Frank Abagnale var en av världens mest ökända hackare. Hans kriminella verksamhet blev känd i filmen om hans liv, "Catch me if you can". Frank utförde en stor del av sin hackning på 1960-talet. Han använde lågteknologiska sociala tekniker, inklusive "Tailgating", för att utge sig för att vara läkare och pilot för att underlätta olika ekonomiska bedrägerier. Under sina bedrägerier använde Frank falska identiteter för att förfalska checkar och lösa in dem. Frank stal stora summor pengar och dömdes till slut till 12 års fängelse för bedrägeri. Frank har sedan länge lämnat sitt kriminella liv för att ge råd om hur man förebygger cyberbrottslighet.
Frank använde sig av social ingenjörskonst för att begå bedrägerier genom att manipulera situationer och människor. Dessa angreppsmetoder fokuserar vanligtvis på svagheter i det mänskliga beteendet och utnyttjar dem för att inleda cyberattacker, inklusive skadegörelse, inventarstöld, infektion med utpressningstrojaner, Business Email Compromise (BEC) och dataexponering. Begreppet "teknik" förvränger den ofta subtila och lågteknologiska karaktären hos många av de sociala teknikfrågorna. Här följer en titt på den lågteknologiska hackningstaktik som kallas "Tailgating".
Vad är Tailgating i samband med ett cyberhot?
Nyhetsrubrikerna är fyllda av massiva säkerhetsöverträdelser och analytiker tar oss igenom de ofta komplicerade intrång som ingår. Alla intrång är dock inte digitala, utan många sker med hjälp av lågteknologiska metoder. Men även dessa lågteknologiska attacker kan fortfarande leda till stora intrång och stölder.
Tailgating, som ibland kallas "Piggbacking", är en form av lågteknologisk social ingenjörskonst som är ett fysiskt snarare än digitalt hack. Denna fysiska attack kan dock leda till en digital cyberattack.
Ett typiskt exempel på "tailgating" är en bedragare som tar sig in i en företagsbyggnad genom att låtsas vara en legitim besökare, en budbärare eller liknande. Colin Greenless, en konsult på Siemens Enterprise Communications, visade 2009 hur lätt det är att ta sig in i en svans och hur skadligt det kan vara. Greenless tog sig obehörigt in i en byggnad för ett FTSE 100-listat finansinstitut och hade inom 20 minuter hittat ett mycket känsligt dokument om fusioner och förvärv som låg öppet på ett skrivbord.
Psykologin bakom Tailgating
Att köra bakom en bil drar nytta av mänskligt beteende och situationer. Tailgating är en social ingenjörstaktik på plats - det vill säga att den som följer efter måste befinna sig fysiskt i den miljö som han eller hon vill utnyttja. Detta innebär att andra viktiga faktorer för att lyckas med tailgating kommer in i bilden, nämligen pretexting.
Pretexting är förmodligen lika gammalt som det mänskliga samhället. Det är en handling där man utger sig för att vara någon annan för att få känslig eller viktig information från en annan person eller grupp, ungefär som Frank Abagnale. Vid svansföring tar gärningsmannen ofta på sig en identitet som gör måltavlan mer öppen för att avslöja information eller utföra en handling (som att öppna en dörr). För att kunna använda en förevändning krävs det att man gör efterforskningar om en måltavla. Det bygger också på begreppet förtroende - vilka förutsättningar hjälper till att bygga upp en pålitlig personlighet för att göra varje scenario för social ingenjörskonst mer framgångsrikt? Om en social ingenjör till exempel vill skugga ett målföretag kan han eller hon ägna tid åt att undersöka vilka typer av besökare som dyker upp i organisationens byggnad; finns det till exempel en särskild tid då leveranser sker? Denna underrättelseinsamling gör det möjligt för bedragaren att bygga upp en pålitlig personlighet som de kan använda för att manipulera och påverka anställda så att de släpper in dem i en normalt säkrad byggnad eller ett normalt skyddat rum.
Skadorna från Tailgating
Tailgating är inte bara ett fall där någon spelar dum och tar sig in i en byggnad för skojs skull. Tailgating har ett illasinnat syfte, och förövarna utför denna handling för att orsaka egendomsskador, stjäla information, installera skadlig kod och till och med utsätta personalens liv för fara. I en nyligen genomförd undersökning från Boon Edam kände sig 71 % av de tillfrågade riskerade att utsättas för ett fysiskt intrång på grund av "tailgating".
Det finns olika former av "tailgating", och de som deltar kan vara före detta anställda eller främlingar.
Före detta anställda: Enligt forskning kommer 80 % av skadeståndsanspråken på cyberområdet från arbetstagares försumlighet, inklusive oseriösa anställda. Dessa före detta anställda är ofta missnöjda, söker hämnd och skadar egendom och stjäl företagsinformation och känsliga uppgifter för att genomföra denna hämnd.
Främre faror: Under Colin Greenless svansövning gav 17 anställda på begäran Colin sina lösenord. Bedragare planerar vanligtvis sina attacker i god tid. De vet vem de ska rikta in sig på, och förutom lösenord finns även tillträdeskort med på deras lista över vad de måste ha. Att vara artig mot en främling kan leda till att konton äventyras, att data bryts och till och med att skadlig kod installeras.
Hur man slutar att köra i baksätet
En säkerhetspolicy är ett viktigt första steg i utvecklingen av metoder för att stoppa "tailgating"-evenemang. Policyn måste återspegla metoderna för svansföring och hur man kan stoppa svansföretagen i deras spår. För att stoppa tailgating, innan det kommer in under huden på din organisation, bör du titta på följande områden:
Grunderna
Lär de anställda om vad "tailgating" är, hur det sker och vilka konsekvenser det får. Detta bör ingå i ett pågående utbildningsprogram för säkerhetsmedvetenhet. Programmen för säkerhetsmedvetenhet bör täcka alla aspekter av cyberhot, både digital och fysisk säkerhet.
Vaksamhet
Uppmuntra de anställda att vara vaksamma. Alla som ser misstänksamma ut bör uppmanas att visa upp sina legitimationsuppgifter. Ännu bättre är att inrätta en process så att de anställda kan informera en relevant medlem av säkerhetsgruppen eller chefen om sina misstankar.
Miljömedvetenhet
Utbilda de anställda om åtgärder som utförs av "tailgater", t.ex. att försöka få fysisk tillgång till begränsade områden när en behörig person går in i området. Se till att de anställda vet att svansföring innebär att man använder förtroendeknep för att bygga upp ett förtroende.
Assertivitet
Det är viktigt att vara artig, men att vara bestämd kan hjälpa till att förhindra ett allvarligt brott mot företaget. Anställda måste få lära sig om hur man gör för att undvika säkerhet och hur dessa brottslingar använder rädslan för att verka oartiga för att kringgå säkerheten.
Att stänga dörren till Tailgating
Colin Greenless var en hackare med en vit hatt, och hans eskapader blev öppna för allmänheten för att hjälpa till att förebygga svansning. Men det är fortfarande vanligt att man kör med bakluckeloppisen. Ett exempel från senare tid är en kvinna som fick tillträde till ett begränsat område på Mar-a-Lago Trump Resort med fyra mobila enheter, en bärbar dator, en extern hårddisk och ett USB-minne som innehöll skadlig kod. Även med presidentens säkerhetsnivåer på plats kunde hon kringgå säkerheten genom att låtsas att hon inte förstod frågor från säkerhetspersonalen, vilket resulterade i att "säkerhetspersonalen skyllde på en språkbarriär och släppte in henne".
Personer som vill skada en organisation och/eller begå bedrägerier kommer att arbeta hårt för att lura de anställda. Mänskliga egenskaper som artighet, bristande vaksamhet eller att man bara är distraherad av arbetet kan leda till att ondskefulla personer tar sig in i en organisation i onda avsikter. De anställda måste göras medvetna om farorna med det som kan verka harmlöst, som att någon dyker upp på ett kontor som kanske inte borde vara där. Utbildning i säkerhetsmedvetenhet kommer att stänga dörren till "tailgating" och ge de anställda den kunskap som behövs för att ta itu med detta lömska problem.