Forståelse af tailgating i social engineering
Hvad er tailgating? Tailgating er en social engineering-teknik, der anvendes af personer, der søger uautoriseret adgang til sikrede områder ved at følge tæt efter en autoriseret person. Denne taktik udnytter menneskelig høflighed og giver infiltratoren mulighed for at få adgang uden korrekt autentificering.
Nyhedsoverskrifterne er fyldt med massive sikkerhedsbrud, og analytikere fører os gennem de ofte komplekse hacks, der er involveret.
Frank Abagnale var en af verdens mest berygtede hackere. Hans kriminelle aktiviteter blev gjort berømte i filmen om hans liv, "Catch me if you can". Frank udførte en stor del af sin hacking tilbage i 1960'erne. Han brugte lavteknologiske social engineering-teknikker, herunder "Tailgating", til at udgive sig for at være læge og pilot for at lette forskellige økonomiske svindelnumre. Under sine svindelnumre brugte Frank falske identiteter til at forfalske checks og indløse dem. Frank stjal store pengesummer og endte med at blive idømt 12 års fængsel for bedrageri. Frank har for længst forladt sit kriminelle liv for at rådgive om, hvordan man forebygger cyberkriminalitet.
Frank brugte social engineering til at begå svindel ved at manipulere situationer og mennesker. Disse angrebsmetoder fokuserer typisk på svagheder i den menneskelige adfærd og udnytter dem til at iværksætte cyberangreb, herunder kriminelle skader, inventar tyveri, ransomware-infektion, Business Email Compromise (BEC) og dataeksponering. Udtrykket "teknik" er et udtryk for den ofte subtile og lavteknologiske karakter af mange social engineering-problemer. Her er et kig på den lavteknologiske hackertaktik, der er kendt som "Tailgating".
Hvad er tailgating i forbindelse med en cybertrussel?
Nyhedsoverskrifterne er fyldt med massive sikkerhedsbrud, og analytikere viser os de ofte komplekse hacks, der er involveret. Men ikke alle hacks er digitale; mange af dem udføres ved hjælp af lavteknologiske metoder. Men selv disse lavteknologiske angreb kan stadig resultere i store brud og tyveri.
Tailgating, undertiden kendt som "Piggbacking", er en form for lavteknologisk social engineering, som er et fysisk snarere end digitalt hack. Dette fysiske angreb kan dog føre til et digitalt cyberangreb.
Et typisk eksempel på "tailgating" er en svindler, der får adgang til en virksomhedsbygning ved at udgive sig for at være en legitim besøgende, en budmand eller lignende. Colin Greenless, der er konsulent hos Siemens Enterprise Communications, viste tilbage i 2009, hvor let det var at snige sig ind på en anden virksomhed, og hvor skadeligt det kunne være. Greenless skaffede sig uautoriseret adgang til en FTSE 100-noteret finansiel institutionsbygning og fandt i løbet af 20 minutter et meget følsomt M&A-dokument, der lå frit fremme på et skrivebord.
Psykologien bag tailgating eller piggbacking
Tailgating eller piggbacking udnytter menneskelig adfærd og situationer. Tailgating er en in-situ social engineering-taktik - det vil sige, at tailgateren skal være fysisk til stede i det miljø, som han eller hun ønsker at udnytte. Dette bringer andre vigtige faktorer i spil for succesfuld tailgating, nemlig pretexting.
Pretexting er sandsynligvis lige så gammelt som det menneskelige samfund. Det er en handling, hvor man udgiver sig for at være en anden person for at få følsomme eller vigtige oplysninger fra en anden person eller gruppe, lidt ligesom Frank Abagnale. I forbindelse med bagvaskelse tager gerningsmanden ofte en form for identitet, der gør målet mere åbent for at afsløre oplysninger eller udføre en handling (som f.eks. at åbne en dør). For at foregive en person at være en spion kræver det, at man undersøger et mål. Det er også bygget på begrebet tillid - hvilke forudsætninger hjælper med at opbygge en person, som man har tillid til, så et scenarie for social engineering bliver mere vellykket? Hvis en social ingeniør f.eks. ønsker at følge en målvirksomhed, kan han/hun bruge tid på at undersøge, hvilke typer besøgende der møder op i organisationens bygning; er der f.eks. et bestemt tidspunkt, hvor leveringer foretages? Denne indsamling af oplysninger gør det muligt for svindleren at opbygge en betroet persona, som han kan bruge til at manipulere og påvirke medarbejderne til at give dem adgang til en normalt sikret bygning eller et normalt sikret rum.
Skaderne ved tailgating eller piggybacking på arbejdspladsen
Tailgating er ikke bare et tilfælde af nogen, der spiller nar og går ind i en bygning for sjov. Tailgating er ondskabsfuldt ment, og gerningsmændene udfører denne handling for at forårsage materielle skader, stjæle oplysninger, installere malware og endda bringe personalets liv i fare. I en nylig undersøgelse fra Boon Edam følte 71 % af de adspurgte sig udsat for en fysisk indtrængen på grund af tailgating.
Tailgating kan finde sted i alle mulige former, og de, der udfører det, kan være tidligere ansatte eller fremmede.
Tidligere ansatte: Ifølge undersøgelser skyldes 80 % af cyberansvarsansøgninger medarbejdernes forsømmelighed, herunder uagtsomme medarbejdere. Disse tidligere medarbejdere er ofte utilfredse, søger hævn og beskadiger ejendom og stjæler virksomhedsoplysninger og følsomme data for at gennemføre denne hævn.
Farer ved fremmede: Høflighed kan føre til datatyveri og malware-infektioner: Under Colin Greenless' haletræning gav 17 medarbejdere Colin deres adgangskoder på anmodning. Svindlere planlægger typisk deres angreb i god tid. De ved, hvem de skal angribe, og ud over adgangskoder vil adgangsbadges være på deres must-have-liste. At være høflig over for en fremmed kan føre til kompromitterede konti, databrud og endog infektion ved installation af malware.
Hvordan stopper man tailgating?
En sikkerhedspolitik er et vigtigt første skridt i udviklingen af metoder til at stoppe tailgating-begivenheder. Politikken skal afspejle tailgating-metoderne, og hvordan man stopper tailgateren i deres spor. For at stoppe tailgating, før det kommer ind under huden på din organisation, skal du se på følgende områder:
Grundlæggende oplysninger
Undervis medarbejderne om, hvad "tailgating" er, hvordan det sker, og hvilke konsekvenser det har. Dette bør være en del af et løbende uddannelsesprogram for sikkerhedsoplysning. Programmer for sikkerhedsbevidsthed bør dække alle aspekter af cybertrusler, både digital og fysisk sikkerhed.
Vigilance
Opmuntre medarbejderne til at udvise en årvågen holdning. Enhver, der ser mistænkelig ud, bør opfordres til at fremlægge legitimationsoplysninger. Endnu bedre er det at indføre en proces, så medarbejderne kan informere et relevant medlem af sikkerhedsteamet eller en leder om deres mistanke.
Miljøbevidsthed
Uddannelse af medarbejdere om bagstoppere, f.eks. forsøg på at få fysisk adgang til områder med begrænset adgang, når en autoriseret person går ind i området. Sørg for, at medarbejderne ved, at "tailgating" indebærer tillidstricks, der bruges til at skabe tillid.
Selvsikkerhed
Det er vigtigt at være høflig, men at være selvsikker kan være med til at forhindre et alvorligt brud på virksomheden. Medarbejderne skal undervises i bagmændenes tricks, og hvordan disse kriminelle bruger frygten for at virke uhøflige til at omgå sikkerheden.
Luk døren ved tailgating eller piggybacking
Colin Greenless var en hacker med en hvid hat, og hans eskapader blev gjort gennemsigtige for at hjælpe med at forhindre tailgating. Tailgating er dog stadig en almindelig begivenhed. Et nyere eksempel er en kvinde, som fik adgang til et lukket område på Mar-a-Lago Trump Resort med fire mobile enheder, en bærbar computer, en ekstern harddisk og en USB-nøgle med malware. Selv med præsidentens sikkerhedsniveauer på plads, var hun i stand til at omgå sikkerheden ved at foregive ikke at forstå spørgsmål fra sikkerhedspersonalet, hvilket resulterede i, at "sikkerhedspersonalet gav en sprogbarriere skylden og lod hende komme ind."
Personer, der har til hensigt at skade en organisation og/eller begå svig, vil arbejde hårdt for at narre medarbejderne. Menneskelige træk som f.eks. høflighed, manglende årvågenhed eller blot distraheret af arbejdet kan føre til, at ondsindede personer kommer ind i en organisation med ondsindede hensigter. Medarbejderne skal gøres opmærksom på farerne ved det, der kan virke harmløst, f.eks. at der kommer en person ind på et kontor, som måske ikke burde være der. Træning i sikkerhedsbevidsthed vil lukke døren for "tailgating" og give medarbejderne den viden, der er nødvendig for at tackle dette snigende problem.