Før vi dykker inn i typene sosial ingeniørangrep som ofre blir offer for på daglig basis, sammen med kommende angrep som har tatt internett med en storm, la oss først kort komme inn på hva sosial ingeniørkunst handler om. 

For å forklare det i lekmannstermer, refererer sosial ingeniørkunst til en implementeringstaktikk for nettangrep der trusselaktører bruker psykologisk manipulasjon for å utnytte ofrene sine og svindle dem.

Social Engineering: Definisjon og eksempler

Hva er et sosialt ingeniørangrep?

I motsetning til nettkriminelle som hacker seg inn på datamaskinen eller e-postsystemet din, orkestreres angrep på sosialteknikk ved å prøve å påvirke et offers meninger til å manøvrere dem til å avsløre sensitiv informasjon. Sikkerhetsanalytikere har bekreftet at mer enn 70 % av nettangrepene som finner sted på internett på årsbasis, er sosiale ingeniørangrep.

Eksempler på sosialteknikk

Ta en titt på eksemplet vist nedenfor:

 

Her kan vi se en nettannonsering som lokker offeret inn med et løfte om å tjene $1000 per time. Denne annonsen inneholder en ondsinnet kobling som kan sette i gang en installasjon av skadelig programvare på systemet deres. 

Denne typen angrep er ofte kjent som Online Baiting eller ganske enkelt Baiting, og er en form for sosialt ingeniørangrep. 

Nedenfor er et annet eksempel:

Som vist ovenfor, kan sosiale ingeniørangrep også utføres ved å bruke e-post som et potent medium. Et vanlig eksempel på dette er et phishing-angrep. Vi vil komme nærmere inn på disse angrepene i neste avsnitt.

Typer sosiale ingeniørangrep

1. Vishing & Smishing

Tenk deg at du i dag får en SMS fra banken din (angivelig) som ber deg bekrefte identiteten din ved å klikke på en lenke, ellers vil kontoen din bli deaktivert. Dette er en veldig vanlig melding som ofte sirkuleres av nettkriminelle for å lure intetanende mennesker. Når du klikker på lenken, blir du omdirigert til en forfalskningsside som krever bankinformasjonen din. Vær trygg på at hvis du ender opp med å gi bankdetaljene dine til angripere, vil de tømme kontoen din. 

På samme måte initieres Vishing eller Voice phishing gjennom telefonsamtaler i stedet for SMS.

2. Online Baiting / Baiting 

Vi kommer over en rekke nettannonser hver eneste dag mens vi surfer på nettsider. Mens de fleste av dem er ufarlige og autentiske, kan det være noen dårlige epler som gjemmer seg i partiet. Dette kan lett identifiseres ved å se annonser som virker for gode til å være sanne. De har vanligvis latterlige påstander og lokker som å vinne jackpoten eller tilby en enorm rabatt.

Husk at dette kan være en felle ( aka et agn ). Hvis noe virker for godt til å være sant, er det sannsynligvis det. Derfor er det bedre å unngå mistenkelige annonser på internett, og motstå å klikke på dem.

3. Phishing

Sosiale ingeniørangrep utføres oftere enn ikke via e-post, og kalles phishing. Phishing-angrep har skapt kaos på global skala nesten like lenge som selve e-posten har eksistert. Siden 2020, på grunn av en økning i e-postkommunikasjon, har phishing-frekvensen også skutt opp, svindlet organisasjoner, store og små, og skapt overskrifter hver dag. 

Phishing-angrep kan kategoriseres i Spear-phishing, hvalfangst og CEO-svindel, og refererer til handlingen med å utgi seg for spesifikke ansatte i en organisasjon, henholdsvis beslutningstakere i selskapet og administrerende direktør.

4. Romantikk-svindel

Federal Bureau of Investigation (FBI) definerer internettromantikk-svindel som "svindel som oppstår når en kriminell adopterer en falsk nettidentitet for å få et offers hengivenhet og tillit. Svindleren bruker deretter illusjonen om et romantisk eller nært forhold til å manipulere og/eller stjele fra offeret.» 

Romantikk-svindel faller inn under typene sosiale ingeniørangrep siden angripere bruker manipulerende taktikker for å danne et nært romantisk forhold til ofrene før de handler på hovedagendaen deres: dvs. svindle dem. I 2021 tok romantikk-svindel nummer 1-posisjonen som årets mest økonomisk skadelige nettangrep, tett fulgt av løsepengevare.

5. Spoofing

Domeneforfalskning er en høyt utviklet form for sosialt ingeniørangrep. Dette er når en angriper forfalsker et legitimt firmadomene for å sende e-post til kunder på vegne av avsenderorganisasjonen. Angriperen manipulerer ofre til å tro at nevnte e-post kommer fra en autentisk kilde, altså et selskap hvis tjenester de er avhengige av. 

Spoofing-angrep er vanskelig å spore siden e-poster sendes fra et selskaps eget domene. Det finnes imidlertid måter å feilsøke det på. En av de populære metodene som brukes og anbefales av bransjeeksperter er å minimere spoofing ved hjelp av et DMARC- oppsett.

6. Påskudd

Påskudd kan refereres til som en forgjenger til et sosialt ingeniørangrep. Det er når en angriper vever en hypotetisk historie for å støtte påstanden hans om sensitiv selskapsinformasjon. I de fleste tilfeller utføres påskudd via telefonsamtaler, der en angriper utgir seg for å være en kunde eller ansatt og krever sensitiv informasjon fra selskapet. 

Hva er en vanlig metode som brukes i sosial ingeniørkunst?

Den vanligste metoden som brukes i sosial ingeniørkunst er phishing. La oss ta en titt på litt statistikk for bedre å forstå hvordan phishing er en økende global trussel:

  • 2021 Cybersecurity Threat Trends-rapporten fra CISCO fremhevet at hele 90 % av datainnbrudd skjer som et resultat av phishing
  • IBM i deres Cost of a Data Breach Report fra 2021 delegerte tittelen på mest økonomisk kostnadskrevende angrepsvektor til phishing
  • For hvert år har frekvensen av phishing-angrep vist seg å øke med 400 %, som rapportert av FBI

Hvordan beskytte deg mot angrep fra Social Engineering?

Protokoller og verktøy du kan konfigurere: 

  • Implementer e-postautentiseringsprotokoller i organisasjonen din som SPF, DKIM og DMARC. Start med å lage en gratis DMARC-post i dag med vår DMARC-postgenerator .
  • Håndhev DMARC-retningslinjene dine for å p=avvise for å minimere direkte domeneforfalskning og phishing-angrep på e -post
  • Sørg for at datasystemet ditt er beskyttet ved hjelp av et antivirusprogram

Personlige tiltak du kan ta:

  • Øk bevisstheten i organisasjonen din mot vanlige typer sosiale ingeniørangrep, angrepsvektorer og advarselsskilt
  • Lær deg selv om angrepsvektorer og typer. Besøk kunnskapsbasen vår, skriv inn "phishing" i søkefeltet, trykk enter, og begynn å lære i dag!  
  • Send aldri inn konfidensiell informasjon på eksterne nettsteder
  • Aktiver anrops-ID-identifikasjonsapplikasjoner på mobilenheten din
  • Husk alltid at banken din aldri vil be deg om å sende inn kontoinformasjon og passord via e-post, SMS eller telefon
  • Sjekk alltid e-postens Fra-adresse og returbaneadressen til e-postene dine på nytt for å sikre at de stemmer overens 
  • Klikk aldri på mistenkelige e-postvedlegg eller lenker før du er 100 % sikker på ektheten til kilden deres
  • Tenk to ganger før du stoler på folk du samhandler med på nettet og ikke kjenner i det virkelige liv
  • Ikke bla gjennom nettsteder som ikke er sikret over en HTTPS-tilkobling (f.eks. http://domain.com)
Siste innlegg av Syuzanna Papazyan ( se alle )