Udforsk i artiklen fem berømte eksempler på social engineering-angreb og opdag, hvordan disse taktikker bedrager enkeltpersoner. Ja, mennesker er af natur sociale væsener, der nyder at omgås, kommunikere, arbejde og dele aktiviteter. Denne omgængelighed, der er rodfæstet i tillid, letter samarbejde og sameksistens inden for menneskegrupper.
Netop disse sociale træk udnyttes også af cyberkriminelle, der ønsker at forårsage skade. Social engineering-angreb udnytter disse sårbarheder ved at bruge bedrag og efterligning til at manipulere personer til at udføre handlinger, der tjener svindlerens dagsorden.
Dette bekræftes af Verizon Data Breach Investigations Report (DBIR) fra 2023, som fandt, at 82% af bruddene involverer et menneskeligt element.
Her er et kig på, hvordan social engineering-angreb foregår, og hvad du kan gøre for at forhindre, at dine medarbejdere bliver social engineering-angreb.
Hvordan sker social engineering-angreb?
Ifølge en nylig rapport oplever den gennemsnitlige organisation 700 social engineering-angreb om året. Social engineering-angreb findes i mange former og udvikler sig til nye for at undgå at blive opdaget.
Formålet med et social engineering-angreb er at få nogen til at gøre noget, der er til fordel for en cyberkriminel. F.eks. at narre en person til at afsløre finansielle oplysninger, som derefter bruges til at begå svindel.
Social engineering udføres ikke kun ved hjælp af digitale metoder. Social engineers vil benytte sig af enhver taktik for at opbygge de strukturer, der er nødvendige for at narre folk. Det kan f.eks. være at bruge telefonen eller at gå ind på et kontor og chatte med personalet.
Blandt de nuværende yndlingstricks inden for social engineering kan nævnes:
Pretexting och tailgating: Angriberne foregiver at være en kollega eller en autoritetsperson, f.eks. en politibetjent. De bruger denne forklædning til at skabe tillid til et mål via en digital metode, telefon eller personligt. Når tilliden er etableret, vil svindleren forsøge at udtrække oplysninger, f.eks. personlige data eller finansielle oplysninger.
Derudover udfører tailgators ofte fysiske angreb på virksomheder ved at finde måder at komme ind i en bygning på, ubemærket eller endda inviteret. Når de først er inde i en bygning, kan de bruge lettilgængelige værktøjer, som RubberDucky USB, der bruges af legitime penetrationstestere, til at stjæle data, herunder loginoplysninger.
Phishing: Phishing kommer i forskellige varianter, herunder e-mail, telefonopkald, opslag på sociale medier og tekstbeskeder. Phishing-angrebsbeskeder indkapsler social engineering-taktikker, hvor man bruger forstillelse, tillid og lysten til at klikke for at få modtageren til at udlevere personlige oplysninger som f.eks. adgangskoder og kreditkortoplysninger.
En undersøgelse af cybersikkerhed foretaget af UK Gov viste, at langt størstedelen (83 %) af de virksomheder, der havde identificeret et cyberangreb, sagde, at phishing var den primære årsag til angrebet.
Spearphishing er den målrettede form for phishing, der tager social engineering til de største højder af succes. Spearphishing-mails er svære at skelne fra legitime e-mails, fordi svindlerne gør sig store anstrengelser for at få dem til at se realistiske ud og ofte opbygger et tillidsforhold til deres mål. Spearphishing står bag 93% af alle cyberangreb, ifølge DBIR 2018.
Baiting: Dette social engineering-angreb bruger lokke- eller frygt for at gå glip af noget (FOMO) til at tilskynde til en bestemt adfærd. En medarbejder kan f.eks. blive tilbudt gratis gaver, hvis han/hun giver personlige oplysninger eller virksomhedsoplysninger eller adgangskoder.
Hvorfor er social engineering-angreb effektive?
Mennesker har udviklet sig til at handle og opføre sig på bestemte måder for at skabe stærke og sammenhængende sociale strukturer. Elementer som f.eks. tillid er afgørende komponenter i sammenhængende samfund. Uden tillid mislykkes relationer.
Svindlere forstår menneskelig adfærd og behovet for at opbygge tillidsfulde relationer. De forstår også, hvordan de kan manipulere folk ved at foregive at være en betroet person eller opbygge tillid.
Andre menneskelige adfærdsmønstre som f.eks. trangen til at gøre et godt stykke arbejde, ikke at komme i problemer eller ikke gå glip af noget godt, misbruges også af cyberkriminelle. Alle disse naturlige handlinger, som vi udfører dagligt i vores privatliv og arbejdsliv, kan udnyttes af cyberkriminelle, der har til hensigt at stjæle data og få adgang til netværk for at udføre ondsindede handlinger.
5 eksempler på social engineering-angreb
Der er jævnligt eksempler på social engineering i pressen, men her er fem eksempler, der kan give dig et indtryk af, hvordan social engineering fungerer:
Marriott Hotel: En hackergruppe brugte social engineering-taktik til at stjæle 20 GB personlige og finansielle data fra et Marriott Hotel. Hackerne narrede en medarbejder på Marriott Hotel til at give hackergruppen adgang til medarbejderens computer.
US Department of Labor (DoL): Dette involverede et socialt manipuleret angreb, der stjal loginoplysninger til Office 365. Angrebet anvendte sofistikeret phishing baseret på snedigt forfalskede domæner, der lignede det legitime DoL-domæne. E-mailene så ud til at være fra en højtstående DoL-medarbejder, der opfordrede dem til at afgive et bud på et regeringsprojekt. Ved at klikke på budknappen blev medarbejderen ført til et phishing-websted, der blev brugt til at stjæle legitimationsoplysninger.
Zoom-brugere: En phishing-kampagne rettet mod medarbejdere ramte mindst 50.000 brugere. De sociale ingeniører brugte frygten for afskedigelse til at opfordre medarbejderne til at klikke på et link for at mødes med HR via Zoom. Ved at klikke på linket blev medarbejderen ført til et falsk Zoom-login-site, der var designet til at stjæle adgangskoder.
FACC (østrigsk flyproducent): FACC mistede omkring 42 millioner euro , da virksomheden blev offer for en sofistikeret svindel med Business Email Compromise (BEC). Virksomhedens administrerende direktør fik sin e-mail-konto forfalsket og blev derefter brugt til at sende en "presserende" e-mail med anmodning om en pengeoverførsel. Denne e-mail snød en medarbejder, der skulle betale en konto, som efterkom anmodningen og betalte pengene til svindlerens konto.
Crowdstrike tilbagekaldelse: selv sikkerhedsleverandører mærker den sociale ingeniørvirksomhed. Crowdstrike er blevet en ufrivillig brik i de sociale ingeniørers spil. Svindlere bruger Crowdstrikes og andre sikkerhedsleverandørers betroede brand til at sende phishing-e-mails til medarbejdere. E-mailen indeholder oplysninger om en mulig malware-infektion og et telefonnummer, som man skal ringe til for at fjerne den installerede malware. Hvis medarbejderen ringer til nummeret, narres han/hun til at give angriberen adgang til sin computer.
Sådan beskytter du dig mod social engineering-angreb
Social engineering er en succes, fordi teknikken manipulerer vores daglige handlinger. Det gør det svært for medarbejderne at opdage, at de er en del af et social engineering-angreb.
Social engineering skal være en del af samtalen om sikkerhedsbevidsthed, og sikkerhedspolitikker bør afspejle dette. Der er imidlertid praktiske måder at sikre, at medarbejderne er opdateret med de tricks, som social engineering-svindlere bruger:
Gør social engineering til en del af din sikkerhedskultur:
- Inddrag personalet i regelmæssige opdateringer om social engineering, og hvordan det fungerer.
- Sørg for, at social engineering er en del af din regelmæssige træning i sikkerhedsoplysning.
- Medtag social engineering i plakater om måneden for sikkerhedsbevidsthed og send nyhedsbreve til personalet om de problemer, der skyldes social engineering.
Implementer phishing-simuleringer: Brug en avanceret platform til simulering af phishing til at træne personalet i, hvordan phishing-e-mails ser ud, og til at teste deres reaktion på en phishing-e-mail. Skræddersy disse e-mails til forskellige roller i din organisation, og basér simuleringerne på kendte taktikker, der anvendes af svindlere.
Penetrationstest din virksomhed og dine medarbejdere: Opstil forskellige testscenarier for at se, hvor godt medarbejderne reagerer på potentielle forsøg på social engineering. Dette kan omfatte test for at se, hvor let (eller svært) det er at få adgang til bygningen.
Du kan også afprøve personalet og deres reaktion på ukendte personer. Lad f.eks. testerne optræde som rengøringsfolk eller entreprenører og se, hvor langt de kan komme med at udtrække oplysninger om din virksomhed eller bede om adgang til en computer.
