Ifølge undersøgelser fra Beaming måtte virksomheder i Storbritannien i 2021 håndtere et forsøg på databrud hvert 47. sekund. Rapporten fremhæver endvidere, at fjernarbejde har været en mulighed for at øge antallet af cyberangreb. Dette er bemærkelsesværdigt, da det ifølge Verizon Data Breach Investigation Report (DBIR) fra 2021 viser sig, at 85 % af databrud kræver et menneske for at starte dem.
Denne perfekte storm bliver skabt af social engineering; denne taktik dækker over en lang række aktiviteter, der manipulerer menneskelig adfærd. Cyberkriminelle vil bogstaveligt talt bruge alle mulige vinkler for at udnytte medarbejderne ved hjælp af kendte psykologiske tricks for at få os til at klikke, før vi tænker, eller downloade malware.
En nylig rapport viser, at social engineering-baserede cyberangreb steg med 270 % i 2021. Der er flere årsager til dette, men det vigtigste er, at social engineering-teknikker virker, og vi er nødt til at finde måder at beskytte vores medarbejdere på.
En måde at forhindre social engineers i at manipulere vores medarbejdere og i sidste ende vores data og virksomhedsnetværk på er ved at forstå, hvordan social engineering-angreb fungerer.
Her er nogle af de seneste typer af social engineering-angreb, som du skal være opmærksom på.
Social Engineering og cybersikkerhed
Cybersikkerhedstrusler er sjældent af rent teknisk karakter. I stedet har cyberkriminelle hurtigt indset, at det er en god måde at komme ind på et beskyttet netværk ved at bruge medarbejdere, ikke-ansatte og det bredere økosystem af leverandører til at udføre deres forbryderiske handlinger.
Nylige undersøgelser af brugen af forretningsmails til at iværksætte et cyberangreb viste, at i 30 % af organisationerne endte over 50 % af de links, der blev modtaget via e-mail, på et ondsindet websted. Det er en lavine af skadelige indgange til et virksomhedssystem og dets forretningsaktiviteter.
Social engineering-angreb bruger almindelige taktikker, der virker gang på gang. Men hackere kan variere disse efterhånden som begivenhederne udvikler sig. Covid-19-pandemien var en sådan begivenhed.
Nogle af de sandsynlige social engineering-angreb, som du skal holde øje med i det kommende år, er:
Kompromittering af virksomheders e-mail (og leverandørers e-mailkompromittering)
I Verizon Data Breach Investigation Report (DBIR) fra 2021 blev det bemærket, at Business Email Compromise (BEC) var den næstmest almindelige form for social engineering-angreb. BEC og VEC repræsenterer social engineering i sin mest indviklede og mangesidede form.
BEC-svindlere bruger overvågning til at forstå deres mål for at skabe skræddersyede, legitimt udseende, men forfalskede e-mails. Ofte begynder et BEC-angreb med en kompromitteret e-mail-konto. Dette giver svindlerne de oplysninger, der er nødvendige for at udføre sofistikerede tricks.
Kompromitterede konti og adgangskoder kan også omdirigeres, så hackeren kan overvåge virksomhedens aktiviteter og kommunikation for at indsamle alle de oplysninger, der er nødvendige for at manipulere medarbejderne til at oprette nye eller ændre eksisterende fakturaer for at sende virksomhedens penge til svindleren.
Rapporten 2021 Business Email Security Landscape Report giver nogle vigtige indsigter, der kan hjælpe med at begrænse disse typer angreb:
- 72 % af de adspurgte havde oplevet et BEC-angreb inden for de seneste 12 måneder.
- Næsten 50 % af BEC-angreb anvender en forfalsket identitet, der vises i e-mailens navn.
- Spear phishing-e-mails er rettet mod personer, der har magt til at flytte penge. Disse målrettede phishing-e-mails bruger firmanavne (68 %), navne på individuelle mål (66 %) og navnet på chefen/ledelsen (53 %) til at skræddersy angrebet.
En ny variant af BEC er Vendor Email Compromise (VEC). Denne type BEC fokuserer på leverandører for at omdirigere penge. VEC-angreb benytter sig af en kædeeffekt, hvor phishing spreder sig over hele leverandørens økosystem, hvis det ikke kontrolleres.
VEC-angreb udføres typisk af velfinansierede professionelle cyberkriminelle, da de involverer grundig overvågning og rekognoscering for at forstå deres mål tilstrækkeligt godt til at kunne skabe troværdig spoof-kommunikation. Social engineering-teknikker er kernen i VEC, ligesom det er kernen i BEC, men den eneste forskel er, at de cyberkriminelle fokuserer på et helt økosystem.
Ligesom BEC er VEC-svindlerens mål at snyde en virksomhed og stjæle penge. Timing er en vigtig del af et VEC-angreb, og social engineering bruges til at narre medarbejdere til at ændre detaljerne på en faktura på det rette tidspunkt, så der ikke opstår mistanke.
Phishing i alle afskygninger
BEC er en af de mange typer cyberangreb, der bruger phishing eller spear-phishing til at indlede et angreb. Phishing er en favorit blandt social engineers og var ifølge DBIR'en til stede i 36 % af bruddene. Phishing er det ultimative redskab i social engineers arsenal, da dets indhold og kontekst i sidste ende kan føre til kontrol over et virksomhedsnetværk.
Phishing-e-mails bruger en række psykologiske tricks og udløsende faktorer for at få modtagerne til enten at klikke på et ondsindet link eller downloade en inficeret vedhæftet fil. Disse tricks omfatter bl.a. efterligning af kendte mærker, brug af hastværk og frygt for at tilskynde til at klikke og udløsning af følelser som f.eks. frygt for at gå glip af noget (FOMO). Du kan læse mere om de typer taktik, der bruges til at snyde medarbejdere, i MetaCompliance "Ultimate Guide to Phishing".
Phishing følger ofte begivenheder eller er rettet mod brugere med specifikke formål.
Følelsesmæssig manipulation og begivenhedsbaseret phishing: Begivenheder kan ofte være en følelsesmæssig udløser for en person. Svindlere bruger disse følelser til at manipulere brugerne til at føle, at de går glip af noget eller skal handle hurtigt for at drage fordel af en begivenhed.
Under Covid-pandemien afspejlede mange phishing-e-mails "Verdenssundhedsorganisationen" som branding og spillede på modtagernes sundhedsbekymringer. På et tidspunkt under pandemien blokerede Google omkring 17 millioner svindelmails om dagen, og mange svindlere brugte pandemien til at spille på folks følelser og frygt. En enkelt svindelmail, der når frem til en medarbejders indbakke, kan resultere i et katastrofalt databrud.
Ransomware-angreb med opfølgende phishing: Phishing fører til ransomware, og nu kan det også føre til opfølgende phishing: Det var tilfældet i det nylige Lapsus$-angreb på Portugals største mediekoncern, Impresa. Koncernen ejer landets største tv-kanal og avis, SIC og Expresso. Angrebet menes at være startet med en spear-phishing-e-mail, som førte til overtagelse af koncernens Amazon Web Services (AWS)-konto. Dette førte til defacement af koncernens websted, overtagelse af Expressos Twitter-konto og brug af en nyhedsbrevskonto til at sende phishing-e-mails ud til koncernens abonnenter.
Når en cyberkriminel har adgang til et netværk, normalt via stjålne legitimationsoplysninger fra phishing eller spear-phishing, kan han/hun bruge dette adgangspunkt til at eskalere privilegier og skabe yderligere angreb, som det blev set i Lapsus$-angrebet. Det er meget sandsynligt, at disse typer af flerfacetterede overlapningsangreb vil blive mere normale.
Phishing vil fortsat blive brugt til at iværksætte cyberangreb, da det er en måde for cyberkriminelle at "kommunikere" med folk, der er en del af en virksomheds målgruppe. Ved at bruge denne kommunikationsmetode er det en perfekt måde at social manipulere et menneske på, hvilket betyder, at cyberkriminelle ikke behøver at "hacke" sig ind i teknologi, som måske er beskyttet, men i stedet hacker de sig ind i mennesket.
Social Engineering og Deep Fakes
Deep fakes er det ultimative redskab til social engineering-angreb, og organisationer bør forvente, at denne teknologi vil blive brugt til skadelige formål i de kommende år. FBI har allerede offentliggjort en advarsel med følgende ordlyd:
"FBI forventer, at den i stigende grad vil blive brugt af udenlandske og kriminelle cyberaktører til spearphishing og social engineering i en udvikling af cyberoperative metoder."
FBI foreslår taktikker, der kan anvendes for at reducere risikoen for social engineering via dybe forfalskninger, herunder "attræne brugerne i at identificere og rapportere forsøg på social engineering og spearphishing, som kan kompromittere personlige og virksomhedskonti."
Bekæmpelse af social engineering ved kilden
Social engineering har givet hackere mulighed for at få adgang til ressourcer, lige siden mennesket eksisterede. Det faktum, at disse kriminelle arbejder i en digital verden, ændrer ikke ved, at målet for cyberkriminelle er menneskelig adfærd.
For at forhindre social engineers i at manipulere vores medarbejdere og det bredere netværk af forretningsforbindelser må vi uddanne disse personer i social engineers metoder. Viden er magt, og magtbalancen skal flyttes fra den cyberkriminelle til virksomheden gennem uddannelse af medarbejderne og registrering af forsøg ved hjælp af rapporteringssystemer.
