Cyberattackerare använder sig av Social Engineering-attacker som är en typ av attack som riktar sig mot den mänskliga faktorn snarare än mot datorsystemet och dess programvara. Angriparen försöker lura en person att utföra en handling som gör det möjligt för honom att få tillgång till offrets dator.
En av de vanligaste typerna av denna typ av attack är en man-in-the-middle-attack. En man-in-the-middle-attack inträffar när en angripare utger sig för att vara någon annan för att lura offren att tro att de talar direkt med varandra via normaliserande protokoll som interaktiv röstsvar, e-post, direktmeddelanden och webbkonferenser.
Hacking genom mänsklig manipulation är lättare att utföra än hackning direkt från en extern källa. I den här artikeln diskuteras varför SE-attacker ökar och varför cyberattackerare ofta använder sig av denna taktik.
Varför använder cyberattackerare sig av social ingenjörskonst: Troliga orsaker och skäl
Sociala ingenjörsattacker är en av de mest populära och effektiva metoderna som används av hackare idag. Dessa attacker utnyttjar ofta relationer mellan människor, t.ex. förtroende och förtrogenhet hos anställda eller fysisk närhet mellan anställda och kunder.
a. Den mänskliga faktorn är den svagaste länken i traditionell säkerhet
Attacker tenderar att bli effektivare när de bygger på mänsklig interaktion, vilket innebär att tekniken inte kan skydda oss från dem.
Allt en angripare behöver är lite information om måltavlans vanor eller preferenser och lite kreativitet i hur de presenterar sig för offret.
Detta leder till att angriparna får vad de vill ha utan att behöva ta till mer komplicerade tekniker, som att hacka sig in i en organisations nätverk eller bryta sig in i ett företags system.
b. Det finns inget behov av avancerade hackningstekniker
Social engineering-attacker utnyttjar människors förtroende för att få tillgång till ett system eller nätverk. Dessa attacker är effektiva eftersom det är lätt för en angripare att få tillgång till ett nätverk, i stället för att använda avancerade hackningstekniker för att med våld ta sig in i ett nätverk.
När en angripare gör detta använder de vanligtvis psykologiskt manipulativa tekniker som phishing, spear phishing och pretexting.
➜ Phishing är när en angripare skickar e-postmeddelanden som ser legitima ut, men som är utformade för att lura användare att lämna ut personliga uppgifter som lösenord eller kreditkortsuppgifter.
➜ Spear phishing är när en angripare använder samma metoder som phishing men med mer avancerade tekniker, t.ex. genom att utge sig för att vara någon annan för att lura dig att lämna ut din information.
➜ Pretexting innebär att en angripare använder sig av förespeglingar för att vinna offrens förtroende innan han eller hon försöker stjäla från dem.
När angriparna väl har fått tillgång till ditt system eller nätverk kan de göra vad de vill där, till exempel installera program, ändra filer eller till och med radera dem, utan att bli upptäckta av ett säkerhetssystem eller en administratör som skulle kunna hindra dem från att göra detta om de visste vad som hände i deras nätverk!
c. Det är lättare att dyka i containrar än att forcera sig in i ett nätverk med hjälp av Brute Forcing
Dumpster diving är att hämta information från kasserat material för att utföra sociala ingenjörsattacker. Tekniken går ut på att leta i soporna efter skatter som åtkomstkoder eller lösenord som skrivits ner på klisterlappar. Dumpster diving gör det lätt att utföra sådana aktiviteter eftersom det gör det möjligt för hackaren att få tillgång till nätverket utan att behöva bryta sig in.
Den information som dumpster dykare gräver fram kan vara alltifrån vardaglig information, som en telefonlista eller kalender, till mer till synes oskyldiga uppgifter som ett organisationsschema. Men denna till synes oskyldiga information kan hjälpa en angripare att med hjälp av social ingenjörskonst få tillgång till nätverket.
Dessutom kan en dator som har kasserats vara en skattkammare för cyberattackerare. Det är möjligt att återskapa information från lagringsmedier, inklusive enheter som har raderats eller formaterats felaktigt. Lagrade lösenord och betrodda certifikat lagras ofta på datorn och är sårbara för angrepp.
Den kasserade utrustningen kan innehålla känsliga uppgifter i TPM-modulen (Trusted Platform Module). Dessa uppgifter är viktiga för en organisation eftersom de gör det möjligt att lagra känslig information, t.ex. kryptografiska nycklar, på ett säkert sätt. En social ingenjör skulle kunna utnyttja de maskinvaru-ID:n som är betrodda av en organisation för att skapa potentiella exploateringar mot deras användare.
d. Utnyttjar människors rädsla, girighet och känsla av brådska.
Social engineering-attacker är lätta att genomföra eftersom de bygger på den mänskliga faktorn. Cyberattackören kan använda charm, övertalning eller skrämseltaktik för att manipulera personens uppfattning eller utnyttja personens känslor för att få fram viktiga uppgifter om företaget.
En cyberattackör kan till exempel prata med en missnöjd anställd på ett företag för att få fram dold information som sedan kan användas för att bryta sig in i nätverket.
En missnöjd anställd kan lämna information om företaget till en angripare om han/hon anser att han/hon behandlas orättvist eller illa av sin nuvarande arbetsgivare. Den missnöjda arbetstagaren kan också ge information om företaget om han/hon inte har något annat jobb och snart kommer att bli arbetslös.
De mer avancerade metoderna för hackning innebär att man bryter sig in i ett nätverk med hjälp av mer avancerade tekniker som skadlig kod, keyloggers och trojaner. Dessa avancerade tekniker kräver mycket mer tid och ansträngning än att bara prata med en missnöjd anställd för att få fram dold information som kan användas för att bryta sig in i ett nätverk.
De sex huvudprinciperna för inflytande
Social engineering-bedrägerier utnyttjar sex specifika sårbarheter i det mänskliga psyket. Dessa sårbarheter identifieras av psykologen Robert Cialdini i hans bok "Influence: The Psychology of Persuasion" och de är följande:
➜ Ömsesidighet - Reciprocitet är en önskan att återgälda tjänster in natura. Vi tenderar att känna oss skyldiga människor som har hjälpt oss; vi känner att det är vårt ansvar att hjälpa dem. Så när någon ber oss om något - ett lösenord, tillgång till finansiella uppgifter eller något annat - är vi mer benägna att följa om personen har hjälpt oss tidigare.
➜ Engagemang och konsekvens - Vi tenderar att göra saker över tid snarare än bara en gång. Vi är mer benägna att gå med på en begäran om vi redan har gått med på en av dess delar - eller till och med flera. Om någon har bett om tillgång till dina ekonomiska handlingar tidigare är det kanske inte så farligt att be om det igen!
➜ Socialt bevis - Det är en bedrägeriteknik som bygger på det faktum att vi tenderar att följa vad människor i vår omgivning gör (även känd som "bandwagon-effekten"). Anställda kan till exempel låta sig påverkas av en hotbildare som presenterar falska bevis för att en annan anställd har uppfyllt en begäran.
➜ Gillar - Vi tycker om människor som verkar ha ansvaret, så en hackare kan skicka ett meddelande till din e-postadress som ser ut att komma från din chef eller en vän till dig, eller till och med en expert inom ett område som du är intresserad av. Meddelandet kan ha följande lydelse: "Hej! Jag vet att du arbetar med det här projektet och vi behöver lite hjälp. Kan vi träffas någon gång snart?" Det är vanligtvis en begäran om din hjälp - och genom att gå med på det ger du bort känslig information.
➜ Myndighet - Människor underkastar sig i allmänhet auktoriteter eftersom vi ser dem som de "rätta" att följa och lyda. På så sätt kan social ingenjörstaktik utnyttja vår tendens att lita på dem som verkar auktoritära för att få vad de vill ha av oss.
➜ Knapphet - Knapphet är en mänsklig instinkt som är fast inbyggd i vår hjärna. Det är känslan av att "jag behöver det här nu" eller "jag borde ha det här". Så när människor blir lurade av sociala ingenjörer kommer de att känna en känsla av brådska och vilja lämna ifrån sig sina pengar eller sin information så fort som möjligt.
Personligheter som är sårbara för social ingenjörskonst och varför?
Enligt Dr Margaret Cunningham, forskningsledare för mänskligt beteende på Forcepoint X-Lab - ett cybersäkerhetsföretag - är instämmande och extraversion de personlighetsdrag som är mest sårbara för sociala ingenjörsexploateringar.
Människor som är trevliga tenderar att vara tillitsfulla, vänliga och villiga att följa anvisningar utan att ifrågasätta dem. De är bra kandidater för nätfiskeattacker eftersom de är mer benägna att klicka på länkar eller öppna bilagor i e-postmeddelanden som verkar äkta.
Extroverta personer är också mer mottagliga för social ingenjörskonst eftersom de ofta föredrar att vara tillsammans med andra och är mer benägna att lita på andra. De är mer benägna att misstänka andras motiv än introverta personer, vilket kan leda till att de blir lurade eller manipulerade av en social ingenjör.
Personligheter som är motståndskraftiga mot social ingenjörskonst och varför?
Människor som är motståndskraftiga mot social ingenjörskonst tenderar att vara samvetsgranna, introverta och ha en hög självförmåga.
Samvetsgranna människor har störst sannolikhet att kunna motstå sociala bedrägerier genom att fokusera på sina egna behov och önskemål. De är också mindre benägna att anpassa sig till andras krav.
Introverta personer tenderar att vara mindre mottagliga för extern manipulation eftersom de tar sig tid för sig själva och gillar ensamhet, vilket innebär att de är mindre benägna att påverkas av sociala signaler eller påträngande personer som försöker påverka dem.
Självförtroende är viktigt eftersom det hjälper oss att tro på oss själva, så att vi har större tilltro till att vi kan motstå påtryckningar från andra eller yttre påverkan.
Skydda din organisation från bedrägerier genom social ingenjörskonst med PowerDMARC
Social ingenjörskonst är en metod för att manipulera anställda och kunder så att de lämnar ut känslig information som kan användas för att stjäla eller förstöra data. Tidigare har denna information erhållits genom att skicka e-postmeddelanden som ser ut att komma från legitima källor, t.ex. din bank eller din arbetsgivare. I dag är det mycket lättare att förfalska e-postadresser.
PowerDMARC hjälper till att skydda mot den här typen av angrepp genom att distribuera autentiseringsprotokoll för e-post som SPF, DKIM och DMARC p=reject policy i din miljö för att minimera risken för direkt domänförfalskning och phishing-attacker via e-post.
Om du är intresserad av att skydda dig själv, ditt företag och dina kunder från sociala ingenjörsattacker kan du anmäla dig till vår gratis DMARC-provperiod idag!
