Cyberkriminelle har i stigende grad anvendt den "menneskelige faktor", også kaldet social engineering, med stor effekt, når de gennemfører et cyberangreb. Flere undersøgelser viser, at dette ikke blot er rygter, og at social engineering er en vellykket cyberangrebsteknik: data fra PurpleSec's sikkerhedsundersøgelser viste f.eks., at 98 % af cyberangreb er baseret på social engineering.
Cyberkriminelle har gjort vores medarbejdere til frontlinjen for cyberangreb: de er målrettet mod dem ved hjælp af ondsindede e-mails, narrer dem med falske telefonopkald og manipulerer generelt deres adfærd.
Ved at uddanne vores medarbejdere om social engineering-taktikker og -teknikker giver en virksomhed dem mulighed for at bekæmpe svindlere. Men visse bedste praksis skal følges for at sikre et vellykket program for social engineering-uddannelse.
Her er MetaCompliance-guiden til uddannelse af medarbejdere om social engineering:
Hvad er social engineering?
Social engineering er i forbindelse med cybersikkerhed en teknik eller en række teknikker, der bruges til at manipulere et menneske til at gøre noget, der er til gavn for en cyberkriminel.
Der er mange tricks til social engineers, og de kan ændre sig med tiden, efterhånden som cyberkriminelle optimerer deres taktik. Resultatet af social engineering er at narre medarbejdere (eller offentligheden) til at udlevere følsomme data, f.eks. loginoplysninger, eller overføre penge til en svindler, eller begå en fejltagelse, f.eks. at klikke på et phishing-link.
Social engineering er typisk en trinvis teknik, der involverer:
- Overvågning: Informationsindsamling er en vigtig del af et socialt manipuleret cyberangreb. Der indsamles personlige og forretningsmæssige oplysninger om de ansatte, der er målet, og målene er typisk dem, der arbejder inden for områder som f.eks. kreditor- eller it-administration.
- Forbedring af målet: De oplysninger, der indsamles under overvågningen, bruges til at opbygge relationer til den ansatte, der er målet. Nogle svindlere ringer endda til medarbejderen for at skabe et venskabeligt forhold til ham eller hende, så han eller hun kan blive udnyttet.
- Udnyttelse af mærket: Dette er en vigtig del af det socialt manipulerede cyberangreb, der bygger på det forhold, der er udviklet ved hjælp af de indsamlede oplysninger. Dette forhold udnyttes til at udføre angrebet, f.eks. ved at modtage et brugernavn og en adgangskode over telefonen eller ved at åbne en inficeret vedhæftet fil i en e-mail.
- Fuldførelse af hacket: Udnyttelsesfasen lægger grunden til at gennemføre den centrale del af cyberangrebet. En erfaren social engineer vil være i stand til at gå væk fra cyberangrebet vel vidende, at det vil tage noget tid, før medarbejderen eller virksomheden opdager, at de er blevet udnyttet.
Eksempler på social engineering
Social engineering findes i mange former, der omfatter både low-tech, high-tech og ofte hybrider af begge dele. Nogle eksempler viser de forskellige måder, hvorpå vores medarbejdere bliver socialt manipuleret:
Massivt social engineering-angreb mod Google og Facebook
Business Email Compromise (BEC) er et svindelnummer, der bruger social engineering til at narre en medarbejder til at sende en virksomhedsbetaling til svindleren, ofte med store beløb som følge.
I 2019 stjal en massiv BEC-svindel omkring 100 millioner dollars fra virksomheder, herunder Google og Facebook. Svindlerne skabte en falsk virksomhed med et navn, der lignede et legitimt firma, som målvirksomhederne handlede med. Herfra sendte de spear-phishing-e-mails ud til specifikke medarbejdere og agenter i offervirksomhederne.
For at få viden om, hvilke medarbejdere de skal gå efter, bruger svindlere typisk overvågningsteknikker for at forstå, hvordan de bedst kan manipulere medarbejderens adfærd.
Microsoft 365-svindel
Varemærker som Microsoft 365 bruges ofte til at social engineer og snyde medarbejdere.
Et nyligt angreb, der involverede Microsoft 365, blev oprettet for at stjæle medarbejdernes loginoplysninger. I dette cyberangreb brugte svindlerne teknikker til at omgå e-mail-gateways, så phishing-e-mails kunne ende i en målmedarbejders indbakke og ligne en tilsyneladende legitim Microsoft 365-mail. Phishing-e-mailen brugte en emnelinje om en "prisrevision" og indeholdt et Excel-regneark som vedhæftet fil. Tricket var, at "regnearket" i virkeligheden var en skjult .html-fil. Filen omdirigerede alle, der åbnede den, til et websted, hvor de blev bedt om at indtaste deres loginoplysninger til Microsoft 365.
5 bedste metoder til at undervise medarbejdere om social engineering
Når du er klar til at uddanne dine medarbejdere om social engineering, er det værd at bruge disse fem bedste praksis:
Første bedste praksis: Forstå det komplekse net af social engineering
Opbygge en viden om social engineering-taktik og -teknikker. Dette vil danne grundlaget for din uddannelsespakke. Social engineering er baseret på menneskelig psykologi, så det er afgørende at forstå, hvordan svindlere manipulerer menneskelig adfærd, for at forhindre et vellykket cyberangreb baseret på denne metode.
Derfor er det mere komplekst at træne medarbejderne i at genkende et forsøg på social engineering end uddannelse i phishing; phishing-simuleringer bør dog være en del af et bredere social engineering-træningsprogram.
Et omfattende program for uddannelse i social engineering bør også omfatte, hvordan disse svindelnumre fungerer, og hvilke typer adfærd eller situationer de manipulerer, f.eks. tillid, hastesituationer, relationer osv.
Bedste praksis to: Uddannelse i sikkerhedsbevidsthed +SEE
Generelle træningspakker om sikkerhedsbevidsthed bør altid omfatte undervisning i social engineering. Sikkerhedshygiejne og generel phishing-opmærksomhed er alle en del af at afbøde et vellykket forsøg på social engineering. Tilføj uddannelse i social engineering (SEE) til dit generelle program for sikkerhedsoplysning for at gøre social engineering-tricks synlige for alle.
Bedste praksis tre: Smart Learning
Mennesker har tendens til at lære bedst, når de undervises ved hjælp af interaktive teknikker. Forskningen har identificeret visse kriterier for effektiv læring:
- Gør lektionerne korte, men informative:Byg videre på disse lektioner, og gentag dem regelmæssigt for at opnå optimal læring.
- Ved at skifte mellem idéer, mens du lærer, skabes der naturlige pauser mellem sessionerne, hvilket bidrager til at styrke idéerne. Sørg også for at påpege sammenhænge mellem forskellige områder inden for cybersikkerhed og social engineering-taktikker for at hjælpe medarbejderne med at forstå kompleksiteten af disse typer angreb.
- Brug "konkrete eksempler" for at få læringen til at sætte sig fast i medarbejderens bevidsthed.
Bedste praksis fire: Skyl og gentag
Social engineering, ligesom andre cybersikkerhedsangreb, bliver løbende optimeret af cyberkriminelle. Sørg for, at du gennemfører regelmæssige træningssessioner om social engineering som en del af dit bredere uddannelsesprogram for sikkerhedsbevidsthed. Automatiser din sikkerhedsbevidsthedskampagne for at forbedre og optimere træningen.
Bedste praksis fem: Gør din arbejdsplads til en nul-tolerancezone for social engineering
Ved at opbygge din arbejdsstyrkes tillid til at opdage og forhindre et socialt manipuleret cyberangreb vil din organisation opbygge en kultur med sikkerhedsbevidsthed.
Denne kultur vil styrke din arbejdsstyrke mod cyberangreb, selv om social engineering er kompleks og spiller på medarbejdernes frygt, adfærd, hastesituationer og relationer. Denne kultur vil også omfatte deres privatliv, hvilket vil forbedre deres generelle sikkerhed og bidrage til at mindske risikoen for hjemmearbejdsmiljøer.
Ved cyberangreb, der anvender social engineering-teknikker, er mennesket den sårbare sikkerhedsfaktor. Ved at give dine medarbejdere viden om at opdage social engineering-forsøg styrker du din virksomhed og dine medarbejdere.