Vad är social ingenjörskonst? I artikeln kan du läsa om fem kända exempel på social engineering-attacker och upptäcka hur dessa taktiker lurar individer. Verkligen, människan är av naturen en social varelse som gillar att umgås, kommunicera, arbeta och dela med sig av aktiviteter. Denna sociala förmåga, som bygger på förtroende, underlättar samarbete och samexistens inom mänskliga grupper.
Men just dessa sociala egenskaper utnyttjas också av cyberbrottslingar som vill orsaka skada. Sociala ingenjörsattacker drar nytta av dessa sårbarheter och använder bedrägeri och imitation för att manipulera individer till handlingar som tjänar bedragarens agenda.
Detta bekräftas av Verizon Data Breach Investigations Report (DBIR) från 2023, som visar att 82 % av överträdelserna involverar en mänsklig faktor.
Här är en titt på hur social ingenjörsattacker sker och vad du kan göra för att förhindra att din personal blir social ingenjörsattackerad.
Hur sker sociala ingenjörsattacker?
Enligt en färsk rapport utsätts en genomsnittlig organisation för 700 social engineering-attacker per år. Sociala ingenjörsattacker förekommer i många olika former och utvecklas till nya för att undgå upptäckt.
Syftet med en social ingenjörsattack är att få någon att göra något som gynnar en cyberkriminell. Till exempel att lura en person att avslöja finansiella uppgifter som sedan används för att utföra bedrägerier.
Social ingenjörskonst utförs inte bara med digitala metoder. Sociala ingenjörer tar till alla taktiker för att bygga upp de strukturer som behövs för att lura människor. Det kan handla om att använda telefonen eller att gå in på ett kontor och prata med personalen.
De nuvarande favoritknep som används inom social ingenjörskonsten är bland annat:
Pretexting och tailgating: angriparna låtsas att de är en kollega eller en person med auktoritet, t.ex. en polis. De använder denna förklädnad för att skapa förtroende hos en målperson via en digital metod, telefon eller personligen. När förtroendet väl är etablerat försöker bedragaren få ut information, t.ex. personuppgifter eller ekonomiska uppgifter.
Dessutom utför tailgators ofta fysiska attacker mot företag genom att hitta sätt att ta sig in i en byggnad, obemärkt eller till och med inbjudna. Väl inne i byggnaden kan de använda lättillgängliga verktyg, t.ex. RubberDucky USB som används av legitima penetrationstestare, för att stjäla data, inklusive inloggningsuppgifter.
Phishing: Phishing förekommer i olika former, t.ex. via e-post, telefonsamtal, sociala medier och textmeddelanden. Phishing-meddelanden är ett uttryck för social ingenjörskonst, där man genom att låtsas, lita på andra och klicka uppmuntrar mottagaren att lämna ut personlig information, t.ex. lösenord och kreditkortsuppgifter.
I en undersökning om cybersäkerhet från UK Gov konstaterades att den stora majoriteten (83 %) av de företag som identifierat en cyberattack uppgav att nätfiske var den främsta orsaken till attacken.
Spearphishing är den riktade form av phishing som tar social engineering till de största höjderna av framgång. Spearphishing-mejl är svåra att skilja från legitima mejl eftersom bedragarna anstränger sig för att få dem att se realistiska ut och ofta skapar förtroendefulla relationer med sina mål. Spearphishing ligger bakom 93 % av cyberattackerna, enligt DBIR 2018.
Baiting: Denna sociala ingenjörsattack använder lockelse eller rädsla för att missa något (FOMO) för att uppmuntra vissa beteenden. En anställd kan till exempel erbjudas gratis gåvor om han eller hon lämnar ut personlig information eller företagsinformation eller lösenord.
Varför är sociala ingenjörsattacker effektiva?
Människor har utvecklats till att agera och bete sig på vissa sätt för att skapa starka och sammanhållna sociala strukturer. Element som tillit är viktiga komponenter i sammanhållna samhällen. Utan tillit misslyckas relationerna.
Bedragare förstår mänskligt beteende och behovet av att bygga upp förtroendefulla relationer. De förstår också hur man manipulerar människor genom att låtsas vara en betrodd person eller bygga upp förtroende.
Andra mänskliga beteenden, som t.ex. viljan att göra ett bra jobb, att inte hamna i trubbel eller att inte gå miste om något bra, utnyttjas också av cyberkriminella. Alla dessa naturliga handlingar som vi utför dagligen i våra hem- och arbetsliv är öppna för exploatering av cyberkriminella som vill stjäla uppgifter och få tillgång till nätverk för att utföra illasinnade handlingar.
5 exempel på sociala ingenjörsattacker
Exempel på social ingenjörskonst förekommer regelbundet i pressen, men här är fem exempel som ger dig en uppfattning om hur social ingenjörskonst fungerar:
Marriott Hotel: En hackargrupp använde sig av social ingenjörskonst för att stjäla 20 GB personlig och ekonomisk information från ett Marriott Hotel. Hackarna lurade en anställd på Marriott Hotel att ge hackergänget tillgång till hans dator.
US Department of Labor (DoL): Detta involverade en socialt manipulerad attack som stal inloggningsuppgifter till Office 365. Attacken använde sofistikerad phishing baserad på skickligt förfalskade domäner som såg ut som den legitima DoL-domänen. E-postmeddelandena verkade komma från en högt uppsatt DoL-anställd som uppmanade dem att lämna in ett anbud för ett statligt projekt. Genom att klicka på anbudsknappen kom den anställde till en phishing-webbplats som användes för att stjäla inloggningsuppgifter.
Zoom-användare: en phishing-kampanj riktad till anställda påverkade minst 50 000 användare. De sociala ingenjörerna använde rädsla för övertalighet för att uppmuntra anställda att klicka på en länk för att träffa HR via Zoom. Genom att klicka på länken kom den anställde till en falsk inloggningssida för Zoom som var utformad för att stjäla lösenord.
FACC (österrikisk flygplanstillverkare): FACC förlorade cirka 42 miljoner euro när företaget blev offer för en sofistikerad bluff med Business Email Compromise (BEC). Företagets VD fick sitt e-postkonto förfalskat och användes sedan för att skicka en "brådskande" e-postförfrågan om en penningöverföring. E-postmeddelandet lurade en anställd som var skyldig att betala ett konto, som gick med på begäran och betalade in pengarna på bedragarens konto.
Crowdstrike återkallelse: även säkerhetsleverantörer känner av den sociala ingenjörskonsten. Crowdstrike har blivit en ovetande bricka i den sociala ingenjörens spel. Bedragare använder Crowdstrikes och andra säkerhetsleverantörers pålitliga varumärke för att skicka nätfiskemejl till anställda. E-postmeddelandet innehåller information om en möjlig infektion med skadlig kod och ett telefonnummer som man ska ringa för att ta bort den installerade skadlig kod. Om den anställde når numret luras han eller hon att ge angriparen tillgång till sin dator.
Hur du skyddar dig mot sociala ingenjörsattacker
Social ingenjörskonst är framgångsrik eftersom tekniken manipulerar våra vardagliga handlingar. Detta gör det svårt för anställda att upptäcka att de är en del av en social ingenjörsattack.
Social ingenjörskonst måste vara en del av samtalet om säkerhetsmedvetenhet, och säkerhetspolicyn bör återspegla detta. Det finns dock praktiska sätt att se till att de anställda känner till de knep som bedragare använder sig av vid social ingenjörskonst:
Gör social ingenjörskonst till en del av din säkerhetskultur:
- Ge personalen regelbundna uppdateringar om social ingenjörskonst och hur den fungerar.
- Se till att social ingenjörskonst ingår i din regelbundna utbildning om säkerhetsmedvetenhet.
- Inkludera social ingenjörskonst i affischer för månaden för säkerhetsmedvetenhet och skicka nyhetsbrev till personalen om de problem som orsakas av social ingenjörskonst.
Använd simuleringar av nätfiske: Använd en avancerad plattform för simulering av nätfiske för att utbilda personalen i hur nätfiskemejl ser ut och för att testa deras svar på ett nätfiskemejl. Anpassa dessa e-postmeddelanden till olika roller i organisationen och basera simuleringarna på kända taktiker som används av bedragare.
Penetrationstestar ditt företag och din personal: sätt upp olika testscenarier för att se hur väl personalen reagerar på potentiella försök till social ingenjörskonst. Detta kan inkludera tester för att se hur lätt (eller svårt) det är att ta sig in i byggnaden.
Testa också personalen och deras reaktion på okända personer. Du kan till exempel utge dig för att vara städare eller entreprenörer och se hur långt de kan komma med att få ut information om ditt företag eller be om tillgång till en dator.
