Hvorfor bruger cyberangribere ofte social engineering?
Cyberangribere bruger Social Engineering, som er en type angreb, der er rettet mod det menneskelige element snarere end computersystemet og dets software. Angriberen forsøger at narre en person til at udføre en handling, der giver dem mulighed for at få adgang til ofrenes computere.
En af de mest almindelige typer af denne type angreb er et man-in-the-middle-angreb. Et man-in-the-middle-angreb opstår, når en angriber udgiver sig for at være en anden person for at narre ofrene til at tro, at de taler direkte med hinanden via normaliseringsprotokoller som f.eks. interaktivt voice response, e-mail, instant messaging og webkonferencer.
Hacking gennem menneskelig manipulation er lettere at udføre end hacking direkte fra en ekstern kilde. I denne artikel diskuteres det, hvorfor SE-angreb er stigende, og hvorfor cyberangribere ofte bruger disse taktikker.
Hvorfor bruger cyberangribere social engineering? Sandsynlige årsager og grunde
Social engineering-angreb er en af de mest populære og effektive metoder, som hackere bruger i dag. Disse angreb udnytter ofte menneskelige relationer, f.eks. medarbejdernes tillid og fortrolighed eller fysisk nærhed mellem medarbejdere og kunder.
a. Det menneskelige element er det svageste led i traditionel sikkerhed
Angreb har tendens til at være mere effektive, når de er baseret på menneskelig interaktion, hvilket betyder, at teknologien ikke kan beskytte os mod dem.
Det eneste, en angriber behøver, er en smule information om målets vaner eller præferencer og lidt kreativitet i den måde, hvorpå han præsenterer sig selv for offeret.
Dette resulterer i, at angriberne får det, de vil have, uden at skulle ty til mere komplicerede teknikker, som f.eks. at hacke sig ind i en organisations netværk eller bryde ind i en virksomheds systemer.
b. Der er ikke behov for avancerede hackerteknikker
Social engineering-angreb udnytter folks tillid til at få adgang til et system eller netværk. Disse angreb er effektive, fordi det er let for en angriber at få adgang, i stedet for at bruge avancerede hackerteknikker til at tvinge sig ind på et netværk.
Når en angriber gør dette, bruger de typisk psykologisk manipulerende teknikker som phishing, spear phishing og pretexting.
➜ Phishing er, når en angriber sender e-mails, der ser lovlige ud, men som er designet til at narre brugere til at opgive deres personlige oplysninger, f.eks. adgangskoder eller kreditkortoplysninger.
➜ Spear phishing er, når en angriber bruger de samme metoder som phishing, men med mere avancerede teknikker, f.eks. ved at udgive sig for at være en anden person for at narre dig til at opgive dine oplysninger.
➜ Pretexting henviser til, at en angriber bruger foregivelser for at vinde ofrenes tillid, før han forsøger at stjæle fra dem.
Når angribere har fået adgang til dit system eller netværk, kan de gøre alt, hvad de vil, herunder installere programmer, ændre filer eller endda slette dem, uden at blive opdaget af et sikkerhedssystem eller en administrator, som kunne forhindre dem i at gøre det, hvis de vidste, hvad der foregik i deres netværk!
c. Dumpster Diving er nemmere end Brute Forcing i et netværk
Dumpster diving er en handling, hvor man henter oplysninger fra kasserede materialer for at udføre social engineering-angreb. Teknikken indebærer, at man gennemsøger affaldet for skatte som adgangskoder eller adgangskoder skrevet ned på klistermærker. Dumpster diving gør sådanne aktiviteter nemme at udføre, fordi det giver hackeren mulighed for at få adgang til netværket uden at skulle bryde ind.
De oplysninger, som dumpster dividers finder frem, kan være alt fra banale oplysninger som f.eks. en telefonliste eller kalender til mere tilsyneladende uskyldige data som f.eks. et organisationsdiagram. Men disse tilsyneladende uskyldige oplysninger kan hjælpe en angriber med at bruge social engineering-teknikker til at få adgang til netværket.
Hvis en computer er blevet kasseret, kan den desuden være et skatkammer for cyberangribere. Det er muligt at gendanne oplysninger fra lagringsmedier, herunder drev, der er blevet slettet eller forkert formateret. Opbevarede adgangskoder og certifikater, som man har tillid til, er ofte gemt på computeren og er sårbare over for angreb.
Det kasserede udstyr kan indeholde følsomme data på TPM'en (Trusted Platform Module). Disse data er vigtige for en organisation, fordi de gør det muligt for dem at gemme følsomme oplysninger, f.eks. kryptografiske nøgler, på en sikker måde. En social ingeniør kan udnytte de hardware-id'er, som en organisation har tillid til, til at lave potentielle udnyttelser mod deres brugere.
d. Gør brug af folks frygt, grådighed og følelse af uopsættelighed
Social engineering-angreb er lette at udføre, fordi de er baseret på det menneskelige element. Cyberangriberen kan bruge charme, overtalelse eller intimidering til at manipulere personens opfattelse eller udnytte personens følelser til at få vigtige oplysninger om virksomheden.
En cyberangriber kan f.eks. tale med en utilfreds medarbejder i en virksomhed for at få skjulte oplysninger, som derefter kan bruges til at bryde ind i netværket.
En utilfreds medarbejder kan give oplysninger om virksomheden til en angriber, hvis han/hun føler sig uretfærdigt behandlet eller mishandlet af sin nuværende arbejdsgiver. Den utilfredse medarbejder kan også give oplysninger om virksomheden, hvis han/hun ikke har et andet job og snart bliver arbejdsløs.
De mere avancerede metoder til hacking indebærer, at man bryder ind i et netværk ved hjælp af mere avancerede teknikker som malware, keyloggere og trojanere. Disse avancerede teknikker kræver meget mere tid og kræfter end blot at tale med en utilfreds medarbejder for at få skjulte oplysninger, som kan bruges til at bryde ind i et netværk.
De seks hovedprincipper for påvirkning
Social engineering-svindel udnytter seks specifikke sårbarheder i den menneskelige psyke. Disse sårbarheder er identificeret af psykologen Robert Cialdini i sin bog "Influence: The Psychology of Persuasion", og de er følgende:
➜ Gensidighed - Reciprocitet er ønsket om at gengælde tjenester i naturalier. Vi har en tendens til at føle os skyldige over for folk, der har hjulpet os; vi føler, at det er vores ansvar at hjælpe dem. Så når nogen beder os om noget - en adgangskode, adgang til finansielle oplysninger eller noget andet - er vi mere tilbøjelige til at efterkomme det, hvis de har hjulpet os før.
➜ Forpligtelse og konsekvens - Vi har en tendens til at gøre ting over tid i stedet for kun én gang. Vi er mere tilbøjelige til at acceptere en anmodning, hvis vi allerede har accepteret en af dens dele - eller endda flere. Hvis nogen har bedt om adgang til dine finansielle oplysninger før, er det måske ikke så slemt at bede om det igen alligevel!
➜ Social Bevis - Det er en vildledningsteknik, der bygger på det faktum, at vi har en tendens til at følge folk omkring os (også kendt som "bandwagon-effekten"). Medarbejdere kan f.eks. blive påvirket af en trusselsaktør, der fremlægger falske beviser for, at en anden medarbejder har efterkommet en anmodning.
➜ Kan lide - Vi kan lide folk, der virker som om, de har ansvaret, så en hacker kan sende en besked til din e-mailadresse, der ligner en besked fra din chef eller en af dine venner eller endda en ekspert på et område, du er interesseret i. Beskeden kan lyde noget i retning af: "Hej! Jeg ved, at du arbejder på dette projekt, og vi har brug for hjælp. Kan vi mødes en dag snart?" Den beder normalt om din hjælp - og ved at acceptere det giver du følsomme oplysninger væk.
➜ Autoritet - Folk underkaster sig generelt autoritetsfigurer, fordi vi ser dem som de "rigtige" personer, som vi skal følge og adlyde. På denne måde kan social engineering-taktik udnytte vores tendens til at stole på dem, der virker autoritative, til at få det, de vil have fra os.
➜ Knaphed - Knaphed er et menneskeligt instinkt, som er fast indbygget i vores hjerne. Det er følelsen af "Jeg har brug for det her nu" eller "Jeg burde have det her". Så når folk bliver snydt af social engineers, føler de en følelse af, at det haster med at aflevere deres penge eller oplysninger så hurtigt som muligt.
Personligheder, der er sårbare over for social engineering og hvorfor?
Ifølge Dr. Margaret Cunningham, der er forskningsleder for menneskelig adfærd hos Forcepoint X-Lab - en cybersikkerhedsvirksomhed - er enighed og ekstraversion de personlighedstræk, der er mest sårbare over for social engineering-operationer.
Behagelige mennesker har en tendens til at være tillidsfulde, venlige og villige til at følge anvisninger uden at stille spørgsmål. De er gode kandidater til phishing-angreb, fordi de er mere tilbøjelige til at klikke på links eller åbne vedhæftede filer fra e-mails, der ser ægte ud.
Ekstroverte personer er også mere modtagelige for social engineering-angreb, fordi de ofte foretrækker at være sammen med andre, og fordi de måske er mere tilbøjelige til at stole på andre. De er mere tilbøjelige til at være mistænksomme over for andres motiver, end indadvendte mennesker er, hvilket kan medføre, at de kan blive snydt eller manipuleret af en social engineer.
Personligheder, der er modstandsdygtige over for social engineering og hvorfor?
Mennesker, der er modstandsdygtige over for social engineering-angreb, har en tendens til at være samvittighedsfulde, indadvendte og har en høj grad af selvtillid.
Samvittighedsfulde mennesker er de mest sandsynlige til at kunne modstå social engineering-svindel ved at fokusere på deres egne behov og ønsker. De er også mindre tilbøjelige til at rette sig efter andres krav.
Introverte personer er mindre modtagelige for ekstern manipulation, fordi de tager sig tid til sig selv og nyder ensomhed, hvilket betyder, at de er mindre tilbøjelige til at blive påvirket af sociale signaler eller påtrængende personer, der forsøger at påvirke dem.
Self-efficacy er vigtigt, fordi det hjælper os med at tro på os selv, så vi har større tillid til, at vi kan modstå pres fra andre eller udefrakommende påvirkninger.
Beskyt din organisation mod social engineering-svindel med PowerDMARC
Social engineering er en metode til at manipulere medarbejdere og kunder til at udlevere følsomme oplysninger, som kan bruges til at stjæle eller ødelægge data. Tidligere er disse oplysninger blevet indhentet ved at sende e-mails, der ser ud som om de kommer fra legitime kilder som f.eks. din bank eller din arbejdsgiver. I dag er det meget nemmere at forfalske e-mailadresser.
PowerDMARC hjælper med at beskytte mod denne type angreb ved at implementere e-mail-autentifikationsprotokoller som SPF, DKIM og DMARC p=reject-politik i dit miljø for at minimere risikoen for direkte domænespoofing og phishing-angreb via e-mail.
Hvis du er interesseret i at beskytte dig selv, din virksomhed og dine kunder mod social engineering-angreb, kan du tilmelde dig vores gratis DMARC-testversion i dag!
- Cybersikkerhed i banksektoren: De største trusler og de bedste måder at forebygge dem på - 25. september 2023
- Hvordan tjekker man, om ens e-mailkilder er pålidelige? - 25. september 2023
- Sådan beskytter du dine adgangskoder mod AI - 20. september 2023