Inlägg

Cyberattackerare använder sig av Social Engineering-attacker som är en typ av attack som riktar sig mot den mänskliga faktorn snarare än mot datorsystemet och dess programvara. Angriparen försöker lura en person att utföra en handling som gör det möjligt för honom att få tillgång till offrets dator.

En av de vanligaste typerna av denna typ av attack är en man-in-the-middle-attack. En man-in-the-middle-attack inträffar när en angripare utger sig för att vara någon annan för att lura offren att tro att de talar direkt med varandra via normaliserande protokoll som interaktiv röstsvar, e-post, direktmeddelanden och webbkonferenser.

Hacking genom mänsklig manipulation är lättare att utföra än hackning direkt från en extern källa. I den här artikeln diskuteras varför SE-attacker ökar och varför cyberattackerare ofta använder sig av denna taktik.

Varför använder cyberattackerare sig av social ingenjörskonst: Troliga orsaker och skäl

Sociala ingenjörsattacker är en av de mest populära och effektiva metoderna som används av hackare idag. Dessa attacker utnyttjar ofta relationer mellan människor, t.ex. förtroende och förtrogenhet hos anställda eller fysisk närhet mellan anställda och kunder.

a. Den mänskliga faktorn är den svagaste länken i traditionell säkerhet

Attacker tenderar att bli effektivare när de bygger på mänsklig interaktion, vilket innebär att tekniken inte kan skydda oss från dem.

Allt en angripare behöver är lite information om måltavlans vanor eller preferenser och lite kreativitet i hur de presenterar sig för offret.

Detta leder till att angriparna får vad de vill ha utan att behöva ta till mer komplicerade tekniker, som att hacka sig in i en organisations nätverk eller bryta sig in i ett företags system.

b. Det finns inget behov av avancerade hackningstekniker

Social engineering-attacker utnyttjar människors förtroende för att få tillgång till ett system eller nätverk. Dessa attacker är effektiva eftersom det är lätt för en angripare att få tillgång till ett nätverk, i stället för att använda avancerade hackningstekniker för att med våld ta sig in i ett nätverk.

När en angripare gör detta använder de vanligtvis psykologiskt manipulativa tekniker som phishing, spear phishing och pretexting.

➜ Phishing är när en angripare skickar e-postmeddelanden som ser legitima ut, men som är utformade för att lura användare att lämna ut personliga uppgifter som lösenord eller kreditkortsuppgifter.

➜ Spear phishing är när en angripare använder samma metoder som phishing men med mer avancerade tekniker, t.ex. genom att utge sig för att vara någon annan för att lura dig att lämna ut din information.

➜ Pretexting innebär att en angripare använder sig av förespeglingar för att vinna offrens förtroende innan han eller hon försöker stjäla från dem.

När angriparna väl har fått tillgång till ditt system eller nätverk kan de göra vad de vill där, till exempel installera program, ändra filer eller till och med radera dem, utan att bli upptäckta av ett säkerhetssystem eller en administratör som skulle kunna hindra dem från att göra detta om de visste vad som hände i deras nätverk!

c. Det är lättare att dyka i containrar än att forcera sig in i ett nätverk med hjälp av Brute Forcing

Dumpster diving är att hämta information från kasserat material för att utföra sociala ingenjörsattacker. Tekniken går ut på att leta i soporna efter skatter som åtkomstkoder eller lösenord som skrivits ner på klisterlappar. Dumpster diving gör det lätt att utföra sådana aktiviteter eftersom det gör det möjligt för hackaren att få tillgång till nätverket utan att behöva bryta sig in.

Den information som dumpster dykare gräver fram kan vara alltifrån vardaglig information, som en telefonlista eller kalender, till mer till synes oskyldiga uppgifter som ett organisationsschema. Men denna till synes oskyldiga information kan hjälpa en angripare att med hjälp av social ingenjörskonst få tillgång till nätverket.

Dessutom kan en dator som har kasserats vara en skattkammare för cyberattackerare. Det är möjligt att återskapa information från lagringsmedier, inklusive enheter som har raderats eller formaterats felaktigt. Lagrade lösenord och betrodda certifikat lagras ofta på datorn och är sårbara för angrepp.

Den kasserade utrustningen kan innehålla känsliga uppgifter i TPM-modulen (Trusted Platform Module). Dessa uppgifter är viktiga för en organisation eftersom de gör det möjligt att lagra känslig information, t.ex. kryptografiska nycklar, på ett säkert sätt. En social ingenjör skulle kunna utnyttja de maskinvaru-ID:n som är betrodda av en organisation för att skapa potentiella exploateringar mot deras användare.

d. Utnyttjar människors rädsla, girighet och känsla av brådska.

Social engineering-attacker är lätta att genomföra eftersom de bygger på den mänskliga faktorn. Cyberattackören kan använda charm, övertalning eller skrämseltaktik för att manipulera personens uppfattning eller utnyttja personens känslor för att få fram viktiga uppgifter om företaget.

En cyberattackör kan till exempel prata med en missnöjd anställd på ett företag för att få fram dold information som sedan kan användas för att bryta sig in i nätverket.

En missnöjd anställd kan lämna information om företaget till en angripare om han/hon anser att han/hon behandlas orättvist eller illa av sin nuvarande arbetsgivare. Den missnöjda arbetstagaren kan också ge information om företaget om han/hon inte har något annat jobb och snart kommer att bli arbetslös.

De mer avancerade metoderna för hackning innebär att man bryter sig in i ett nätverk med hjälp av mer avancerade tekniker som skadlig kod, keyloggers och trojaner. Dessa avancerade tekniker kräver mycket mer tid och ansträngning än att bara prata med en missnöjd anställd för att få fram dold information som kan användas för att bryta sig in i ett nätverk.

De sex huvudprinciperna för inflytande

Social engineering-bedrägerier utnyttjar sex specifika sårbarheter i det mänskliga psyket. Dessa sårbarheter identifieras av psykologen Robert Cialdini i hans bok "Influence: The Psychology of Persuasion" och de är följande:

Ömsesidighet - Reciprocitet är en önskan att återgälda tjänster in natura. Vi tenderar att känna oss skyldiga människor som har hjälpt oss; vi känner att det är vårt ansvar att hjälpa dem. Så när någon ber oss om något - ett lösenord, tillgång till finansiella uppgifter eller något annat - är vi mer benägna att följa om personen har hjälpt oss tidigare.

Engagemang och konsekvens - Vi tenderar att göra saker över tid snarare än bara en gång. Vi är mer benägna att gå med på en begäran om vi redan har gått med på en av dess delar - eller till och med flera. Om någon har bett om tillgång till dina ekonomiska handlingar tidigare är det kanske inte så farligt att be om det igen!

Socialt bevis - Det är en bedrägeriteknik som bygger på det faktum att vi tenderar att följa vad människor i vår omgivning gör (även känd som "bandwagon-effekten"). Anställda kan till exempel låta sig påverkas av en hotbildare som presenterar falska bevis för att en annan anställd har uppfyllt en begäran.

Gillar - Vi tycker om människor som verkar ha ansvaret, så en hackare kan skicka ett meddelande till din e-postadress som ser ut att komma från din chef eller en vän till dig, eller till och med en expert inom ett område som du är intresserad av. Meddelandet kan ha följande lydelse: "Hej! Jag vet att du arbetar med det här projektet och vi behöver lite hjälp. Kan vi träffas någon gång snart?" Det är vanligtvis en begäran om din hjälp - och genom att gå med på det ger du bort känslig information.

Myndighet - Människor underkastar sig i allmänhet auktoriteter eftersom vi ser dem som de "rätta" att följa och lyda. På så sätt kan social ingenjörstaktik utnyttja vår tendens att lita på dem som verkar auktoritära för att få vad de vill ha av oss.

Knapphet - Knapphet är en mänsklig instinkt som är fast inbyggd i vår hjärna. Det är känslan av att "jag behöver det här nu" eller "jag borde ha det här". Så när människor blir lurade av sociala ingenjörer kommer de att känna en känsla av brådska och vilja lämna ifrån sig sina pengar eller sin information så fort som möjligt.

Personligheter som är sårbara för social ingenjörskonst och varför?

Enligt Dr Margaret Cunningham, forskningsledare för mänskligt beteende på Forcepoint X-Lab - ett cybersäkerhetsföretag - är instämmande och extraversion de personlighetsdrag som är mest sårbara för sociala ingenjörsexploateringar.

Människor som är trevliga tenderar att vara tillitsfulla, vänliga och villiga att följa anvisningar utan att ifrågasätta dem. De är bra kandidater för nätfiskeattacker eftersom de är mer benägna att klicka på länkar eller öppna bilagor i e-postmeddelanden som verkar äkta.

Extroverta personer är också mer mottagliga för social ingenjörskonst eftersom de ofta föredrar att vara tillsammans med andra och är mer benägna att lita på andra. De är mer benägna att misstänka andras motiv än introverta personer, vilket kan leda till att de blir lurade eller manipulerade av en social ingenjör.

Personligheter som är motståndskraftiga mot social ingenjörskonst och varför?

Människor som är motståndskraftiga mot social ingenjörskonst tenderar att vara samvetsgranna, introverta och ha en hög självförmåga.

Samvetsgranna människor har störst sannolikhet att kunna motstå sociala bedrägerier genom att fokusera på sina egna behov och önskemål. De är också mindre benägna att anpassa sig till andras krav.

Introverta personer tenderar att vara mindre mottagliga för extern manipulation eftersom de tar sig tid för sig själva och gillar ensamhet, vilket innebär att de är mindre benägna att påverkas av sociala signaler eller påträngande personer som försöker påverka dem.

Självförtroende är viktigt eftersom det hjälper oss att tro på oss själva, så att vi har större tilltro till att vi kan motstå påtryckningar från andra eller yttre påverkan.

Skydda din organisation från bedrägerier genom social ingenjörskonst med PowerDMARC

Social ingenjörskonst är en metod för att manipulera anställda och kunder så att de lämnar ut känslig information som kan användas för att stjäla eller förstöra data. Tidigare har denna information erhållits genom att skicka e-postmeddelanden som ser ut att komma från legitima källor, t.ex. din bank eller din arbetsgivare. I dag är det mycket lättare att förfalska e-postadresser.

PowerDMARC hjälper till att skydda mot den här typen av angrepp genom att distribuera autentiseringsprotokoll för e-post som SPF, DKIM och DMARC p=reject policy i din miljö för att minimera risken för direkt domänförfalskning och phishing-attacker via e-post.

Om du är intresserad av att skydda dig själv, ditt företag och dina kunder från sociala ingenjörsattacker kan du anmäla dig till vår gratis DMARC-provperiod idag!

Innan vi går in på de typer av sociala ingenjörsattacker som offer faller offer för dagligen, tillsammans med kommande attacker som har tagit internet med storm, ska vi först kortfattat gå in på vad social ingenjörskonst handlar om. 

För att förklara det i lekmannatermer hänvisar social ingenjörskonst till en taktik för cyberattacker där hotbildare använder psykologisk manipulation för att utnyttja sina offer och lura dem.

Social ingenjörskonst: Definition och exempel

Vad är en social ingenjörsattack?

Till skillnad från cyberkriminella som hackar sig in i din dator eller ditt e-postsystem, är social engineering-attacker iscensatta genom att försöka påverka offrets åsikter för att få dem att avslöja känslig information. Säkerhetsanalytiker har bekräftat att mer än 70 % av de cyberattacker som äger rum på internet varje år är social engineering-attacker.

Exempel på social ingenjörskonst

Ta en titt på exemplet nedan:

 

Här kan vi se en annons på nätet som lockar offret med ett löfte om att tjäna 1000 dollar i timmen. Annonsen innehåller en skadlig länk som kan initiera en installation av skadlig kod på deras system. 

Den här typen av angrepp är allmänt känd som Online Baiting eller helt enkelt Baiting och är en form av social ingenjörsattack. 

Nedan följer ett annat exempel:

Som framgår ovan kan sociala ingenjörsattacker också utföras med hjälp av e-post som ett kraftfullt medium. Ett vanligt exempel på detta är en Phishing-attack. Vi kommer att gå in mer i detalj på dessa attacker i nästa avsnitt.

Typer av sociala ingenjörsattacker

1. Vishing och Smishing

Antag att du idag får ett SMS från din bank (förmodligen) där du uppmanas att bekräfta din identitet genom att klicka på en länk, annars kommer ditt konto att stängas av. Detta är ett mycket vanligt meddelande som ofta sprids av cyberkriminella för att lura intet ont anande människor. När du klickar på länken omdirigeras du till en falsk sida som kräver dina bankuppgifter. Du kan vara säker på att om det slutar med att du lämnar dina bankuppgifter till angriparna kommer de att tömma ditt konto. 

Vishing eller Voice phishing initieras också genom telefonsamtal i stället för SMS.

2. Beteende på nätet / Beteende 

Varje dag stöter vi på en rad olika annonser på nätet när vi surfar på webbplatser. De flesta av dem är ofarliga och autentiska, men det kan finnas några dåliga äpplen som gömmer sig i mängden. Detta kan enkelt identifieras genom att upptäcka annonser som verkar för bra för att vara sanna. De har vanligtvis löjliga påståenden och lockelser som att man kan vinna jackpotten eller få en enorm rabatt.

Kom ihåg att detta kan vara en fälla (även kallad a bete). Om något verkar vara för bra för att vara sant är det förmodligen så. Därför är det bättre att undvika misstänkta annonser på internet och att inte klicka på dem.

3. Phishing

Sociala ingenjörsattacker utförs oftast via e-post och kallas för Phishing. Phishing-attacker har orsakat förödelse på global nivå nästan lika länge som e-post har funnits. Sedan 2020 har antalet nätfiskeattacker ökat kraftigt på grund av en ökning av e-postkommunikationen, vilket har lett till att stora och små organisationer har blivit lurade och fått rubriker varje dag. 

Phishing-attacker kan kategoriseras som Spear phishing, whaling och CEO-bedrägeri, vilket innebär att man utger sig för att vara specifik anställd inom en organisation, beslutsfattare i företaget respektive VD.

4. Romanskt bedrägeri

Federal Bureau of Investigation (FBI) definierar internetromantikbedrägerier som "bedrägerier som uppstår när en brottsling antar en falsk identitet på nätet för att vinna offrets kärlek och förtroende". Bedragaren använder sedan illusionen av en romantisk eller nära relation för att manipulera och/eller stjäla från offret." 

Romance scams hör till typen av social engineering-attacker eftersom angriparna använder manipulativa taktiker för att skapa en nära romantisk relation med offren innan de agerar på sin huvudsakliga agenda, dvs. att lura dem. År 2021 tog Romance scams förstaplatsen som årets mest ekonomiskt skadliga cyberattack, tätt följt av ransomware.

5. Spoofing

Domänförfalskning är en mycket utvecklad form av social ingenjörsattack. Detta innebär att en angripare förfalskar en legitim företagsdomän för att skicka e-post till kunder på uppdrag av den avsändande organisationen. Angriparen manipulerar offren att tro att e-postmeddelandet kommer från en autentisk källa, dvs. ett företag vars tjänster de litar på. 

Spoofing-attacker är svåra att spåra eftersom e-postmeddelanden skickas från företagets egen domän. Det finns dock sätt att lösa problemen. En av de populära metoder som används och rekommenderas av branschexperter är att minimera spoofing med hjälp av en DMARC installation.

6. Förhandsbesked

Pretexting kan kallas en föregångare till en social ingenjörsattack. Det är när en angripare skapar en hypotetisk historia för att stödja sitt krav på känslig företagsinformation. I de flesta fall sker pretexting via telefonsamtal, där en angripare utger sig för att vara en kund eller anställd och kräver känslig information från företaget.

Vilken är en vanlig metod som används vid social ingenjörskonst?

Den vanligaste metoden för social ingenjörskonst är Phishing. Låt oss ta en titt på lite statistik för att bättre förstå hur Phishing är ett växande globalt hot:

  • I CISCO:s rapport 2021 Cybersecurity Threat Trends framhålls att hela 90 % av dataintrången sker som ett resultat av nätfiske.
  • I sin rapport om kostnaderna för dataintrång från 2021 tilldelade IBM phishing titeln som den mest ekonomiskt kostsamma angreppsvektorn.
  • Enligt FBI ökar antalet phishing-attacker med 400 % för varje år.

Hur skyddar du dig mot Social Engineering-attacker?

Protokoll och verktyg som du kan konfigurera: 

  • Använd protokoll för autentisering av e-post i din organisation, t.ex. SPF, DKIM och DMARC. Börja med att skapa en gratis DMARC-post idag med vår DMARC-postgenerator.
  • Genomdriva din DMARC-policy till p=reject för att minimera direkta domänförfalskningar och nätfiskeattacker.
  • Se till att ditt datorsystem är skyddat med hjälp av ett antivirusprogram.

Personliga åtgärder som du kan vidta:

  • Öka medvetenheten i din organisation om vanliga typer av sociala ingenjörsattacker, angreppsvektorer och varningssignaler.
  • Utbilda dig om angreppsvektorer och angreppstyper. Besök vår kunskapsbank, skriv "phishing" i sökfältet, tryck på enter och börja lära dig idag!  
  • Lämna aldrig konfidentiell information på externa webbplatser.
  • Aktivera program för identifiering av nummerpresentatörer på din mobila enhet.
  • Kom alltid ihåg att din bank aldrig kommer att be dig att lämna dina kontouppgifter och ditt lösenord via e-post, SMS eller samtal.
  • Kontrollera alltid e-postadresserna från och returadresser i dina e-postmeddelanden för att se till att de stämmer överens. 
  • Klicka aldrig på misstänkta e-postbilagor eller länkar innan du är 100 % säker på att källan är äkta.
  • Tänk dig för innan du litar på personer som du umgås med på nätet och som du inte känner i verkligheten.
  • Besök inte webbplatser som inte är säkrade via en HTTPS-anslutning (t.ex. http://domain.com).