Social Engineering er et begreb, som vi konstant hører i nyhederne i forbindelse med cyberangreb, men hvad betyder det egentlig?
Social Engineering er kunsten at manipulere folk til at udføre bestemte handlinger eller videregive fortrolige oplysninger.
I stedet for at bruge traditionelle hackerangreb udnytter cyberkriminelle vores tillid til vores menneskelige natur til at narre os til at bryde normale sikkerhedspraksis.
Disse typer angreb er blevet mere og mere hyppige og sofistikerede og viser sig at være en meget vellykket måde for svindlere at få uautoriseret adgang til computernetværk og følsomme data på.
Social Engineering-angreb findes i mange forskellige former, men den røde tråd i dem alle er, at de udnytter menneskelig adfærd. Følgende eksempler er de mest almindelige former for angreb, der anvendes.
Phishing
Phishing er fortsat det mest populære social engineering-angreb af alle på grund af dets høje succesrate. Størstedelen af alle cyberangreb kan spores tilbage til en phishing-e-mail, og online-svindelnummeret fungerer ved at narre folk til at udlevere følsomme oplysninger eller downloade skadelig malware.
Phishing-e-mails er designet til at se ægte ud og ser ud til at komme fra en legitim kilde. E-mailen vil indeholde et link eller en vedhæftet fil, som, når der klikkes på den, inficerer computeren med malware.
Vishing
Vishing er en kombination af ordet voice og phishing og henviser til phishing-svindel, der finder sted over telefonen. Det er det mest menneskeligt interaktive af alle social engineering-angreb, men det følger det samme mønster af bedrag. Svindlerne skaber ofte en følelse af, at det haster for at overbevise offeret om, at det skal udlevere følsomme oplysninger.
Opkaldet vil ofte blive foretaget via et forfalsket ID, så det ser ud som om det kommer fra en troværdig kilde. Et typisk scenarie er, at svindleren udgiver sig for at være en bankansat for at gøre opmærksom på mistænkelig adfærd på en konto. Når de har vundet offerets tillid, vil de bede om personlige oplysninger som f.eks. loginoplysninger, adgangskoder og pinkode. Oplysningerne kan derefter bruges til at tømme bankkonti eller begå identitetssvindel.
Smishing: Betydning og effektive forebyggelsesstrategier
Smishing er en form for phishing, der anvender SMS-beskeder i stedet for e-mails til at ramme enkeltpersoner. Det bruges af kriminelle til at tilskynde personer til at udlevere personlige oplysninger som f.eks. kontooplysninger, kreditkortoplysninger eller brugernavne og adgangskoder. Denne metode indebærer, at svindleren sender en sms til en persons telefonnummer og normalt indeholder en opfordring til handling, som kræver et øjeblikkeligt svar. Beskederne vil ofte hævde at være fra banker, skattevæsenet og endda dine egne venner. De kan bede dig om at klikke på et link, ringe til et nummer eller endda oplyse dig om, at du er ved at blive ringet op af et supportmedlem.
Spear - Phishing
Spear-Phishing er et mere målrettet forsøg på at stjæle følsomme oplysninger og fokuserer typisk på en bestemt person eller organisation. Disse typer angreb anvender personlige oplysninger, der er specifikke for den pågældende person, for at fremstå som legitime. Få mere at vide om spear-phishing.
Svindlerne bruger ofte de sociale medier til at undersøge deres ofre. Når de har fået et bedre kendskab til deres mål, begynder de at sende personlige e-mails med links, som, når de klikker på dem, inficerer computeren med malware.
Whaling
Det, der adskiller denne kategori af phishing fra andre, er valget af mål på højt niveau. Et hvalangreb er et forsøg på at stjæle følsomme oplysninger og er ofte rettet mod den øverste ledelse eller andre højt profilerede mål som f.eks. politikere eller berømtheder. Ordet hvalfangst bruges for at angive, at det mål, der forfølges, er en stor fisk at fange.
Whaling-e-mails er meget mere sofistikerede end almindelige phishing-e-mails og meget sværere at opdage. Typisk vil e-mailsne indeholde personlige oplysninger om målet eller organisationen, og sproget vil være i en corporate tone. Disse e-mails er meget mere omhyggeligt udformet og gennemtænkt på grund af det store udbytte for svindlerne.
Baiting
Som navnet antyder, indebærer lokning, at man lokker nogen i en fælde for at stjæle deres personlige oplysninger eller inficere deres computer med malware.
For at lokke ofrene til at falde i deres fælde bruger lokkemændene ofte tilbud om gratis download af musik eller film, hvis brugerne oplyser deres loginoplysninger. Et andet populært lokkemadstrick er at efterlade en malware-inficeret enhed, f.eks. et USB-stik, på et sted, hvor nogen kan finde den.
Svindlerne stoler på menneskers nysgerrighed for at gennemføre svindlen, og ved at sætte enheden ind i computeren for at se, hvad der er på den, installeres der malware.
Hvad er tailgating på arbejdspladsen
Ved "tailgating" følger en person efter en medarbejder ind i et område med begrænset adgang. Disse angreb udføres ofte offline, men kan føre til fremtidige onlineangreb.
Et almindeligt eksempel på denne type angreb er en person, der udgiver sig for at være en budchauffør og venter, indtil en medarbejder kommer ind i bygningen. Angriberen beder dem så om at holde døren åben for dem, så de kan få adgang. Når først angriberen er inde, kan han få adgang til følsomme virksomhedsoplysninger.
Der er en række trin, du kan følge for at undgå at blive offer for disse typer angreb. Åbn aldrig e-mails fra ukendte kilder, klik ikke på mistænkelige links, installer antivirus-software, og læs din virksomheds politik om beskyttelse af personlige oplysninger.
Klik her for at finde ud af, hvordan MetaCompliance kan hjælpe dig med at beskytte dig mod disse typer af social engineering-angreb.