrytande hotintelligens med djup tillämpning vid varje slutpunkt.