MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

5 eksempler på social engineering-angreb

Social engineering-angreb

om forfatteren

Del på linkedin
Del på twitter
Del på facebook

Her er et kig på, hvordan social engineering-angreb foregår, og hvad du kan gøre for at forhindre, at dine medarbejdere bliver social engineering-angreb.

Mennesker er sociale dyr; vi kan godt lide at blande os, kommunikere, arbejde og have det sjovt sammen. Denne socialiserede adfærd, der bygger på tillidsfulde relationer, får menneskelige grupper til at samarbejde og sameksistere.

Desværre er det også disse sociale aspekter af menneskelig adfærd, som cyberkriminelle, der har til hensigt at skade, kan udnytte. Ved social engineering-angreb bruges trick og personificering til at narre folk til at udføre en handling, der er til gavn for svindleren.

Dette bekræftes af Verizon Data Breach Investigations Report (DBIR) fra 2022, som viste, at 82 % af bruddene involverer et menneskeligt element.

Hvordan sker social engineering-angreb?

Ifølge en rapport oplever den gennemsnitlige organisation 700 social engineering-angreb om året. Social engineering-angreb findes i mange forskellige former og udvikler sig til nye former for at undgå at blive opdaget.

Formålet med et social engineering-angreb er at få nogen til at gøre noget, der er til fordel for en cyberkriminel. F.eks. at narre en person til at afsløre finansielle oplysninger, som derefter bruges til at begå svindel.

Social engineering udføres ikke kun ved hjælp af digitale metoder. Social engineers vil benytte sig af enhver taktik for at opbygge de strukturer, der er nødvendige for at narre folk. Det kan f.eks. være at bruge telefonen eller at gå ind på et kontor og chatte med personalet.

Blandt de nuværende yndlingstricks inden for social engineering kan nævnes:

Forudgående og bagudrettet: Angriberne foregiver at være en kollega eller en autoritetsperson, f.eks. en politibetjent. De bruger denne forklædning til at skabe tillid til et mål via en digital metode, telefon eller personligt. Når tilliden er etableret, vil svindleren forsøge at udtrække oplysninger, f.eks. personlige data eller finansielle oplysninger.

Desuden udfører bagmænd ofte fysiske angreb på virksomheder, idet de finder måder at komme ind i en bygning på, hvor de slipper ubemærket ind eller endda inviteres ind. Når de først er inde i en bygning, kan de bruge let tilgængelige værktøjer som RubberDucky, der anvendes af legitime penetrationstestere, til at stjæle data, herunder loginoplysninger.

Phishing: Phishing findes i forskellige varianter, herunder e-mail, telefonopkald, opslag på sociale medier og sms'er. Phishing-meddelelser er et udtryk for social engineering-taktik, hvor der anvendes fortielse, tillid og kliklyst for at tilskynde modtagerne til at udlevere personlige oplysninger, f.eks. adgangskoder og kreditkortoplysninger.

En undersøgelse af cybersikkerhed foretaget af UK Gov viste, at langt størstedelen (83 %) af de virksomheder, der havde identificeret et cyberangreb, sagde, at phishing var den primære årsag til angrebet.

Spearphishing er den målrettede form for phishing, der tager social engineering til de højeste niveauer af succes. Spearphishing-e-mails er svære at skelne fra legitime e-mails, fordi svindlere gør sig store anstrengelser for at få dem til at se realistiske ud, og ofte skaber de et tillidsforhold til deres målgruppe. Spearphishing står bag 93 % af cyberangreb ifølge DBIR 2018.

Lokning: Dette social engineering-angreb bruger lokke- eller frygt for at gå glip af noget (FOMO) til at tilskynde til en bestemt adfærd. En medarbejder kan f.eks. blive tilbudt gratis gaver, hvis han/hun giver personlige oplysninger eller virksomhedsoplysninger eller adgangskoder.

Hvorfor er social engineering effektivt?

Mennesker har udviklet sig til at handle og opføre sig på bestemte måder for at skabe stærke og sammenhængende sociale strukturer. Elementer som f.eks. tillid er afgørende komponenter i sammenhængende samfund. Uden tillid mislykkes relationer.

Svindlere forstår menneskelig adfærd og behovet for at opbygge tillidsfulde relationer. De forstår også, hvordan de kan manipulere folk ved at foregive at være en betroet person eller opbygge tillid.

Andre menneskelige adfærdsmønstre som f.eks. trangen til at gøre et godt stykke arbejde, ikke at komme i problemer eller ikke gå glip af noget godt, misbruges også af cyberkriminelle. Alle disse naturlige handlinger, som vi udfører dagligt i vores privatliv og arbejdsliv, kan udnyttes af cyberkriminelle, der har til hensigt at stjæle data og få adgang til netværk for at udføre ondsindede handlinger.

5 eksempler på social engineering-angreb

Der er jævnligt eksempler på social engineering i pressen, men her er fem eksempler, der kan give dig et indtryk af, hvordan social engineering fungerer:

Marriott Hotel: En hackergruppe brugte social engineering-taktik til at stjæle 20 GB personlige og finansielle data fra et Marriott Hotel. Hackerne narrede en medarbejder på Marriott Hotel til at give hackergruppen adgang til medarbejderens computer.

US Department of Labor (DoL): Dette involverede et socialt manipuleret angreb, der stjal loginoplysninger til Office 365. Angrebet anvendte sofistikeret phishing baseret på snedigt forfalskede domæner, der lignede det legitime DoL-domæne. E-mailene så ud til at være fra en højtstående DoL-medarbejder, der opfordrede dem til at afgive et bud på et regeringsprojekt. Ved at klikke på budknappen blev medarbejderen ført til et phishing-websted, der blev brugt til at stjæle legitimationsoplysninger.

Zoom-brugere: En phishing-kampagne rettet mod medarbejdere berørte mindst 50.000 brugere. De sociale ingeniører brugte frygten for at blive afskediget til at få medarbejderne til at klikke på et link for at mødes med HR via Zoom. Ved at klikke på linket blev medarbejderen ført til et falsk Zoom-login-websted, der var designet til at stjæle adgangskoder.

FACC (østrigsk flyproducent): FACC mistede omkring 42 millioner euro , da virksomheden blev offer for en sofistikeret svindel med Business Email Compromise (BEC). Virksomhedens administrerende direktør fik sin e-mail-konto forfalsket og blev derefter brugt til at sende en "presserende" e-mail med anmodning om en pengeoverførsel. Denne e-mail snød en medarbejder, der skulle betale en konto, som efterkom anmodningen og betalte pengene til svindlerens konto.

Crowdstrike tilbagekaldelse: selv sikkerhedsleverandører mærker den sociale ingeniørvirksomhed. Crowdstrike er blevet en ufrivillig brik i de sociale ingeniørers spil. Svindlere bruger Crowdstrikes og andre sikkerhedsleverandørers betroede brand til at sende phishing-e-mails til medarbejdere. E-mailen indeholder oplysninger om en mulig malware-infektion og et telefonnummer, som man skal ringe til for at fjerne den installerede malware. Hvis medarbejderen ringer til nummeret, narres han/hun til at give angriberen adgang til sin computer.

Sådan beskytter du dig mod social engineering-angreb

Social engineering er en succes, fordi teknikken manipulerer vores daglige handlinger. Det gør det svært for medarbejderne at opdage, at de er en del af et social engineering-angreb.

Social engineering skal være en del af samtalen om sikkerhedsbevidsthed, og sikkerhedspolitikker bør afspejle dette. Der er imidlertid praktiske måder at sikre, at medarbejderne er opdateret med de tricks, som social engineering-svindlere bruger:

Gør social engineering til en del af din sikkerhedskultur:

  1. Inddrag personalet i regelmæssige opdateringer om social engineering, og hvordan det fungerer.
  2. Sørg for, at social engineering er en del af din regelmæssige træning i sikkerhedsoplysning.
  3. Medtag social engineering i plakater om måneden for sikkerhedsbevidsthed og send nyhedsbreve til personalet om de problemer, der skyldes social engineering.

Implementer phishing-simuleringer: Brug en avanceret platform til simulering af phishing til at træne personalet i, hvordan phishing-e-mails ser ud, og til at teste deres reaktion på en phishing-e-mail. Skræddersy disse e-mails til forskellige roller i din organisation, og basér simuleringerne på kendte taktikker, der anvendes af svindlere.

Penetrationstest din virksomhed og dine medarbejdere: Opstil forskellige testscenarier for at se, hvor godt medarbejderne reagerer på potentielle forsøg på social engineering. Dette kan omfatte test for at se, hvor let (eller svært) det er at få adgang til bygningen.

Du kan også afprøve personalet og deres reaktion på ukendte personer. Lad f.eks. testerne optræde som rengøringsfolk eller entreprenører og se, hvor langt de kan komme med at udtrække oplysninger om din virksomhed eller bede om adgang til en computer.

5 eksempler på social engineering-angreb

Måske vil du også gerne læse disse