Tag Archive for: hva er en vanlig metode som brukes i sosial manipulering

Hvordan kan du beskytte deg mot sosial manipulering?

Ved sosial manipulering forsøker angriperen å få tilgang til data eller tjenester ved å skape relasjoner til personer som han eller hun kan utnytte tilliten til. Den første forsvarslinjen er å være på vakt. Angriperen kan lokke deg inn i en samtale som utvikler seg til et forhør. Den beste måten å beskytte deg mot sosial manipulering på er imidlertid å vite hvem du kan stole på, og selv være pålitelig. Du må identifisere alle som kan få tilgang til kontoen din eller påvirke den, og sørge for at de har en god grunn til å gjøre det. 

Hva er et angrep med sosial manipulering?

Social engineering-angrep er en form for hacking der en angriper forsøker å få tilgang til informasjon ved å utnytte tillit. Det er et svært effektivt angrep fordi det utnytter ditt ønske om å hjelpe andre, din nysgjerrighet og naivitet. En sosial manipulator kan gjøre deg til en uvitende medskyldig ved å bruke manipulasjon på høyt nivå for å oppnå det angriperen ønsker. Det er en form for hacking, men i stedet for å bryte seg inn i datamaskiner prøver sosialingeniører å få tilgang til dem ved å lure ansatte til å gi fra seg informasjon eller laste ned skadevare.

Hvordan fungerer sosial manipulering? Vanlige teknikker

Sosial manipulering kan utføres via telefon, e-post eller tekstmeldinger. En sosial manipulator kan ringe en bedrift og be om tilgang til et avgrenset område, eller utgi seg for å være en annen person for å få noen andre til å åpne en e-postkonto på deres vegne.

Sosiale ingeniører bruker mange forskjellige taktikker for å nå sine mål. For eksempel kan de hevde at de ringer fra en bedrifts kundestøtte og be om ekstern tilgang slik at de kan fikse noe på datamaskinen eller nettverket. Eller de kan hevde at de trenger passordet ditt eller annen personlig informasjon, for eksempel banklegitimasjon, slik at de kan løse et problem med bankkontoen din.

I noen tilfeller utgir de seg til og med for å være politi betjenter og truer med rettslige skritt hvis du nekter å etterkomme kravene om informasjon. Det er viktig at bedrifter tar disse truslene på alvor, men husk at politiet aldri vil ringe noen og be om passordene deres over telefon!

Formål med sosialteknikk

Sosial engineering brukes ofte i phishing-angrep, som er e-poster som ser ut til å være fra en pålitelig kilde, men som faktisk er rettet mot å stjele din personlige informasjon. E-postene inneholder vanligvis et vedlegg med skadelig programvare (ofte kalt skadelig programvare) som vil infisere datamaskinen din hvis den åpnes.

Målet med sosial ingeniørkunst er alltid det samme: å få tilgang til noe verdifullt uten å måtte jobbe for det. 

1. Å stjele sensitiv informasjon

Sosiale ingeniører kan forsøke å lure deg til å oppgi passord og påloggingsinformasjon (f.eks. brukernavn/e-postadresse), slik at de får tilgang til e-postkontoen eller profilen din på sosiale medier og kan stjele personopplysninger som kredittkortnummer og bankkontoopplysninger fra tidligere transaksjoner. 

2. Identitetstyveri

De kan også bruke denne informasjonen til å anta offerets identitet og utføre ondsinnede aktiviteter som utgir seg for å være dem på linjen hvis de velger å ikke ødelegge den umiddelbart.

Eksempel på et angrep med sosial manipulering

Bruken av bedrag og lureri for å oppnå en fordel strekker seg langt før den utbredte tilgjengeligheten av personlige datamaskiner og World Wide Web. Men vi kan se lenger tilbake i historien for å se noen av de mest alvorlige angrepssakene for sosial ingeniørarbeid.

I den siste hendelsen, som skjedde i februar 2020, lurte et phishing -forsøk med en falsk renoveringsfaktura Barbara Corcoran fra ABCs " Shark Tank" ut av nesten $400 000.

Hvis du er et offer for sosiale ingeniørangrep, er det viktig å vite hvordan du kan beskytte deg selv mot å bli utsatt. Lær varseltegnene på en potensiell trussel og hvordan du kan beskytte deg selv.

Hvordan identifisere et angrep fra sosial manipulering?

1. Stol på magefølelsen

Hvis du mottar e-poster eller telefonsamtaler som høres mistenkelige ut, ikke gi ut informasjon før du har bekreftet identiteten din. Du kan gjøre dette ved å ringe bedriften din direkte eller ved å sjekke inn med personen som angivelig sendte e-posten eller la igjen en melding på taleposten din.

2. Ikke send inn din personlige informasjon

Hvis noen ber om personnummeret ditt eller andre private opplysninger, er det et tegn på at de prøver å utnytte tilliten din og bruke den mot deg senere. Det anbefales at du ikke gir fra deg informasjon med mindre det er nødvendig. 

3. Uvanlige forespørsler uten kontekst

Sosiale ingeniører kommer vanligvis med store forespørsler uten å gi noen sammenheng. Hvis noen ber om penger eller andre ressurser uten å forklare hvorfor de trenger det, er det sannsynligvis noe skummelt som foregår der. Det er bedre å være forsiktig når noen kommer med en stor forespørsel som dette – du vet aldri hva slags skade som kan gjøres med tilgang til bankkontoen din!

Her er noen måter du kan oppdage angrep fra sosialteknikk :

  • Motta en e-post fra noen som hevder å være fra IT-avdelingen din som ber deg om å tilbakestille passordet ditt og oppgi det i en e-post eller tekstmelding
  • Motta en e-post fra noen som hevder å være fra banken din som ber om personlig informasjon, for eksempel kontonummer eller PIN-kode
  • Motta en e-post fra noen som hevder å være fra banken din som ber om personlig informasjon, for eksempel kontonummer eller PIN-kode
  • Å bli spurt om informasjon om selskapet av noen som hevder å være fra selskapets HR-avdeling

Typer av sosial manipulering

Social engineering-angrep er en god måte å begå svindel på. Det kan skje på flere måter. 

Få tilgang: Hackere kan få tilgang til bankkontoen din ved å søke om kreditt i en annen persons navn. Svindelen foregår ofte ved at venner og familie får en telefonsamtale eller e-post og blir bedt om å foreta en bankoverføring for raskt å betale hackeren for det han eller hun har gjort mot offeret.

Stjele personlig informasjon: En annen vanlig måte å lure folk til å gi fra seg personopplysninger på, er ved å tro at de har vunnet en premie eller konkurranse de aldri har deltatt i, men som de har meldt seg på. Og når de blir oppringt for å forsikre seg om at de vil få premien når de gir fra seg opplysningene, går ofrene i angriperens felle.

Phishing: I dette angrepet sender angriperne e-poster som ser ut som om de kommer fra legitime selskaper eller organisasjoner, men som inneholder ondsinnede lenker eller vedlegg. Dette er dessuten et av de vanligste sosialtekniske angrepene på verdensbasis.

Pretexting: Et annet massivt sosial manipulering-angrep går ut på å skape en falsk identitet eller et falskt scenario for å få tilgang til personlig informasjon. Et av de mest fremtredende eksemplene på sosialmanipulering er når angripere skaffer seg tilgang til å manipulere personer gjennom tekstmeldinger .

Skuldersurfing: Dette er et angrep der angriperen ser over skulderen på noen for å få tilgang til konfidensiell informasjon. Noen ganger er angriperen ikke noe annet enn dine nære venner eller kjære som vil utpresse deg når de får informasjonen de alltid har ønsket seg. Det er derfor viktig å holde øye med slike personer og aldri gi fra seg personlige opplysninger.

Forfølgelse: Tailgating er når en angriper følger etter noen som er autorisert til å gå inn i en bygning eller et sikkert område uten å være autorisert. Det er ikke like vanlig som andre sosial manipulering-angrep, men det er likevel farlig og kan etterlate skadelige spor.

5 måter å beskytte deg selv mot angrep fra sosiale ingeniører

Her har vi samlet noen nyttige tips eller ideer som hjelper deg med å beskytte deg selv mot å bli sosialt angrepet eller forhindre angrep fra sosialt ingeniørarbeid:

1. Ukjente avsendere (e-poster vs. tekstmeldinger)

Vær nøye med avsenderens e-postadresse og innholdet i meldingen. Det er viktig å vite at du ikke trenger å klikke på noen mistenkelige dokumentkoblinger. 

2. Slutt å dele personopplysninger

Tenk før du deler personlig informasjon, som passord og kredittkortnumre. Ingen legitim bedrift eller enkeltperson bør noen gang be om denne typen sensitiv informasjon. Bruk alltid sterke passord og bytt dem regelmessig. Unngå å bruke de samme passordene for flere kontoer og spar deg selv fra å bli et offer for sosiale ingeniørangrep.

3. Sikkerhetslag

Bruk tofaktorautentisering når det er mulig. Det kan ytterligere legge til et ekstra lag med sikkerhet ved å kreve at brukerne oppgir en kode sendt til mobiltelefonen og brukernavnet og passordet. Sett alltid opp autentiseringskoder med e-post og telefonnummer, slik at hvis noen skulle få tilgang til et av systemene, ville de ikke kunne bruke kontoen din direkte.

4. Antivirusprogramvare

Installer anti- malware og antivirusprogramvare på alle enhetene dine. Hold disse programmene oppdatert slik at de kan beskytte deg mot de nyeste truslene. Men når du har et antivirus installert på enhetene dine, kan det gi et utmerket skjold mot angrep fra sosial ingeniørkunst.

5. Vær alltid oppmerksom på eventuelle risikoer

Det ville hjelpe hvis du alltid vurderte risikoen. Sørg for at alle forespørsler om informasjon er korrekte ved å dobbeltsjekke og trippelsjekke. Hold utkikk etter nyheter om cybersikkerhet når du er berørt av et nylig sikkerhetsbrudd. 

Konklusjon

For å beskytte deg mot sosiale ingeniørangrep, må du lære å ta forholdsregler mot dem. Siden vi allerede har gitt deg noen standardmetoder for sosiale ingeniørangrep, som har blitt brukt i flere aldre i verden, sørg for å begynne å implementere forholdsreglene nå. Sosiale ingeniørangrep kan skade en persons pluss, profesjonelle liv i løpet av sekunder. Beskytt alltid enhetene, passordene og andre pålogginger med to konfigurerte autentiseringsbekreftelseskoder for et ytre beskyttelseslag.

Før du gjør noe annet, snakk med en pålitelig IT-ekspert eller sikkerhetsekspert som PowerDMARC . De kan hjelpe deg med å forstå risikoen for sosiale ingeniørangrep og hvordan du kan minimere dem.

sosial manipulering

/av

Typer sosiale ingeniørangrep i 2022

Før vi dykker inn i typene sosial ingeniørangrep som ofre blir offer for på daglig basis, sammen med kommende angrep som har tatt internett med en storm, la oss først kort komme inn på hva sosial ingeniørkunst handler om. 

For å forklare det i lekmannstermer, refererer sosial ingeniørkunst til en implementeringstaktikk for nettangrep der trusselaktører bruker psykologisk manipulasjon for å utnytte ofrene sine og svindle dem.

Social Engineering: Definisjon og eksempler

Hva er et sosialt ingeniørangrep?

I motsetning til nettkriminelle som hacker seg inn på datamaskinen eller e-postsystemet din, orkestreres angrep på sosialteknikk ved å prøve å påvirke et offers meninger til å manøvrere dem til å avsløre sensitiv informasjon. Sikkerhetsanalytikere har bekreftet at mer enn 70 % av nettangrepene som finner sted på internett på årsbasis, er sosiale ingeniørangrep.

Eksempler på sosialteknikk

Ta en titt på eksemplet vist nedenfor:

sosial manipulering

 

Her kan vi se en nettannonsering som lokker offeret inn med et løfte om å tjene $1000 per time. Denne annonsen inneholder en ondsinnet kobling som kan sette i gang en installasjon av skadelig programvare på systemet deres. 

Denne typen angrep er ofte kjent som Online Baiting eller ganske enkelt Baiting, og er en form for sosialt ingeniørangrep. 

Nedenfor er et annet eksempel:

sosial manipulering

Som vist ovenfor, kan sosiale ingeniørangrep også utføres ved å bruke e-post som et potent medium. Et vanlig eksempel på dette er et phishing-angrep. Vi vil komme nærmere inn på disse angrepene i neste avsnitt.

Typer sosiale ingeniørangrep

1. Vishing & Smishing

sosial manipulering

Tenk deg at du i dag får en SMS fra banken din (angivelig) som ber deg bekrefte identiteten din ved å klikke på en lenke, ellers vil kontoen din bli deaktivert. Dette er en veldig vanlig melding som ofte sirkuleres av nettkriminelle for å lure intetanende mennesker. Når du klikker på lenken, blir du omdirigert til en forfalskningsside som krever bankinformasjonen din. Vær trygg på at hvis du ender opp med å gi bankdetaljene dine til angripere, vil de tømme kontoen din. 

På samme måte initieres Vishing eller Voice phishing gjennom telefonsamtaler i stedet for SMS.

2. Online Baiting / Baiting 

sosial manipulering

Vi kommer over en rekke nettannonser hver eneste dag mens vi surfer på nettsider. Mens de fleste av dem er ufarlige og autentiske, kan det være noen dårlige epler som gjemmer seg i partiet. Dette kan lett identifiseres ved å se annonser som virker for gode til å være sanne. De har vanligvis latterlige påstander og lokker som å vinne jackpoten eller tilby en enorm rabatt.

Husk at dette kan være en felle ( aka et agn ). Hvis noe virker for godt til å være sant, er det sannsynligvis det. Derfor er det bedre å unngå mistenkelige annonser på internett, og motstå å klikke på dem.

3. Phishing

Sosiale ingeniørangrep utføres oftere enn ikke via e-post, og kalles phishing. Phishing-angrep har skapt kaos på global skala nesten like lenge som selve e-posten har eksistert. Siden 2020, på grunn av en økning i e-postkommunikasjon, har phishing-frekvensen også skutt opp, svindlet organisasjoner, store og små, og skapt overskrifter hver dag. 

Phishing-angrep kan kategoriseres i Spear-phishing, hvalfangst og CEO-svindel, og refererer til handlingen med å utgi seg for spesifikke ansatte i en organisasjon, henholdsvis beslutningstakere i selskapet og administrerende direktør.

4. Romantikk-svindel

Federal Bureau of Investigation (FBI) definerer internettromantikk-svindel som "svindel som oppstår når en kriminell adopterer en falsk nettidentitet for å få et offers hengivenhet og tillit. Svindleren bruker deretter illusjonen om et romantisk eller nært forhold til å manipulere og/eller stjele fra offeret.» 

Romantikk-svindel faller inn under typene sosiale ingeniørangrep siden angripere bruker manipulerende taktikker for å danne et nært romantisk forhold til ofrene før de handler på hovedagendaen deres: dvs. svindle dem. I 2021 tok romantikk-svindel nummer 1-posisjonen som årets mest økonomisk skadelige nettangrep, tett fulgt av løsepengevare.

5. Spoofing

Domeneforfalskning er en høyt utviklet form for sosialt ingeniørangrep. Dette er når en angriper forfalsker et legitimt firmadomene for å sende e-post til kunder på vegne av avsenderorganisasjonen. Angriperen manipulerer ofre til å tro at nevnte e-post kommer fra en autentisk kilde, altså et selskap hvis tjenester de er avhengige av. 

Spoofing-angrep er vanskelig å spore siden e-poster sendes fra et selskaps eget domene. Det finnes imidlertid måter å feilsøke det på. En av de populære metodene som brukes og anbefales av bransjeeksperter er å minimere spoofing ved hjelp av et DMARC- oppsett.

6. Påskudd

Påskudd kan refereres til som en forgjenger til et sosialt ingeniørangrep. Det er når en angriper vever en hypotetisk historie for å støtte påstanden hans om sensitiv selskapsinformasjon. I de fleste tilfeller utføres påskudd via telefonsamtaler, der en angriper utgir seg for å være en kunde eller ansatt og krever sensitiv informasjon fra selskapet. 

Hva er en vanlig metode som brukes i sosial ingeniørkunst?

Den vanligste metoden som brukes i sosial ingeniørkunst er phishing. La oss ta en titt på litt statistikk for bedre å forstå hvordan phishing er en økende global trussel:

  • 2021 Cybersecurity Threat Trends-rapporten fra CISCO fremhevet at hele 90 % av datainnbrudd skjer som et resultat av phishing
  • IBM i deres Cost of a Data Breach Report fra 2021 delegerte tittelen på mest økonomisk kostnadskrevende angrepsvektor til phishing
  • For hvert år har frekvensen av phishing-angrep vist seg å øke med 400 %, som rapportert av FBI

Hvordan beskytte deg mot angrep fra Social Engineering?

Protokoller og verktøy du kan konfigurere: 

  • Implementer e-postautentiseringsprotokoller i organisasjonen din som SPF, DKIM og DMARC. Start med å lage en gratis DMARC-post i dag med vår DMARC-postgenerator .
  • Håndhev DMARC-retningslinjene dine for å p=avvise for å minimere direkte domeneforfalskning og phishing-angrep på e -post
  • Sørg for at datasystemet ditt er beskyttet ved hjelp av et antivirusprogram

Personlige tiltak du kan ta:

  • Øk bevisstheten i organisasjonen din mot vanlige typer sosiale ingeniørangrep, angrepsvektorer og advarselsskilt
  • Lær deg selv om angrepsvektorer og typer. Besøk kunnskapsbasen vår, skriv inn "phishing" i søkefeltet, trykk enter, og begynn å lære i dag!  
  • Send aldri inn konfidensiell informasjon på eksterne nettsteder
  • Aktiver anrops-ID-identifikasjonsapplikasjoner på mobilenheten din
  • Husk alltid at banken din aldri vil be deg om å sende inn kontoinformasjon og passord via e-post, SMS eller telefon
  • Sjekk alltid e-postens Fra-adresse og returbaneadressen til e-postene dine på nytt for å sikre at de stemmer overens 
  • Klikk aldri på mistenkelige e-postvedlegg eller lenker før du er 100 % sikker på ektheten til kilden deres
  • Tenk to ganger før du stoler på folk du samhandler med på nettet og ikke kjenner i det virkelige liv
  • Ikke bla gjennom nettsteder som ikke er sikret over en HTTPS-tilkobling (f.eks. http://domain.com)

sosial manipulering

/av