Tag Archive for: vad är en vanlig metod som används i social ingenjörskonst?

Hur kan du skydda dig mot attacker från social ingenjörskonst?

Vid socialtekniska attacker försöker en angripare få tillgång till data eller tjänster genom att skapa relationer med personer vars förtroende de kan utnyttja. Den första försvarslinjen är att vara uppmärksam. Angriparen kan locka in dig i en konversation som mer liknar ett förhör. Det bästa sättet att skydda sig mot social ingenjörskonst är dock att veta vem man kan lita på och själv vara pålitlig. Du måste identifiera alla som kan få tillgång till ditt konto eller kan påverka det och se till att de har en bra anledning att göra det. 

Vad är en socialteknisk attack?

Socialteknisk attack är en form av hackning där en angripare försöker få åtkomst till eller information genom att utnyttja förtroende. Det är en mycket effektiv attack eftersom den utnyttjar din vilja att hjälpa människor, nyfikenhet och naivitet. En social ingenjör kan göra dig till en ovetande medbrottsling genom att använda manipulation på hög nivå för att få vad angriparen vill. Det är en form av hackning, men istället för att bryta sig in i datorer försöker sociala ingenjörer få tillgång till dem genom att lura anställda att lämna ifrån sig information eller ladda ner skadlig kod.

Hur fungerar socialtekniska attacker? Vanliga tekniker

Sociala ingenjörsattacker kan utföras per telefon, via e-post eller via textmeddelanden. En social ingenjör kan ringa ett företag och be om tillgång till ett begränsat område, eller utge sig för att vara någon annan för att få någon annan att öppna ett e-postkonto åt honom eller henne.

Sociala ingenjörer använder många olika taktiker för att uppnå sina mål. De kan till exempel hävda att de ringer från företagets helpdesk och begära fjärråtkomst så att de kan åtgärda något på din dator eller ditt nätverk. De kan också hävda att de behöver ditt lösenord eller andra personliga uppgifter, t.ex. bankuppgifter, så att de kan lösa ett problem med ditt bankkonto.

I vissa fall låtsas de sociala ingenjörerna till och med vara poliser och hotar med rättsliga åtgärder om du vägrar att tillmötesgå deras krav på information. Även om det är viktigt för företag att ta dessa hot på allvar, kom ihåg att polisen aldrig kommer att ringa upp någon och be dem om deras lösenord över telefon!

Syftet med social ingenjörskonst

Social ingenjörskonst används ofta i phishing-attacker, dvs. e-postmeddelanden som ser ut att komma från en pålitlig källa men som i själva verket syftar till att stjäla din personliga information. E-postmeddelandena innehåller vanligtvis en bilaga med skadlig programvara (ofta kallad skadlig kod) som infekterar din dator om den öppnas.

Målet med social ingenjörskonst är alltid detsamma: att få tillgång till något värdefullt utan att behöva arbeta för det. 

1. Stöld av känslig information

Sociala ingenjörer kan försöka lura dig att lämna ifrån dig ditt lösenord och dina inloggningsuppgifter (t.ex. användarnamn och e-postadress) så att de kan komma åt ditt e-postkonto eller din profil på sociala medier och stjäla personlig information som kreditkortsnummer och bankkontouppgifter från tidigare transaktioner. 

2. Identitetsstöld

De kan också använda denna information för att anta offrets identitet och utföra skadlig verksamhet genom att låtsas vara dem om de inte väljer att förstöra informationen omedelbart.

Exempel på en attack med social ingenjörskonst

Användningen av bedrägeri och list för att vinna en fördel har funnits långt innan persondatorer och World Wide Web blev allmänt tillgängliga. Men vi kan titta längre tillbaka i historien för att se några av de mest uppenbara attackerna med social ingenjörskonst.

Vid den senaste incidenten, som inträffade i februari 2020, blev en phishing med en falsk renoveringsfaktura lyckades man lura Barbara Corcoran från ABC:s "Shark Tank" på nästan 400 000 dollar.

Om du blir utsatt för social engineering-attacker är det viktigt att veta hur du kan skydda dig från att bli utsatt. Lär dig varningstecknen på ett potentiellt hot och hur du kan skydda dig.

Hur identifierar man en attack från social ingenjörskonst?

1. Lita på din magkänsla

Om du får e-post eller telefonsamtal som låter misstänkt, lämna inte ut någon information förrän du har verifierat din identitet. Det kan du göra genom att ringa företaget direkt eller genom att höra av dig till den person som förmodligen skickade e-postmeddelandet eller lämnade ett meddelande på din röstbrevlåda.

2. Lämna inte in dina personuppgifter

Om någon ber om ditt personnummer eller andra privata uppgifter är det ett tecken på att de försöker utnyttja ditt förtroende och använda det mot dig senare. Vi rekommenderar att du inte lämnar ut någon information om det inte är nödvändigt. 

3. Ovanliga framställningar utan sammanhang

Sociala ingenjörer gör vanligtvis stora förfrågningar utan att ge något sammanhang. Om någon ber om pengar eller andra resurser utan att förklara varför de behöver dem är det förmodligen något skumt på gång. Det är bättre att vara försiktig när någon gör en stor förfrågan av det här slaget - du vet aldrig vilken skada du kan göra med tillgång till ditt bankkonto!

Här är några sätt att upptäcka sociala ingenjörsattacker:

  • Du får ett e-postmeddelande från någon som påstår sig komma från IT-avdelningen och ber dig att återställa ditt lösenord och ange det i ett e-postmeddelande eller sms.
  • Du får ett e-postmeddelande från någon som påstår sig vara från din bank och ber om personlig information, t.ex. ditt kontonummer eller din PIN-kod.
  • Du får ett e-postmeddelande från någon som påstår sig vara från din bank och ber om personlig information, t.ex. ditt kontonummer eller din PIN-kod.
  • Om du blir tillfrågad om information om företaget av någon som påstår sig komma från företagets personalavdelning.

Typer av angrepp från social ingenjörskonst

Att utsätta människor för social ingenjörskonst är ett utmärkt sätt att begå bedrägerier. Det kan ske på flera olika sätt. 

Få tillgång: Hackare kan få tillgång till ditt bankkonto genom att ansöka om kredit i en annan persons namn. Bedrägeriet sker ofta via telefonsamtal eller e-post till vänner och familj, som sedan uppmanas att göra en banköverföring för att snabbt ersätta hackaren för att denne har påverkat offrets liv.

Stjäla personlig information: Ett annat vanligt sätt att lura människor att lämna ut sin personliga information är att tro att de har vunnit ett pris eller en tävling som de aldrig deltog i men registrerade sig för. Och när de får sådana samtal för att se till att de kommer att få priset när de ger sina uppgifter, är det där offren kommer upp till angriparens fälla.

Phishing: I denna attack skickar angriparna e-postmeddelanden som ser ut att komma från legitima företag eller organisationer, men som innehåller skadliga länkar eller bilagor. Dessutom är detta en av de vanligaste socialtekniska attackerna i världen.

Förevändning: En annan massiv social engineering-attack går ut på att skapa en falsk identitet eller ett falskt scenario för att få tillgång till personlig information. Ett av de mest framträdande exemplen på social ingenjörskonst är när angripare får tillgång till att manipulera människor via textmeddelanden .

Shoulder surfing: Det är en attack där angriparen tittar över någons axel för att få tillgång till konfidentiell information. Ibland är angriparen inget annat än dina nära vänner eller nära och kära som kommer att utpressa dig när de får den information de alltid velat ha. Det är därför viktigt att hålla ett öga på sådana personer och aldrig lämna ut några personliga detaljer.

Förföljande: Tailgating är när en angripare följer efter någon som är behörig att gå in i en byggnad eller ett säkert område utan att faktiskt vara behörig. Det är inte lika vanligt som andra sociala ingenjörsattacker, men det är ändå farligt och kan lämna skadliga spår.

5 sätt att skydda dig mot sociala ingenjörsattacker

Här har vi samlat några användbara tips och idéer som hjälper dig att skydda dig från sociala attacker eller förhindra sociala ingenjörsattacker:

1. Okända avsändare (e-post vs. textmeddelanden)

Var noga med avsändarens e-postadress och meddelandets innehåll. Det är viktigt att veta att du inte behöver klicka på några misstänkta dokumentlänkar. 

2. Sluta dela med dig av personlig information

Tänk efter innan du delar med dig av personlig information, t.ex. lösenord och kreditkortsnummer. Inget seriöst företag eller någon annan person bör någonsin be om denna typ av känslig information. Använd alltid starka lösenord och byt dem regelbundet. Undvik att använda samma lösenord för flera konton och rädda dig själv från att bli offer för social engineering-attacker.

3. Säkerhetsnivåer

Använd tvåfaktorsautentisering när det är möjligt. Det kan lägga till ett extra säkerhetslager genom att kräva att användarna anger en kod som skickas till deras mobiltelefon och deras användarnamn och lösenord. Ställ alltid in autentiseringskoder med din e-postadress och ditt telefonnummer så att om någon skulle få tillgång till något av systemen kan de inte använda ditt konto direkt.

4. Anti-virusprogramvara

Installera anti-malware och antivirusprogram på alla dina enheter. Håll dessa program uppdaterade så att de kan skydda dig mot de senaste hoten. När du har ett antivirusprogram installerat på dina enheter kan det dock utgöra ett utmärkt skydd mot social engineering-attacker.

5. Var alltid uppmärksam på eventuella risker

Det skulle hjälpa om du alltid övervägde riskerna. Se till att alla förfrågningar om information är korrekta genom att dubbel- och trippelkolla. Håll utkik efter nyheter om cybersäkerhet om du har drabbats av ett intrång nyligen. 

Slutsats

För att skydda dig mot social engineering-attacker, måste du lära dig att vidta försiktighetsåtgärder mot dem. Eftersom vi redan har gett dig några standardmetoder för sociala ingenjörsattacker, som har använts i flera århundraden i världen, bör du börja tillämpa försiktighetsåtgärderna nu. Social engineering-attacker kan skada en persons plus- och yrkesliv inom några sekunder. Skydda alltid dina enheter, lösenord och andra inloggningar med två verifieringskoder för autentisering av uppställning för ett yttre skyddslager.

Innan du gör något annat bör du prata med en betrodd IT-expert eller säkerhetsexpert, t.ex. PowerDMARC. De kan hjälpa dig att förstå riskerna med sociala ingenjörsattacker och hur du kan minimera dem.

social ingenjörskonst

/av

Typer av sociala ingenjörsattacker 2022

Innan vi går in på de typer av sociala ingenjörsattacker som offer faller offer för dagligen, tillsammans med kommande attacker som har tagit internet med storm, ska vi först kortfattat gå in på vad social ingenjörskonst handlar om. 

För att förklara det i lekmannatermer hänvisar social ingenjörskonst till en taktik för cyberattacker där hotbildare använder psykologisk manipulation för att utnyttja sina offer och lura dem.

Social ingenjörskonst: Definition och exempel

Vad är en social ingenjörsattack?

Till skillnad från cyberkriminella som hackar sig in i din dator eller ditt e-postsystem, är social engineering-attacker iscensatta genom att försöka påverka offrets åsikter för att få dem att avslöja känslig information. Säkerhetsanalytiker har bekräftat att mer än 70 % av de cyberattacker som äger rum på internet varje år är social engineering-attacker.

Exempel på social ingenjörskonst

Ta en titt på exemplet nedan:

social ingenjörskonst

 

Här kan vi se en annons på nätet som lockar offret med ett löfte om att tjäna 1000 dollar i timmen. Annonsen innehåller en skadlig länk som kan initiera en installation av skadlig kod på deras system. 

Den här typen av angrepp är allmänt känd som Online Baiting eller helt enkelt Baiting och är en form av social ingenjörsattack. 

Nedan följer ett annat exempel:

social ingenjörskonst

Som framgår ovan kan sociala ingenjörsattacker också utföras med hjälp av e-post som ett kraftfullt medium. Ett vanligt exempel på detta är en Phishing-attack. Vi kommer att gå in mer i detalj på dessa attacker i nästa avsnitt.

Typer av sociala ingenjörsattacker

1. Vishing och Smishing

social ingenjörskonst

Antag att du idag får ett SMS från din bank (förmodligen) där du uppmanas att bekräfta din identitet genom att klicka på en länk, annars kommer ditt konto att stängas av. Detta är ett mycket vanligt meddelande som ofta sprids av cyberkriminella för att lura intet ont anande människor. När du klickar på länken omdirigeras du till en falsk sida som kräver dina bankuppgifter. Du kan vara säker på att om det slutar med att du lämnar dina bankuppgifter till angriparna kommer de att tömma ditt konto. 

Vishing eller Voice phishing initieras också genom telefonsamtal i stället för SMS.

2. Beteende på nätet / Beteende 

social ingenjörskonst

Varje dag stöter vi på en rad olika annonser på nätet när vi surfar på webbplatser. De flesta av dem är ofarliga och autentiska, men det kan finnas några dåliga äpplen som gömmer sig i mängden. Detta kan enkelt identifieras genom att upptäcka annonser som verkar för bra för att vara sanna. De har vanligtvis löjliga påståenden och lockelser som att man kan vinna jackpotten eller få en enorm rabatt.

Kom ihåg att detta kan vara en fälla (även kallad a bete). Om något verkar vara för bra för att vara sant är det förmodligen så. Därför är det bättre att undvika misstänkta annonser på internet och att inte klicka på dem.

3. Phishing

Sociala ingenjörsattacker utförs oftast via e-post och kallas för Phishing. Phishing-attacker har orsakat förödelse på global nivå nästan lika länge som e-post har funnits. Sedan 2020 har antalet nätfiskeattacker ökat kraftigt på grund av en ökning av e-postkommunikationen, vilket har lett till att stora och små organisationer har blivit lurade och fått rubriker varje dag. 

Phishing-attacker kan kategoriseras som Spear phishing, whaling och CEO-bedrägeri, vilket innebär att man utger sig för att vara specifik anställd inom en organisation, beslutsfattare i företaget respektive VD.

4. Romanskt bedrägeri

Federal Bureau of Investigation (FBI) definierar internetromantikbedrägerier som "bedrägerier som uppstår när en brottsling antar en falsk identitet på nätet för att vinna offrets kärlek och förtroende". Bedragaren använder sedan illusionen av en romantisk eller nära relation för att manipulera och/eller stjäla från offret." 

Romance scams hör till typen av social engineering-attacker eftersom angriparna använder manipulativa taktiker för att skapa en nära romantisk relation med offren innan de agerar på sin huvudsakliga agenda, dvs. att lura dem. År 2021 tog Romance scams förstaplatsen som årets mest ekonomiskt skadliga cyberattack, tätt följt av ransomware.

5. Spoofing

Domänförfalskning är en mycket utvecklad form av social ingenjörsattack. Detta innebär att en angripare förfalskar en legitim företagsdomän för att skicka e-post till kunder på uppdrag av den avsändande organisationen. Angriparen manipulerar offren att tro att e-postmeddelandet kommer från en autentisk källa, dvs. ett företag vars tjänster de litar på. 

Spoofing-attacker är svåra att spåra eftersom e-postmeddelanden skickas från företagets egen domän. Det finns dock sätt att lösa problemen. En av de populära metoder som används och rekommenderas av branschexperter är att minimera spoofing med hjälp av en DMARC installation.

6. Förhandsbesked

Pretexting kan kallas en föregångare till en social ingenjörsattack. Det är när en angripare skapar en hypotetisk historia för att stödja sitt krav på känslig företagsinformation. I de flesta fall sker pretexting via telefonsamtal, där en angripare utger sig för att vara en kund eller anställd och kräver känslig information från företaget.

Vilken är en vanlig metod som används vid social ingenjörskonst?

Den vanligaste metoden för social ingenjörskonst är Phishing. Låt oss ta en titt på lite statistik för att bättre förstå hur Phishing är ett växande globalt hot:

  • I CISCO:s rapport 2021 Cybersecurity Threat Trends framhålls att hela 90 % av dataintrången sker som ett resultat av nätfiske.
  • I sin rapport om kostnaderna för dataintrång från 2021 tilldelade IBM phishing titeln som den mest ekonomiskt kostsamma angreppsvektorn.
  • Enligt FBI ökar antalet phishing-attacker med 400 % för varje år.

Hur skyddar du dig mot Social Engineering-attacker?

Protokoll och verktyg som du kan konfigurera: 

  • Använd protokoll för autentisering av e-post i din organisation, t.ex. SPF, DKIM och DMARC. Börja med att skapa en gratis DMARC-post idag med vår DMARC-postgenerator.
  • Genomdriva din DMARC-policy till p=reject för att minimera direkta domänförfalskningar och nätfiskeattacker.
  • Se till att ditt datorsystem är skyddat med hjälp av ett antivirusprogram.

Personliga åtgärder som du kan vidta:

  • Öka medvetenheten i din organisation om vanliga typer av sociala ingenjörsattacker, angreppsvektorer och varningssignaler.
  • Utbilda dig om angreppsvektorer och angreppstyper. Besök vår kunskapsbank, skriv "phishing" i sökfältet, tryck på enter och börja lära dig idag!  
  • Lämna aldrig konfidentiell information på externa webbplatser.
  • Aktivera program för identifiering av nummerpresentatörer på din mobila enhet.
  • Kom alltid ihåg att din bank aldrig kommer att be dig att lämna dina kontouppgifter och ditt lösenord via e-post, SMS eller samtal.
  • Kontrollera alltid e-postadresserna från och returadresser i dina e-postmeddelanden för att se till att de stämmer överens. 
  • Klicka aldrig på misstänkta e-postbilagor eller länkar innan du är 100 % säker på att källan är äkta.
  • Tänk dig för innan du litar på personer som du umgås med på nätet och som du inte känner i verkligheten.
  • Besök inte webbplatser som inte är säkrade via en HTTPS-anslutning (t.ex. http://domain.com).

social ingenjörskonst

/av