Människor är sociala djur; vi gillar att umgås, kommunicera, arbeta och ha roligt tillsammans. Detta socialiserade beteende, som bygger på pålitliga relationer, gör att mänskliga grupper samarbetar och samexisterar.
Tyvärr är det också dessa sociala aspekter av mänskligt beteende som cyberkriminella, som vill skada, kan utnyttja sårbarheter. Sociala ingenjörsattacker använder sig av list och imitation för att lura människor att utföra en handling som gynnar bedragaren.
Detta bekräftas av Verizon Data Breach Investigations Report (DBIR) från 2022, där man fann att 82 % av alla brott har en mänsklig faktor.
Här är en titt på hur social ingenjörsattacker sker och vad du kan göra för att förhindra att din personal blir social ingenjörsattackerad.
Hur sker sociala ingenjörsattacker?
Enligt en rapport utsätts en genomsnittlig organisation för 700 sociala ingenjörsattacker per år. Sociala ingenjörsattacker finns i många olika former och utvecklas till nya för att undgå upptäckt.
Syftet med en social ingenjörsattack är att få någon att göra något som gynnar en cyberkriminell. Till exempel att lura en person att avslöja finansiella uppgifter som sedan används för att utföra bedrägerier.
Social ingenjörskonst utförs inte bara med digitala metoder. Sociala ingenjörer tar till alla taktiker för att bygga upp de strukturer som behövs för att lura människor. Det kan handla om att använda telefonen eller att gå in på ett kontor och prata med personalen.
De nuvarande favoritknep som används inom social ingenjörskonsten är bland annat:
Förespegling och tailgating: angriparna låtsas att de är en kollega eller en person med auktoritet, t.ex. en polis. De använder denna förklädnad för att skapa förtroende hos en målperson via en digital metod, telefon eller personligen. När förtroendet väl är etablerat försöker bedragaren få ut information, t.ex. personuppgifter eller ekonomiska uppgifter.
Dessutom utför de ofta fysiska attacker mot företag genom att hitta sätt att ta sig in i en byggnad, smita in obemärkt eller till och med bjudas in. När de väl är inne i en byggnad kan de använda lätt tillgängliga verktyg, t.ex. RubberDucky, som används av legitima penetrationstestare, för att stjäla data, inklusive inloggningsuppgifter.
Phishing: Phishing finns i olika varianter, inklusive e-post, telefonsamtal, inlägg i sociala medier och textmeddelanden. Phishing-meddelanden är ett exempel på social ingenjörskonst, där man använder sig av sken, förtroende och klicklust för att uppmuntra mottagarna att lämna ut personlig information, t.ex. lösenord och kreditkortsuppgifter.
I en undersökning om cybersäkerhet från UK Gov konstaterades att den stora majoriteten (83 %) av de företag som identifierat en cyberattack uppgav att nätfiske var den främsta orsaken till attacken.
Spearphishing är en riktad form av phishing som tar social ingenjörskonst till de högsta höjderna av framgång. Det är svårt att skilja e-postmeddelanden från legitima e-postmeddelanden eftersom bedragarna gör allt för att få dem att se realistiska ut, och ofta skapar de förtroendefulla relationer med sina måltavlor. Spearphishing ligger bakom 93 % av cyberattackerna, enligt DBIR 2018.
Lockbete: Denna sociala ingenjörsattack använder lockelse eller rädsla för att missa något (FOMO) för att uppmuntra vissa beteenden. En anställd kan till exempel erbjudas gratis gåvor om han eller hon lämnar ut personlig information eller företagsinformation eller lösenord.
Varför är sociala ingenjörsattacker effektiva?
Människor har utvecklats till att agera och bete sig på vissa sätt för att skapa starka och sammanhållna sociala strukturer. Element som tillit är viktiga komponenter i sammanhållna samhällen. Utan tillit misslyckas relationerna.
Bedragare förstår mänskligt beteende och behovet av att bygga upp förtroendefulla relationer. De förstår också hur man manipulerar människor genom att låtsas vara en betrodd person eller bygga upp förtroende.
Andra mänskliga beteenden, som t.ex. viljan att göra ett bra jobb, att inte hamna i trubbel eller att inte gå miste om något bra, utnyttjas också av cyberkriminella. Alla dessa naturliga handlingar som vi utför dagligen i våra hem- och arbetsliv är öppna för exploatering av cyberkriminella som vill stjäla uppgifter och få tillgång till nätverk för att utföra illasinnade handlingar.
5 exempel på sociala ingenjörsattacker
Exempel på social ingenjörskonst förekommer regelbundet i pressen, men här är fem exempel som ger dig en uppfattning om hur social ingenjörskonst fungerar:
Marriott Hotel: En hackargrupp använde sig av social ingenjörskonst för att stjäla 20 GB personlig och ekonomisk information från ett Marriott Hotel. Hackarna lurade en anställd på Marriott Hotel att ge hackergänget tillgång till hans dator.
US Department of Labor (DoL): Detta involverade en socialt manipulerad attack som stal inloggningsuppgifter till Office 365. Attacken använde sofistikerad phishing baserad på skickligt förfalskade domäner som såg ut som den legitima DoL-domänen. E-postmeddelandena verkade komma från en högt uppsatt DoL-anställd som uppmanade dem att lämna in ett anbud för ett statligt projekt. Genom att klicka på anbudsknappen kom den anställde till en phishing-webbplats som användes för att stjäla inloggningsuppgifter.
Zoom-användare: en nätfiskekampanj riktad till anställda påverkade minst 50 000 användare. De sociala ingenjörerna använde sig av rädsla för uppsägning för att uppmuntra de anställda att klicka på en länk för att träffa personalavdelningen via Zoom. Genom att klicka på länken kom den anställde till en falsk inloggningswebbplats för Zoom som var utformad för att stjäla lösenord.
FACC (österrikisk flygplanstillverkare): FACC förlorade cirka 42 miljoner euro när företaget blev offer för en sofistikerad bluff med Business Email Compromise (BEC). Företagets VD fick sitt e-postkonto förfalskat och användes sedan för att skicka en "brådskande" e-postförfrågan om en penningöverföring. E-postmeddelandet lurade en anställd som var skyldig att betala ett konto, som gick med på begäran och betalade in pengarna på bedragarens konto.
Crowdstrike återkallelse: även säkerhetsleverantörer känner av den sociala ingenjörskonsten. Crowdstrike har blivit en ovetande bricka i den sociala ingenjörens spel. Bedragare använder Crowdstrikes och andra säkerhetsleverantörers pålitliga varumärke för att skicka nätfiskemejl till anställda. E-postmeddelandet innehåller information om en möjlig infektion med skadlig kod och ett telefonnummer som man ska ringa för att ta bort den installerade skadlig kod. Om den anställde når numret luras han eller hon att ge angriparen tillgång till sin dator.
Hur du skyddar dig mot sociala ingenjörsattacker
Social ingenjörskonst är framgångsrik eftersom tekniken manipulerar våra vardagliga handlingar. Detta gör det svårt för anställda att upptäcka att de är en del av en social ingenjörsattack.
Social ingenjörskonst måste vara en del av samtalet om säkerhetsmedvetenhet, och säkerhetspolicyn bör återspegla detta. Det finns dock praktiska sätt att se till att de anställda känner till de knep som bedragare använder sig av vid social ingenjörskonst:
Gör social ingenjörskonst till en del av din säkerhetskultur:
- Ge personalen regelbundna uppdateringar om social ingenjörskonst och hur den fungerar.
- Se till att social ingenjörskonst ingår i din regelbundna utbildning om säkerhetsmedvetenhet.
- Inkludera social ingenjörskonst i affischer för månaden för säkerhetsmedvetenhet och skicka nyhetsbrev till personalen om de problem som orsakas av social ingenjörskonst.
Använd simuleringar av nätfiske: Använd en avancerad plattform för simulering av nätfiske för att utbilda personalen i hur nätfiskemejl ser ut och för att testa deras svar på ett nätfiskemejl. Anpassa dessa e-postmeddelanden till olika roller i organisationen och basera simuleringarna på kända taktiker som används av bedragare.
Penetrationstestar ditt företag och din personal: sätt upp olika testscenarier för att se hur väl personalen reagerar på potentiella försök till social ingenjörskonst. Detta kan inkludera tester för att se hur lätt (eller svårt) det är att ta sig in i byggnaden.
Testa också personalen och deras reaktion på okända personer. Du kan till exempel utge dig för att vara städare eller entreprenörer och se hur långt de kan komma med att få ut information om ditt företag eller be om tillgång till en dator.
