Hvis du ved, hvordan du kan genkende tegnene på et social engineering-angreb, kan du hjælpe med at forhindre, at disse typer angreb lykkes, og beskytte din organisations følsomme data og systemer.
Hvorfor gå igennem besværet med at smadre en dør, når du kan bede nogen om at give dig nøglen? Dette scenarie er den analogi, der beskriver, hvorfor social engineering er blevet den mest anvendte cyberangrebsteknik.
Verizon Data Breach Investigation Report fra 2021 har bemærket en stigende tendens i brugen af social engineering siden 2017. En anden rapport identificerede en stigning på 270 % i social engineering-baserede cyberangreb i 2021.
Det er så svært at opdage tegn på social engineering, fordi det fungerer ved at manipulere vores daglige adfærd i hverdagen. Så hvordan kan en medarbejder vide, om han/hun er offer for en social engineering-svindel?
Hvad er social engineering?
Forståelse af de forskellige elementer, der anvendes under social engineering, hjælper folk med at opdage tegnene på et social engineering-angreb.
Cyberkriminelle er altid på udkig efter måder at få adgang til følsomme oplysninger eller manipulere en forretningsproces til skade. Disse skader varierer, herunder BEC-svindel (Business Email Compromise) og malware-infektioner.
Begge disse typer af cyberangreb er i stigende grad på vej: BEC-svindel kostede globale virksomheder mere end 43 milliarder dollars i de fem år frem til 2021, med en stigning i tabene på 65 % mellem juli 2019 og december 2021; undersøgelser viste, at 71 % af virksomhederne var ofre for et malware malware -angreb i 2021. Sofistikerede og komplekse social engineering-svindelnumre står bag disse stigninger.
Social engineering udnytter menneskelig adfærd, så enkeltpersoner udfører handlinger, der er til gavn for svindleren. Med andre ord får svindlere enkeltpersoner til at gøre deres beskidte arbejde for dem uden at vide det. Den taktik, som svindlere anvender under et social engineering-angreb, er baseret på manipulering af adfærd, bedrag og psykologiske tricks. Denne manipulation hjælpes på vej af manglende viden hos den enkelte målperson.
Social engineering er en subtil, efterretningsbaseret angrebsmetode. Forskerne Abid, et al. har identificeret de typiske livscyklusfaser i et social engineering-angreb:
- Indsamling af oplysninger: rekognoscering for at identificere adfærdsmønstre, anvendte apps og forretningsprocesser, der kan udnyttes. Dette gør det muligt at etablere et tillidsniveau hos målet og at få oplysninger til at udnytte denne tillid.
- Udvikling af relationer: Denne tillid bruges til at udvikle relationer som forberedelse til den næste fase.
- Udnyttelse: Den skadelige opgave udføres, f.eks. ved at klikke på et link i en phishing-e-mail eller aktivere en bankoverførsel af penge.
- Udførelse: Den sidste fase, hvor hackeren modtager penge eller får adgang til loginoplysninger for at installere ransomware eller få adgang til følsomme oplysninger.
Hvordan kan du med de forskellige faser af et social engineering-angreb i baghovedet opdage et social engineering-angreb, før det er for sent?
Fem tegn på, at du er ved at blive socialt manipuleret
Nogle af de mest åbenlyse tegn er også de sværeste at opdage, da de skjuler sig som almindelige begivenheder. Kunsten at opdage det uventede, eller når noget bare ikke er "rigtigt", er imidlertid noget, som regelmæssig træning i sikkerhedsbevidsthed hjælper med at etablere.
Her er fem typiske tegn på social engineering:
En uventet vedhæftet fil eller et uventet link
Phishing-angreb og smishing (mobilphishing) indeholder ofte enten en vedhæftet fil eller et link til et ondsindet websted. Selve e-mailen vil indeholde typiske adfærdsmotiverende faktorer som f.eks. hastværk, følelsesmæssigt pres, nysgerrighed, frygt og trusler samt andre bekymrende udsagn som f.eks. en sikkerhedstrussel. Phishing-angrebet vil tilskynde modtageren til at åbne en vedhæftet fil eller klikke på et link ved hjælp af disse følelsesmæssige påvirkninger.
Tænk dig om, før du klikker, før du åbner en vedhæftet fil, før du åbner den. Ser beskeden legitim ud? Tjek for tegn på phishing, f.eks. om afsenderens e-mail-adresse passer til det forventede domænenavn. Er sproget og grammatikken i e-mailen lidt forkert?
Tjek MetaCompliance Ultimate Guide to Phishing for at se flere afslørende signaler for phishing-e-mails.
En usædvanlig anmodning
Svindlere kan afsløre sig selv ved at bede om noget lidt uventet. Dette er især tydeligt, hvis svindleren udgiver sig for at være en anden person i virksomheden, f.eks. en finansdirektør eller administrerende direktør.
BEC-svindel kan f.eks. indebære, at medarbejdere i regnskabsafdelingen får tilsendt en spear phishing-e-mail, der ser ud til at være fra en leder på C-niveau, som beder om at foretage en øjeblikkelig og hastende pengeoverførsel. Andre phishing-e-mails kan bede modtageren om at åbne en vedhæftet fil med en stemmeoptagelse osv.
Hvis en anmodning virker usædvanlig og usædvanlig, skal du stoppe op og tænke: Kan det være svindel? Derefter skal du foretage en simpel kontrol - ring til den person, der angiveligt har sendt anmodningen, og spørg, om den er lovlig.
En presserende anmodning eller et presserende krav
Hast er et godt eksempel på en taktik, der bruges til at manipulere menneskelige følelser. Hvis en hasteanmodning også ser ud til at komme fra den øverste ledelse eller C-level, så tag et øjeblik til at kontrollere, om anmodningen er legitim.
Business Email Compromise (BEC) involverer ofte følelsesmæssig manipulation af medarbejdere, der arbejder i økonomiafdelingen. En BEC-svindler vil f.eks. forsøge at presse en medarbejder til at overføre penge ved at true med tab af forretning, hvis de ikke handler hurtigt.
Dobbelttjek anmodningen, og ring til den person, der angiveligt har fremsat anmodningen.
Et tilbud, der er for godt til at være sandt
Cyberkriminelle bruger nogle gange afpresning eller tvang til at få oplysninger, især i informationsindsamlingsfasen af et social engineering-angreb.
Tænk dig godt om, hvis du modtager et tilbud om penge eller en præmie for at dele virksomheds- eller personlige oplysninger, da det kan være et forsøg på at hacke din konto.
En anmodning på sociale medier fra en person, du ikke genkender
I de seks måneder frem til juni 2021 fjernede LinkedIn over 66 millioner spam og svindelnumre på platformen, hvoraf 232.000 blev fjernet, efter at en bruger havde klaget. Hackere opretter falske konti på sociale medier og forsøger derefter at skabe forbindelser. Svindlere bruger sociale medier til at indsamle oplysninger og opbygge relationer med mål og målgruppers kontakter.
Hvis du modtager en anmodning om en forbindelse på en social medieplatform, skal du tjekke den person, der har anmodet om forbindelsen, og kigge efter tegn på, at den kan være falsk. Har de f.eks. en komplet profil og arbejdshistorik, har de legitime anbefalinger osv.
Social engineering fungerer og vil fortsætte med at gøre det, indtil vi lærer at se tegnene. Træning i sikkerhedsbevidsthed, der omfatter undervisning i social engineering-taktikker, giver medarbejderne viden til at forhindre svindlere i at udnytte deres adfærd.