I rapporter som Verizons rapport om databrottsutredningar (Data Breach Investigations Report, DBIR) från 2022 anges att människan är en central komponent i 82 % av cyberattackerna. Bedragare använder tekniker som bygger på social ingenjörskonst för att lura människor att utföra handlingar som gynnar en hackare.
Social ingenjörskonst är ett paraplybegrepp som omfattar många taktiker som används för att manipulera anställda och andra användare. Här är sex av de vanligaste typerna av social ingenjörskonst och hur du kan förhindra att hackare utnyttjar dem framgångsrikt i din organisation.
Sex av de vanligaste social ingenjörsattackerna
1. Phishing och social ingenjörskonst
Spear-phishing, en riktad form av phishing, är inblandad i 93 % av cyberattackerna, enligt 2018 års DBIR. Den mindre riktade formen av phishing är fortfarande den näst vanligaste formen av cyberattacktaktik, enligt Cisco.
Phishing är ett perfekt sätt för hackare att manipulera människor och hör därför till social ingenjörskonst. Phishing kan ta sig uttryck i flera olika former. Phishing och spear phishing har redan nämnts, men hackare använder alla kommunikationsmedel, inklusive textmeddelanden och telefonsamtal (SMShing och Vishing), för att uppmuntra människor att klicka på en länk till en skadlig webbplats, lämna personlig information eller ladda ner en infekterad bilaga.
2. Sociala medier för social ingenjörskonst
Sociala medier är en guldgruva av information som cyberbrottslingar kan använda för att attackera människor, appar, nätverk och data: bedragare behöver data för att kunna genomföra cyberattacker, inklusive Business Email Compromise (BEC).
När anställda eller andra personer delar med sig av information på sociala medier är bedragare på sin vakt. Enligt en forskningsrapport upplever företag följande problem när anställda delar information på sociala medier:
- dela för mycket information
- Förlust av konfidentiell information.
- Ökad exponering för tvister.
I artikeln dras slutsatsen att sociala medier erbjuder ett öppet medium för delning som försvårar utmaningarna med social ingenjörskonst.
3. Bakomliggande och bakåtsträvande åtgärder
Att köra med en bil är en av de äldsta bedrägerierna inom social ingenjörskonsten. Tailgating, eller piggybacking, ses ofta som en fysisk bluff, men kan också vara digital. I den fysiska världen kan man använda sig av en bedragare som obemärkt tar sig in i ett företags kontorsbyggnad. Bedragare vet hur de ska se ut för att vara diskreta, vilket gör att de kan få tillträde till en byggnad utan tillstånd eller "dra på sig" någon som går in i en byggnad.
När de väl är inne kan de lura anställda att dela med sig av kontouppgifter, t.ex. lösenord, eller använda hackningsverktyg för att stjäla data direkt från datorer. De kan till och med använda det gamla tricket att titta över axeln på någon som är inloggad på ett känsligt område i nätverket.
4. Förhandsbesked
Bedragare behöver ofta data för att lyckas med en social konstruerad bluff. Som nämnts ovan kan hackaren samla in information för att lura en person med hjälp av sociala medier, phishing och tailgating. Pretexting använder social ingenjörskonst för att få människor att tro att bedragaren är någon som har auktoritet eller har tillstånd att befinna sig på en viss plats: med andra ord utger sig bedragaren för att vara någon.
De kan till exempel låtsas vara en entreprenör eller en chef på C-nivå, vilket kan verka osannolikt, men en självsäker bedragare kan få detta att hända i en stor organisation med flera kontor.
5. Lockbete
Människor älskar gratis saker, och beteendet används för att lura anställda att lämna ut information, t.ex. känsliga uppgifter eller finansiella detaljer. Bedragaren väljer till exempel ut en anställd eller skickar ett massmejl med ett erbjudande om en gratis produkt, till exempel en film som kan laddas ner. Om den anställde trycker på nedladdningsknappen blir resultatet en infekterad enhet.
Detta är ett effektivt sätt att installera skadlig kod. Ett exempel på detta var den piratkopierade versionen av Game of Thrones, som blev det mest malware-infekterade tv-programmet genom tiderna under 2018. 126 340 användare blev infekterade med malware när de laddade ner piratversionen av tv-programmet.
6. Quid Pro Quo
Quid Pro Quo är en latinsk fras (detta för det) som används för att beskriva ett utbyte av något mot varor eller tjänster. Cyberbrottslingar vill ha data, och Quid Pro Quo är ett sätt att komma åt dessa data.
En typisk Quid Pro Quo-attack fungerar så här: en anställd får ett samtal från "teknisk support" som berättar att det pågår en attack med utpressningstrojaner och att de måste ta bort viruset innan det skadar den anställdes arbete. Hackaren måste ha den anställdes användarnamn och lösenord för att kunna göra detta. Om den anställde går på detta knep får hackaren tillgång till företagets nätverk, vilket han eller hon kan använda för att öka sina privilegier till mer känsliga områden.
Tre sätt att skydda dina anställda från sociala ingenjörsattacker
1. Inför processer och policyer
Ofta måste sociala ingenjörer förlita sig på dåliga processer som gör det möjligt för dem att utnyttja säkerhetsluckor. Vid "tailgating" kan inkräktaren till exempel förlita sig på att det inte görs några kontroller av personer som kommer in i en byggnad. Sociala ingenjörer förlitar sig ofta på att de litar på auktoriteter för att uppmuntra en anställd att handla, t.ex. överföra pengar, som i ett BEC-bedrägeri.
De flesta bedrägerier med social ingenjörskonst kräver data, så bedragarna vänder sig till sociala medier eller nätfiske för att samla in den information de behöver för att genomföra en cyberattack. Robusta processer som lägger till kontroller och balanser när en åtgärd, t.ex. överföring av pengar eller data, sker kan hjälpa till att förhindra en social ingenjörsattack. Policyer som säkerställer att anställda inte delar med sig för mycket på sociala medier bidrar till att undvika denna form av datainsamling.
2. Utbilda de anställda i social ingenjörskonst
Social ingenjörskonst har många olika former, och de cyberkriminella som står bakom sociala ingenjörskonstattacker anpassar dessa bedrägerier för att undvika att bli upptäckta. Därför bör utbildningspaketet för säkerhetsmedvetenhet innehålla utbildning om sociala knep, inklusive de sex bedrägerier som beskrivs ovan.
Utbildningen måste vara engagerande och använda utbildningsmoduler som är intressanta, roliga och informativa.
Plattformen för säkerhetsmedvetenhet bör också erbjuda sätt att registrera hur framgångsrik ett utbildningspaket är för att säkerställa att din organisation kan uppdatera och justera utbildningen för att skapa bästa möjliga resultat. Utbildning av anställda i att känna igen social engineering-attacker bör utföras regelbundet för att fånga upp förändringar i hotmönster.
3. Använd simulerade Phishing-program
Phishing är en central teknik som många sociala ingenjörsattacker bygger på. Att upptäcka de tydliga tecknen på ett phishing-e-postmeddelande eller annat phishing-meddelande är en viktig första försvarslinje mot socialtekniska attacker.
Programvara för simulering av nätfiske tillhandahåller mallar som kan anpassas för att återspegla aktuella sociala tekniktrick. Dessa skickas sedan ut som vanligt till anställda och andra affärspartner. Om en användare klickar på en skadlig länk eller laddar ner en bilaga kommer den simulerade phishingplattformen att ingripa med en lektion om vad som skulle hända om de fortsatte med detta.