Rapporter som Verizons Data Breach Investigations Report (DBIR) fra 2022 placerer mennesker som en central komponent i 82 % af cyberangreb. Svindlere bruger teknikker baseret på social engineering til at narre folk til at udføre handlinger, der er til gavn for en hacker.
Social engineering er et paraplybegreb, der dækker over mange taktikker, der bruges til at manipulere medarbejdere og andre brugere. Her er seks af de mest almindelige typer af social engineering, og hvordan du forhindrer hackere i at udnytte dem i din organisation med succes.
Seks af de mest almindelige social engineering-angreb
1. Phishing og social engineering
Spear-phishing, en målrettet form for phishing, er involveret i 93 % af cyberangreb ifølge DBIR 2018. Den mindre målrettede form for phishing er stadig den næstmest almindelige form for cyberangrebstaktik ifølge Cisco.
Phishing er det perfekte medie til at give hackere mulighed for at manipulere mennesker og hører derfor under begrebet social engineering. Phishing viser sig i flere former. Phishing og spear phishing er allerede nævnt, men hackere bruger alle former for kommunikation, herunder sms'er og telefonopkald (SMShing og Vishing), til at tilskynde folk til at klikke på et link til et ondsindet websted, give personlige oplysninger eller downloade en inficeret vedhæftet fil.
2. Sociale medier til social engineering
Sociale medier er en guldgrube af oplysninger, som cyberkriminelle kan bruge til at angribe personer, apps, netværk og data: Svindlere har brug for data til at levere data til cyberangreb, herunder Business Email Compromise (BEC).
Når medarbejdere eller andre personer deler oplysninger på sociale medier, vil svindlere holde øje med dem. Ifølge et forskningsdokument oplever virksomheder følgende problemer, når medarbejdere deler oplysninger på sociale medier:
- at dele for mange oplysninger
- tab af fortrolige oplysninger
- øget eksponering for retssager
Det konkluderes i artiklen, at sociale medier giver et åbent medie for deling, som komplicerer udfordringerne ved social engineering.
3. Bagudkørsel og piggybacking
Tailgating er en af de ældste social engineering-svindelnumre i bogen. Tailgating, eller piggybacking, ses ofte som et fysisk svindelnummer, men kan også være digitalt. I den fysiske verden er svindleren, der ubemærket sniger sig ind i en virksomheds kontorbygning, et eksempel på "tailgating". Svindlere ved, hvordan de skal se ubemærket ud, så de kan få adgang til en bygning uden tilladelse eller "piggyback" på en person, der går ind i en bygning.
Når de først er kommet ind, kan de narre medarbejderne til at dele kontooplysninger, f.eks. adgangskoder, eller bruge hackerværktøjer til at stjæle data direkte fra computere. De kan endda bruge det gamle trick med at kigge med over skulderen på en person, der er logget ind på et følsomt område af netværket.
4. Forudgående
Svindlere har ofte brug for data for at sikre et vellykket socialt manipuleret svindelnummer. Som nævnt ovenfor kan hackeren indsamle oplysninger til at narre en person ved hjælp af sociale medier, phishing og tailgating. Pretexting bruger social engineering til at få folk til at tro, at svindleren er en autoritet eller har tilladelse til at opholde sig et bestemt sted: med andre ord udgiver svindleren sig for at være en person.
De kan f.eks. udgive sig for at være en entreprenør eller en leder på C-niveau; det kan virke usandsynligt, men en selvsikker svindler kan få det til at ske i en stor organisation med flere kontorer.
5. Lokkemad
Folk elsker gratis ting, og lokkemad udnytter denne adfærd til at narre medarbejdere til at udlevere oplysninger som f.eks. følsomme data eller finansielle oplysninger. Svindleren vælger f.eks. en medarbejder eller sender en masse-e-mail med et tilbud om et gratis produkt, f.eks. en film, der kan downloades. Hvis medarbejderen trykker på download-knappen, er resultatet en inficeret enhed.
Dette er en effektiv måde at installere malware på. Et eksempel på dette i praksis var den piratkopierede version af Game of Thrones, som blev den mest malware-inficerede tv-serie nogensinde i 2018; i alt 126 340 brugere blev inficeret med malware, da de hentede piratversionen af tv-serien.
6. Quid Pro Quo
Quid Pro Quo er en latinsk talemåde (dette for det), der bruges til at beskrive en udveksling af noget mod varer eller tjenesteydelser. Cyberkriminelle vil have data, og et Quid Pro Quo er en måde at få fat i disse data på.
Et typisk Quid Pro Quo-angreb fungerer således: En medarbejder modtager et opkald fra "teknisk support", som fortæller, at der er et ransomware-angreb på vej, og at de er nødt til at fjerne virussen, før den skader medarbejderens arbejde. Hackeren skal have medarbejderens brugernavn og adgangskode for at kunne gøre det. Hvis medarbejderen falder for dette kneb, får hackeren adgang til virksomhedens netværk, som han kan bruge til at eskalere rettighederne til mere følsomme områder.
Tre måder at beskytte dine medarbejdere mod social engineering-angreb på
1. Indfør processer og politikker
Ofte er social engineers nødt til at stole på dårlige processer, som gør det muligt for dem at udnytte sikkerhedshuller. For eksempel kan en indtrænger i forbindelse med "tailgating" være afhængig af manglende kontrol af personer, der kommer ind i en bygning. Social engineers er ofte afhængige af tillid til autoritetspersoner for at tilskynde en medarbejder til at handle, f.eks. overføre penge, som det er sket i et BEC-svindelnummer.
De fleste social engineering-svindelnumre har brug for data, så svindlerne bruger sociale medier eller phishing til at indsamle de oplysninger, de har brug for til at gennemføre et cyberangreb. Robuste processer, der tilføjer kontroller og balancer, når en handling som f.eks. penge- eller dataoverførsel finder sted, kan hjælpe med at forhindre et social engineering-angreb. Politikker, der sikrer, at medarbejderne ikke deler for meget på sociale medieplatforme, er med til at undgå denne form for datahøst.
2. Træn medarbejderne i social engineering-taktik
Social engineering har mange former, og de cyberkriminelle bag social engineering-angreb tilpasser disse svindelnumre for at undgå at blive opdaget. Derfor bør træningspakker til sikkerhedsbevidsthed omfatte træning i social engineering-tricks, herunder de seks svindelnumre, der er beskrevet ovenfor.
Uddannelse skal være engagerende og bruge uddannelsesmoduler, der er interessante, sjove og informative.
Platformen for sikkerhedsbevidsthed bør også tilbyde metoder til at registrere succesraten for en uddannelsespakke for at sikre, at din organisation kan opdatere og justere uddannelsen for at skabe de bedst mulige resultater. Træning af medarbejdere i at genkende social engineering-angreb bør udføres regelmæssigt for at opfange ændringer i trusselsmønstre.
3. Brug simulerede phishing-programmer
Phishing er en central teknik, som mange social engineering-angreb er baseret på. Det er en vigtig første forsvarslinje mod social engineering-angreb at opdage de afslørende tegn på en phishing-e-mail eller en anden phishing-besked.
Phishing-simuleringssoftware indeholder skabeloner, der kan skræddersys til at afspejle aktuelle social engineering-tricks. Disse sendes derefter som sædvanlig ud til medarbejdere og andre forretningsforbindelser. Hvis en bruger klikker på et ondsindet link eller downloader en vedhæftet fil, vil den simulerede phishing-platform gribe ind med en lektion om, hvad der ville ske, hvis de fortsatte med denne handling.