Inlägg

Innan vi går in på de typer av sociala ingenjörsattacker som offer faller offer för dagligen, tillsammans med kommande attacker som har tagit internet med storm, ska vi först kortfattat gå in på vad social ingenjörskonst handlar om. 

För att förklara det i lekmannatermer hänvisar social ingenjörskonst till en taktik för cyberattacker där hotbildare använder psykologisk manipulation för att utnyttja sina offer och lura dem.

Social ingenjörskonst: Definition och exempel

Vad är en social ingenjörsattack?

Till skillnad från cyberkriminella som hackar sig in i din dator eller ditt e-postsystem, är social engineering-attacker iscensatta genom att försöka påverka offrets åsikter för att få dem att avslöja känslig information. Säkerhetsanalytiker har bekräftat att mer än 70 % av de cyberattacker som äger rum på internet varje år är social engineering-attacker.

Exempel på social ingenjörskonst

Ta en titt på exemplet nedan:

 

Här kan vi se en annons på nätet som lockar offret med ett löfte om att tjäna 1000 dollar i timmen. Annonsen innehåller en skadlig länk som kan initiera en installation av skadlig kod på deras system. 

Den här typen av angrepp är allmänt känd som Online Baiting eller helt enkelt Baiting och är en form av social ingenjörsattack. 

Nedan följer ett annat exempel:

Som framgår ovan kan sociala ingenjörsattacker också utföras med hjälp av e-post som ett kraftfullt medium. Ett vanligt exempel på detta är en Phishing-attack. Vi kommer att gå in mer i detalj på dessa attacker i nästa avsnitt.

Typer av sociala ingenjörsattacker

1. Vishing och Smishing

Antag att du idag får ett SMS från din bank (förmodligen) där du uppmanas att bekräfta din identitet genom att klicka på en länk, annars kommer ditt konto att stängas av. Detta är ett mycket vanligt meddelande som ofta sprids av cyberkriminella för att lura intet ont anande människor. När du klickar på länken omdirigeras du till en falsk sida som kräver dina bankuppgifter. Du kan vara säker på att om det slutar med att du lämnar dina bankuppgifter till angriparna kommer de att tömma ditt konto. 

Vishing eller Voice phishing initieras också genom telefonsamtal i stället för SMS.

2. Beteende på nätet / Beteende 

Varje dag stöter vi på en rad olika annonser på nätet när vi surfar på webbplatser. De flesta av dem är ofarliga och autentiska, men det kan finnas några dåliga äpplen som gömmer sig i mängden. Detta kan enkelt identifieras genom att upptäcka annonser som verkar för bra för att vara sanna. De har vanligtvis löjliga påståenden och lockelser som att man kan vinna jackpotten eller få en enorm rabatt.

Kom ihåg att detta kan vara en fälla (även kallad a bete). Om något verkar vara för bra för att vara sant är det förmodligen så. Därför är det bättre att undvika misstänkta annonser på internet och att inte klicka på dem.

3. Phishing

Sociala ingenjörsattacker utförs oftast via e-post och kallas för Phishing. Phishing-attacker har orsakat förödelse på global nivå nästan lika länge som e-post har funnits. Sedan 2020 har antalet nätfiskeattacker ökat kraftigt på grund av en ökning av e-postkommunikationen, vilket har lett till att stora och små organisationer har blivit lurade och fått rubriker varje dag. 

Phishing-attacker kan kategoriseras som Spear phishing, whaling och CEO-bedrägeri, vilket innebär att man utger sig för att vara specifik anställd inom en organisation, beslutsfattare i företaget respektive VD.

4. Romanskt bedrägeri

Federal Bureau of Investigation (FBI) definierar internetromantikbedrägerier som "bedrägerier som uppstår när en brottsling antar en falsk identitet på nätet för att vinna offrets kärlek och förtroende". Bedragaren använder sedan illusionen av en romantisk eller nära relation för att manipulera och/eller stjäla från offret." 

Romance scams hör till typen av social engineering-attacker eftersom angriparna använder manipulativa taktiker för att skapa en nära romantisk relation med offren innan de agerar på sin huvudsakliga agenda, dvs. att lura dem. År 2021 tog Romance scams förstaplatsen som årets mest ekonomiskt skadliga cyberattack, tätt följt av ransomware.

5. Spoofing

Domänförfalskning är en mycket utvecklad form av social ingenjörsattack. Detta innebär att en angripare förfalskar en legitim företagsdomän för att skicka e-post till kunder på uppdrag av den avsändande organisationen. Angriparen manipulerar offren att tro att e-postmeddelandet kommer från en autentisk källa, dvs. ett företag vars tjänster de litar på. 

Spoofing-attacker är svåra att spåra eftersom e-postmeddelanden skickas från företagets egen domän. Det finns dock sätt att lösa problemen. En av de populära metoder som används och rekommenderas av branschexperter är att minimera spoofing med hjälp av en DMARC installation.

6. Förhandsbesked

Pretexting kan kallas en föregångare till en social ingenjörsattack. Det är när en angripare skapar en hypotetisk historia för att stödja sitt krav på känslig företagsinformation. I de flesta fall sker pretexting via telefonsamtal, där en angripare utger sig för att vara en kund eller anställd och kräver känslig information från företaget.

Vilken är en vanlig metod som används vid social ingenjörskonst?

Den vanligaste metoden för social ingenjörskonst är Phishing. Låt oss ta en titt på lite statistik för att bättre förstå hur Phishing är ett växande globalt hot:

  • I CISCO:s rapport 2021 Cybersecurity Threat Trends framhålls att hela 90 % av dataintrången sker som ett resultat av nätfiske.
  • I sin rapport om kostnaderna för dataintrång från 2021 tilldelade IBM phishing titeln som den mest ekonomiskt kostsamma angreppsvektorn.
  • Enligt FBI ökar antalet phishing-attacker med 400 % för varje år.

Hur skyddar du dig mot Social Engineering-attacker?

Protokoll och verktyg som du kan konfigurera: 

  • Använd protokoll för autentisering av e-post i din organisation, t.ex. SPF, DKIM och DMARC. Börja med att skapa en gratis DMARC-post idag med vår DMARC-postgenerator.
  • Genomdriva din DMARC-policy till p=reject för att minimera direkta domänförfalskningar och nätfiskeattacker.
  • Se till att ditt datorsystem är skyddat med hjälp av ett antivirusprogram.

Personliga åtgärder som du kan vidta:

  • Öka medvetenheten i din organisation om vanliga typer av sociala ingenjörsattacker, angreppsvektorer och varningssignaler.
  • Utbilda dig om angreppsvektorer och angreppstyper. Besök vår kunskapsbank, skriv "phishing" i sökfältet, tryck på enter och börja lära dig idag!  
  • Lämna aldrig konfidentiell information på externa webbplatser.
  • Aktivera program för identifiering av nummerpresentatörer på din mobila enhet.
  • Kom alltid ihåg att din bank aldrig kommer att be dig att lämna dina kontouppgifter och ditt lösenord via e-post, SMS eller samtal.
  • Kontrollera alltid e-postadresserna från och returadresser i dina e-postmeddelanden för att se till att de stämmer överens. 
  • Klicka aldrig på misstänkta e-postbilagor eller länkar innan du är 100 % säker på att källan är äkta.
  • Tänk dig för innan du litar på personer som du umgås med på nätet och som du inte känner i verkligheten.
  • Besök inte webbplatser som inte är säkrade via en HTTPS-anslutning (t.ex. http://domain.com).