Social ingenjörskonst är inget nytt. Långt innan datorerna kom in i våra liv lurades människor med hjälp av psykologiska knep. Redan 1947 publicerades en bok med titeln "Illustrated Circular of Confidence Tricksters and Expert Criminals". Boken var en "Who's who av internationella bedragare". Vi är framme vid 2021, och internationella brottsgrupper använder en mer digital metod för att lura folk på pengar, data och inloggningsuppgifter till företag. Även om det kan gå årtionden, till och med århundraden, mellan bedragarnas bedrägerikampanjer har de alla en sak gemensamt: gamla och nya bedragare använder sig av social ingenjörskonst för att få vad de vill ha.
Social ingenjörskonst: Tricks av Phishing Trade
Det räcker med ett enda klick för att du ska hamna på en infekterad enhet. Infektionen kan spridas som en löpeld över företagsnätverket och alla anslutna enheter. Infektionen kan kosta företaget stora summor i form av driftstopp, förlorade data och skadat rykte.
En enda klick-upplevelse är vad både marknadsförare och cyberkriminella strävar efter. Genom att skapa en situation där människor inte behöver tänka så mycket innan de agerar kan du lättare fånga en publik.
Marknadsförare vill framkalla ett känslomässigt svar på en marknadsföringskampanj, genom att engagera individen i en produkt till den punkt där de klickar för mer information eller, ännu bättre, klickar för att köpa.
Cyberkriminella vill också få denna "knäppning" och använder därför liknande taktik för att få människor att klicka.
Digitala brottslingar har fördelar jämfört med sina icke-digitala motsvarigheter. De har till exempel större räckvidd, eftersom cyberkriminella använder sig av en "spray and pay"-metod för att nå ut till miljontals målgrupper genom massfiskekampanjer. Bedragarna kan också bli personliga och använda sig av riktad spear-phishing som fokuserar på en enskild person.
Phishing-attacker bygger på mänskligt beteende - det som får oss att ticka, får oss att klicka. Mycket av detta beror på den tysta utbildning vi alla har fått när vi använder Internet. Webb- och appdesigners fokuserar på att skapa en "sömlös användarupplevelse", dvs. en enkel användarupplevelse som bygger på en sömlös interaktion mellan teknik och människa. Resultatet är att vi alla är vana vid att följa vissa beteendemönster i den digitala världen. Det är dessa mönster som cyberkriminella använder för att lura oss till klickhandlingar.
Att upptäcka tecken på social ingenjörskonst
De tekniker som cyberkriminella använder för att lura den mänskliga hjärnan att agera på en utlösande faktor är typiska för hur vi normalt utvecklar mänskliga relationer:
Förtroende: Genom att använda ett välkänt varumärke som grund för ett phishingmejl kan bedragaren använda förtroende för att hacka en människa. Populära varumärken för nätfiskekampanjer med massmål är Office 365, Facebook, Google och eBay. Mer riktade kampanjer kan dock välja ett varumärke som är närmare kopplat till ett företag, till exempel en specifik webbapplikation eller leverantörsportal. Dessa kampanjer kan göra det ännu svårare att upptäcka phishingmejl och lägga till ett extra förtroendeelement i attacken om det förfalskade varumärket är nära kopplat till och mycket igenkännbart för målet. Även säkerhetsleverantörer kan bli offer för varumärkesförfalskning i phishingkampanjer: Check Point Software, en betrodd säkerhetsleverantör, fick sitt varumärke använt på en phishingwebbplats.
Nyfikenhet och brådska: Detta är typiska inslag i en phishing-kampanj. Bedragarna lurar användarna att göra vad de vill genom att få dem att tro att de har att göra med en betrodd enhet och att uppgiften är brådskande. Ett exempel på detta är en Office 365-fenekampanj från 2020. Forskare identifierade en kampanj som började med att en anställd fick ett e-postmeddelande som visade ett "missat röstmeddelande". Användarna uppmanades att klicka på en knapp för att gå till sitt Office 365-konto för att komma åt det missade meddelandet. Meddelandet visade också ett meddelande "Message from Trusted server" högst upp i e-postmeddelandet, för att bygga vidare på "förtroendeelementet". Om användaren klickade på knappen och skrev in autentiseringsuppgifter till den falska Office 365-webbplatsen skulle dessa uppgifter stjälas.
Den övertygande rösten: Övertalning spelar en stor roll för att lyckas med nätfiske. Enligt Cialdinis marknadsföringsforskning finns det sex grundläggande principer som används för att påverka kundernas beteende. Dessa principer, tillsammans med liknande forskning om övertalning och påverkan, användes av en forskargrupp som undersökte hur social ingenjörskonst fungerar vid nätfiske. Forskarna kom fram till fem nyckelelement i mycket övertygande och därmed framgångsrika phishing-kampanjer:
- Myndighet: Användning av ett auktoritativt namn, t.ex. ett företags VD.
- Socialt bevis: Skapa en kampanj som använder grupptryck för att uppmuntra till beteende.
- Gilla, likhet, bedrägeri: Framgångsrik övertalning fungerar när personer eller ämnen är bekanta.
- Engagemang, ömsesidighet och konsekvens: Människor gillar att vara konsekventa och vill tro på vad andra säger och gör: att återgälda en tjänst, till exempel.
- Distraktion: Genom att skapa en känsla av brådska, t.ex. att en vara kommer att bli dyrare om du inte agerar nu, kan en bedragare distrahera en person från tecken på bedrägeri.
Känslor i social ingenjörskonst
Emotionella reaktioner är sådana som är djupt rotade i oss alla. Användningen av övertalning och känslomässig manipulation i phishing-kampanjer undersöktes i en studie från 2018 som publicerades av American Psychological Society. Forskarna tittade på "emotionell upphetsning som en bedrägeritaktik". Studien visade att människor i alla åldrar reagerade på både positiva och negativa övertalningsmeddelanden och fattade dåliga beslut när de reagerade. I studien står det att "emotionell upphetsning kan påverka känsligheten för vilseledande information och att denna effekt förekommer hos både äldre och yngre vuxna". Detta beteende spelar bedragaren i händerna och nätfiskemeddelanden innehåller ofta en komponent som framkallar en känslomässig reaktion, vilket framgår av exemplen ovan.
Hur du skyddar dig mot social ingenjörskonst
Social ingenjörskonst är farlig eftersom den använder vårt naturliga beteende för att få oss att klicka på en skadlig länk eller ladda ner en infekterad bilaga. Men nätfiskebedragare anpassar också tekniker och verktyg för att säkerställa fortsatt framgång. De skiftande mönstren för nätfiske, tillsammans med en sofistikerad manipulation av måltavlor, gör denna försåtliga typ av cyberbrottslighet till en av de svåraste att ta itu med. Det finns ingen enskild lösning för att förhindra att phishing lyckas. I stället behövs en blandning av utbildning i säkerhetsmedvetenhet och tekniska lösningar för att upptäcka och förhindra ett phishingförsök.