Enligt forskning från Beaming fick företag i Storbritannien 2021 hantera ett försök till dataintrång var 47:e sekund. Rapporten fortsätter med att belysa att distansarbete har varit en möjlighet att öka antalet cyberattacker. Detta är anmärkningsvärt eftersom det enligt Verizons rapport om utredningar om dataintrång (DBIR) från 2021 framgår att 85 % av dataintrången måste initieras av en människa.
Den perfekta stormen skapas av social ingenjörskonst, en taktik som omfattar ett brett spektrum av aktiviteter som manipulerar mänskligt beteende. Cyberkriminella använder sig bokstavligen av alla tänkbara sätt att utnyttja anställda och använder sig av kända psykologiska knep för att få oss att klicka innan vi tänker eller ladda ner skadlig kod.
En färsk rapport visar att cyberattacker baserade på social ingenjörskonst ökade med 270 % under 2021. Det finns flera orsaker till detta, men det viktigaste är att tekniker för social ingenjörskonst fungerar och att vi måste hitta sätt att skydda våra anställda.
Ett sätt att förhindra att sociala ingenjörer manipulerar vår personal, och så småningom våra data och företagsnätverk, är att förstå hur sociala ingenjörsattacker fungerar.
Här är några av de senaste typerna av social engineering-attacker att se upp för.
Social ingenjörskonst och cybersäkerhet
Hot mot cybersäkerheten är sällan rent tekniska. I stället har cyberbrottslingar snabbt insett att det är ett bra sätt att ta sig in i ett skyddat nätverk genom att använda anställda, icke-anställda och det bredare leverantörsekosystemet för att utföra sina illvilliga syften.
Nyligen genomförd forskning om användningen av företagsmejl för att starta en cyberattack visade att i 30 % av organisationerna hamnade över 50 % av de länkar som togs emot via e-post på en skadlig webbplats. Det är en lavin av skadliga ingångar till ett företagssystem och dess affärsverksamhet.
Social engineering-attacker använder vanliga taktiker som fungerar gång på gång. Men hackare kan variera dem allteftersom händelserna utvecklas. Covid-19-pandemin var en sådan händelse.
Några av de troliga sociala ingenjörsattacker som du bör hålla utkik efter under det kommande året är följande:
Kompromiss av företags e-post (och kompromiss av leverantörernas e-post)
I Verizon Data Breach Investigation Report (DBIR) från 2021 konstaterades att Business Email Compromise (BEC) var den näst vanligaste formen av social engineering-attacker. BEC och VEC är social ingenjörskonst när den är som mest invecklad och mångfacetterad.
BEC-bedragare använder övervakning för att förstå sina mål och skapa skräddarsydda e-postmeddelanden som ser legitima ut, men som förfalskas. Ofta börjar en BEC-attack med ett komprometterat e-postkonto. Detta ger bedragarna den information som behövs för att utföra sofistikerade trick.
Kompromitterade konton och lösenord kan också omdirigeras så att hackaren kan övervaka företagets verksamhet och kommunikation för att samla in all information som behövs för att manipulera anställda att skapa nya eller ändra befintliga fakturor för att skicka företagets pengar till bedragaren.
Rapporten 2021 Business Email Security Landscape Report ger några viktiga insikter för att minska framgången för dessa typer av attacker:
- 72 % av de tillfrågade hade upplevt en BEC-attack under de senaste 12 månaderna.
- Nästan 50 % av BEC-attackerna använder en förfalskad identitet som presenteras i e-postens namn.
- Spear phishing-e-post är inriktad på personer som har möjlighet att flytta pengar. Dessa riktade phishingmejl använder företagsnamn (68 %), namn på enskilda måltavlor (66 %) och namnet på chefen/ledaren (53 %) för att skräddarsy attacken.
En ny variant av BEC är Vendor Email Compromise (VEC). Denna typ av BEC fokuserar på säljare för att leda bort pengar. VEC-attacker använder sig av en kedjeeffekt, där phishing sprider sig över hela leverantörens ekosystem om det inte kontrolleras.
VEC-attacker utförs vanligen av välfinansierade professionella cyberkriminella eftersom de kräver djupgående övervakning och rekognoscering för att förstå sina mål tillräckligt bra för att kunna skapa trovärdiga förfalskade meddelanden. Social ingenjörskonst är kärnan i VEC, precis som i BEC, men den enda skillnaden är att cyberkriminella fokuserar på ett helt ekosystem.
Liksom BEC är VEC-bedragarens mål att lura ett företag och stjäla pengar. Timing är en viktig del av en VEC-attack, och social ingenjörskonst används för att lura anställda att ändra detaljerna i en faktura i precis rätt ögonblick så att inga misstankar väcks.
Phishing i alla dess former
BEC är en av många typer av cyberattacker som använder sig av phishing eller spear-phishing för att inleda en attack. Phishing är en favorit bland sociala ingenjörer och förekom i 36 % av överträdelserna enligt DBIR. Phishing är det ultimata verktyget i den sociala ingenjörens vapenarsenal eftersom dess innehåll och sammanhang i slutändan kan leda till kontroll över ett företagsnätverk.
I nätfiskemejl används olika psykologiska knep och utlösande faktorer för att få mottagarna att klicka på en skadlig länk eller ladda ner en infekterad bilaga. Dessa knep är bland annat att föreställa välkända varumärken, att använda brådska och rädsla för att uppmuntra till att klicka och att utlösa känslor som Fear of Missing Out (FOMO). Mer om de olika taktiker som används för att lura anställda finns i MetaCompliance "Ultimate Guide to Phishing".
Phishing följer ofta händelser eller riktar sig till användare i specifika syften.
Känslomässig manipulering och event-led Phishing : Händelser kan ofta vara en känslomässig utlösande faktor för en person. Bedragare använder dessa känslor för att manipulera användarna så att de känner att de går miste om något eller måste agera snabbt för att dra nytta av en händelse.
Under Covid-pandemin var det många nätfiskeförsändelser med varumärket "Världshälsoorganisationen" som spelade på e-postmottagarnas oro för hälsan. Vid ett tillfälle under pandemin blockerade Google omkring 17 miljoner bluffmejl per dag, och många bedragare använde pandemin för att spela på människors känslor och rädsla. Ett enda bluffmejl som hamnar i en anställds inkorg kan leda till ett katastrofalt dataintrång.
Ransomware-attacker med uppföljande nätfiske: Nätfiske leder till utpressning och nu kan det också leda till uppföljande nätfiske: Detta var fallet i Lapsus$-attacken nyligen mot Portugals största mediekonglomerat Impresa. Koncernen äger landets största TV-kanal och tidning, SIC och Expresso. Attacken tros ha börjat med ett spear-phishing-e-postmeddelande som ledde till att man tog över koncernens Amazon Web Services (AWS)-konto. Detta ledde till defacement av koncernens webbplats, övertagande av Expressos Twitter-konto och användning av ett nyhetsbrevskonto för att skicka ut phishing-e-post till koncernens prenumeranter.
När en cyberkriminell väl har tillgång till ett nätverk, vanligtvis via stulna autentiseringsuppgifter från nätfiske eller spear-phishing, kan han eller hon använda denna ingångspunkt för att öka sina privilegier och skapa ytterligare attacker, som i Lapsus$-attacken. Det är mycket troligt att dessa typer av mångfacetterade överlappande attacker kommer att bli vanligare.
Phishing kommer även i fortsättningen att användas för att initiera cyberattacker eftersom det är ett sätt för cyberbrottslingar att "kommunicera" med personer som är en del av ett företags målgrupp. Denna kommunikationsmetod är ett perfekt sätt att skapa social ingenjörskonst hos en människa, vilket innebär att cyberkriminella inte behöver "hacka" sig in i tekniken som kan vara skyddad, utan istället hacka människan.
Social ingenjörskonst och djupa förfalskningar
Deep fakes är det ultimata sättet att utföra sociala ingenjörsattacker och organisationer bör förvänta sig att denna teknik kommer att användas av skändliga skäl under de kommande åren. FBI har redan publicerat en varning med följande lydelse:
"FBI räknar med att den i allt högre grad kommer att användas av utländska och kriminella cyberaktörer för spearphishing och social ingenjörskonst i en utveckling av cyberoperativa metoder."
FBI föreslår taktiker som kan användas för att minska risken för social ingenjörskonst via djupa förfalskningar, bland annat genom att "utbilda användarna i att identifiera och rapportera försök till social ingenjörskonst och spearphishing som kan äventyra personliga konton och företagskonton"."
Att ta itu med social ingenjörskonst vid källan
Social ingenjörskonst har gett hackare möjlighet att få tillgång till resurser sedan människan existerade. Det faktum att dessa brottslingar arbetar i en digital värld ändrar inte det faktum att cyberkriminellas mål är mänskligt beteende.
För att hindra sociala ingenjörer från att manipulera våra anställda och det bredare nätverket av affärspartner måste vi utbilda dessa personer i sociala ingenjörers metoder. Kunskap är makt, och maktbalansen måste flyttas från cyberkriminella till företag genom utbildning av anställda och genom att försök fångas upp med hjälp av rapporteringssystem.