Social Manipulering

Hvorfor oss?

Hva er sosial manipulering?

Mennesker er predisponert for å ønske å hjelpe andre. Det ligger i vår natur. Hvis du er resepsjonist eller jobber på et hjelpesenter, kan det til og med være en del av stillingsbeskrivelsen din.

Likevel, vær oppmerksom på sosial manipulering. Hva er sosial manipulering? Det er en subtil manipulering av ansatte for å få ulovlig tilgang til din bygning, systemer og data.

Sosial manipulering er hacking. Men det er ikke hacking inn i nettverket ditt ved å utnytte en teknisk sårbarhet. Sosial manipulering er hacking av dine ansatte, det organiske laget av forsvaret ditt.

Techopedia forklarer

De fleste av oss deler lignende egenskaper. Ingen liker å ha problemer på jobben, og vi synes synd på de som har det. Vi er tilbøyelige til å hjelpe mennesker som sliter med problemer, selv om det betyr at vi bøyer reglene litt eller bryter protokollen et øyeblikk.

Vi er enda mer sannsynlig å gjøre dette hvis vi liker eller empati med personen som har problemet. Vi er også betinget til å adlyde autoritetsfigurer. Vi ønsker å bli sett på som i stand til å hjelpe og villige til å stille opp.

Dyktige trusselaktører kan utnytte alle disse egenskapene og tvinge folk til å gjøre det de vil. Det er å utnytte menneskelig psykologi for å styre de uforvarende til å utføre en handling som gagner gjerningspersonen.

Sosiale manipuleringsangrep kan skje i en enkelt telefonsamtale, eller de kan spilles ut over en periode, sakte vinne tillit og aksept.

Målet deres er å komme seg gjennom sikkerhetstiltakene dine eller gå rundt dem.

Det er ikke noe nytt

Sosial manipulering har eksistert like lenge som svindlere har eksistert. Det er teknikker som fungerer, så det var uunngåelig at de ville bli plukket opp og brukt av cybertrusselaktører.

De jobber med menneskers beundringsverdige kvaliteter, som deres vennlighet og ønske om å hjelpe, eller deres dårligere kvaliteter, som grådighet og frykt.

Trusselaktøren kan ønske å:

Det er Ikke Noe Nytt

Sosial manipulering har eksistert like lenge som svindlere har eksistert. Det er teknikker som fungerer, så det var uunngåelig at de ville bli plukket opp og brukt av cybertrusselaktører.

De jobber med menneskers beundringsverdige kvaliteter, som deres vennlighet og ønske om å hjelpe, eller deres dårligere kvaliteter, som grådighet og frykt.

Trusselaktøren kan ønske å:

  • Skaffe kredittkortopplysninger eller andre finansielle detaljer.
  • Få innloggingsopplysninger for en brukerkonto.
  • Installere skadevare som tasteloggere slik at offerets tastetrykk sendes til trusselaktørens server.
  • Installere programvare for fjernaksess som lar trusselaktørene få tilgang til offerets datamaskin.
  • Installere løsepengevirus for å utpresse penger fra virksomheten.
  • Få fysisk tilgang til bygningen din for å plante skjulte enheter for å manuelt installere skadevare eller stjele maskinvare.

I motsetning til mange cyberangrep, er sosiale manipuleringsangrep spesifikt rettet mot sine ofre. Dette står i kontrast til “spray and pray”-typen angrep, som phishingangrep eller port scanning.

Hvordan trusselaktører bruker sosial manipulering

Sosiale manipuleringsangrep kan involvere telefonsamtaler, e-post, eller personlig oppmøte på arbeidsplassen din. Ganske ofte brukes en blanding av disse teknikkene for å tilpasse seg behovene til angrepet.

Rekognosering

Trusselaktører vil samle informasjon om målet innenfor selskapet. De overvåker X (tidligere Twitter) og LinkedIn og ser etter informasjon som gir dem en fordel. Sosiale medier er et tveegget sverd. Det du sender ut til verden kan lett brukes mot deg.

  • En trusselaktør kan se at et ledende medlem av personalet skal være ute av kontoret på en konferanse. Dette er den typen informasjon de kan bruke. Det gir trusselaktøren en “inn”.
  • De vil ringe og be om å snakke med den personens PA. Fordi de snakker om en ekte hendelse, har PA ingen grunn til å mistenke at oppringningen er bedragerisk.
  • Hvis trusselaktøren har “spoofed” anrops-IDen, slik at samtalen ser ut til å stamme fra det ekte telefonnummeret for arrangementet, er illusjonen enda mer overbevisende.
  • De vil presentere et problem og be om hjelp til å ordne det. “Vi har en registrering av hans booking, men ingen registrering av et depositum eller betaling. Jeg kommer til å få problemer hvis jeg ikke kan ordne dette før jeg går av vakt om ti minutter. Jeg håper virkelig du kan redde meg. Har du tilfeldigvis detaljene til kredittkortet bookingen ble gjort med, slik at jeg kan slå det opp?”

Angrep via telefon

De enkleste angrepene er ofte de beste, og teknisk støtte er et vanlig mål. Jobben deres er å løse problemer. Arbeidsdagen deres er viet til å prøve å tilfredsstille innringerens behov og få problemer til å forsvinne.

1. Etterligne en ny ansatt

  • Bedrifter legger ofte ut slike innlegg på LinkedIn eller Twitter. “Velkommen til det nyeste medlemmet av selskapet, Herr Ny Person. Han vil bli med i XYZ-teamet, osv.”
  • En trusselaktør kan ringe teknisk støtte hos dere utenfor arbeidstiden og late som han er den personen. De vil fortelle dem at han nettopp har begynt å jobbe der – ja, jeg er i XYZ-teamet – men kan ikke få tilgang til kontorsystemene hjemmefra.
  • Dette scenariet fungerer ofte fordi nye ansatte ofte har innkjøringsproblemer. De forventes ikke å kjenne seg vei rundt systemene ennå, og det vil ikke være mistenkelig om de ikke kan svare på et spørsmål de kanskje blir stilt. Og siden det er utenfor arbeidstid, er det ingen å kryssjekke eller sjekke med.
  • Vanligvis vil trusselaktøren lede samtalen til et punkt der det enkleste for teknisk støtte er å utføre en tilbakestilling av passord og gi innringeren hans nye passord.

2. Involvere kundeservice i noe sensitivt

  • En annen ruse er å ringe teknisk støtte og late som man er noen fra HRs interne etterforskningsgruppe, som handler i en sensitiv sak og krever størst mulig diskresjon. De vil nevne en ekte person i bedriften så høyt oppe at teknisk støtteingeniøren helt sikkert har hørt om dem.
  • De er under etterforskning, jeg kan selvfølgelig ikke fortelle deg hvorfor, men vi trenger kontoen deres låst umiddelbart og et nytt passord satt på den, slik at eksterne revisorer kan komme inn, men han kan ikke. Dette er passordet som skal brukes…
  • Selvfølgelig har trusselaktøren rett og slett plukket et navn fra “Møt Teamet”-siden på nettsiden. Denne knepen fungerer ved å få personen som blir lurt til å føle at de er del av noe viktig, hemmelig og “stort”.

3. Bygge opp en bakgrunnshistorie for et ondsinnet vedlegg

  • En like enkel knep er å ringe teknisk støtte og gå gjennom prosessen med å beskrive et problem med trusselaktørens e-post. Uansett hva de prøver, forblir problemet.
  • Trusselaktøren vil tilby å sende et skjermbilde eller en loggfil til supportingeniøren fra sin personlige e-post, som selvfølgelig fortsatt fungerer.
  • Forberedt og ventende på e-posten, åpner supportingeniøren det ondsinnede vedlegget med en gang han mottar det. Trusselaktøren har da vellykket installert skadelig programvare på nettverket.

4. Utgi seg for å være Tech Support

Å utgi seg for å være teknisk støtte og ringe andre ansatte er også en favoritt. Det finnes mange varianter av dette svindeltrikset.

  • En teknikk er å ringe resepsjonen. De spør etter et navn de har plukket fra LinkedIn eller et annet sted. Når de kommer gjennom til vedkommende, forklarer de at de er fra teknisk støtte, eller fra det eksterne datasenteret, eller noe lignende.
  • Det ser ut som du bruker opp mye harddiskplass på serveren, kopierer du en masse data eller noe sånt?”
  • Selvfølgelig sier personen nei, det gjør de ikke. Etter noen flere spørsmål og frenetisk skriving fra supportingeniøren, konkluderer de med at medarbeiderens konto har blitt kompromittert. Det ser ut som noen samler opp selskapsdata, klar til å kopiere det ut av nettverket. Høres stadig mer oppspilt ut, får han dem til å logge ut og inn igjen. “Nei, ingenting har endret seg. Det pågår fortsatt.”
  • Teknisk støtte, hørbart anstrenger seg for å holde seg rolig, forteller medarbeideren at han skal tvangsstenge alle prosesser for den kontoen.
  • Hvis jeg gjør det, må jeg logge deg inn igjen, du vil ikke klare det selv. Hva er brukernavnet ditt? OK, takk. Og hva er ditt nåværende passord? Fikk det, OK, logg ut nå.
  • Etter en kort pause sier supportingeniøren, “Det er flott, jeg har stoppet det. Faktisk kan du logge inn igjen og fortsette som normalt, jeg trengte ikke å slette kontoen din likevel.” De vil være veldig takknemlige og takke medarbeideren for hjelpen. De bør være takknemlige. De har nå en konto de kan bruke til å få tilgang til nettverket ditt.

Dette er eksempler på vellykkede sosiale manipuleringsangrep som skjer i dag.

These are examples of successful social engineering attacks that are happening today.

Fysiske angrep

Å oppnå fysisk tilgang til dine lokaler gir trusselaktøren muligheten til å utføre en rekke handlinger som ytterligere kompromitterer din sikkerhet.

1. Omvendte SSH-tunneler

Brannmurer slipper vanligvis trafikk ut av et nettverk mye lettere enn trafikk kan komme inn. Brannmurer er grensevakter, og mesteparten av deres oppmerksomhet er fokusert på det som kommer inn over grensen. Utgående trafikk er ofte en sekundær bekymring.

  • Trusselaktøren kan lage enheter av rimelige, enkeltkort-datamaskiner som Raspberry Pi som, når de er koblet til et nettverk, lager en kryptert utgående forbindelse til trusselaktørens server. Vanligvis er ikke en brannmur konfigurert til å stoppe dette.
  • Trusselaktøren lager deretter en kryptert tilbakekobling til enheten han plantet ved hjelp av den allerede etablerte forbindelsen fra Raspberry Pi. Dette gir ham fjernaksess til nettverket ditt. Det er en teknikk kalt en omvendt SSH-tunnel.

Disse skjulte enhetene kan gjemmes inne i gamle laptop strømforsyninger eller andre uskyldige enheter og raskt kobles inn bak utstyr som store skrivere.

Skrivere trenger strøm og et nettverkspunkt. Nettverkspunkter er vanligvis tilgjengelige i par, det samme gjelder strømuttak. Skriveren trenger bare én av hver. Bak skriveren er tilkoblingene enheten trenger og et fint skjulested.

2. USB minnepinner

Trusselaktøren kan rett og slett plukke opp en laptop og gå ut. De kan infisere nettverket med skadevare fra en USB minnepinne.

  • De kan også legge igjen USB minnepinner infisert med skadevare nær kaffemaskiner, på toaletter, eller på tomme skrivebord. Det er vanligvis en bunt nøkler festet til USB-minnepinnen.
  • Når USB-minnepinnen oppdages, er spørsmålet i medarbeiderens sinn “Hvem har glemt nøklene sine?” ikke “Hmm – her er en anonym USB-minnepinne.”
  • Den lille endringen i tankegang er viktig. Å miste nøklene dine er et stort problem. Finderen ønsker å returnerenøklene til eieren. Hvordan kan de finne ut? Kanskje det er noe på minnepinnen som vil identifisere eieren.
  • Det er filer på minnepinnen. De kan se ut som en PDF eller et Word-dokument, men de er forkledd skadevare. Hvis de har øye-fangende titler som “Områdene for Fase 1 av Nedskjæringer”, vil det være nesten umulig for medarbeideren å ikke klikke på dem.
  • Det er mulig å auto-kjøre programmer så snart USB-enheter settes inn, noe som betyr at medarbeideren ikke engang trenger å klikke på noe. Men hvis auto-kjør er slått av – noe det burde være – er å ha filer med uimotståelige titler en vanlig reserve-strategi.

En lignende tilnærming er for trusselaktøren å samle inn noe markedsføringsmateriale fra en ekte bedrift, som et budfirma.

  • De fester en USB-minnepinne til hvert et. Trusselaktøren møter opp i resepsjonen og overleverer tre eller fire kopier. De spør resepsjonisten om de ikke ville ha noe imot å gi disse videre til personen som er ansvarlig for frakt.
  • Nesten helt sikkert vil resepsjonisten legge en til side for seg selv, og så snart trusselaktøren har forlatt bygningen, vil de prøve den på sin datamaskin.

3. Oppnå tilgang til bygningen

For å komme forbi resepsjonen har trusselaktører utgitt seg for å være alle slags leveringspersoner. UPS, United States Postal Servants, blomsterleveranser, motorsykkelbud, pizza-leveranser og donut-leveranser, for å nevne noen. De har utgitt seg for å være skadedyrbekjempere, bygningsarbeidere, og heismontør.

  • Å ankomme for å ha et møte med noen trusselaktøren vet ikke er på kontoret (takket være X eller LinkedIn) er overraskende effektivt. Selvfølgelig er det noen senior.
  • Resepsjonisten prøver å ringe medarbeideren og sier at de ikke svarer på telefonen. Trusselaktøren sier at de forventet det. De har hatt en samtale via tekstmeldinger, og medarbeideren sa at deres forrige møte ser ut til å gå over tiden.
  • De foreslo at jeg skulle vente i kantinen. De vil komme og hente meg når de er ledige. Kan noen vise meg hvor den er, vær så snill?
  • Gjennom tailgating, bruker trusselaktøren noen andres gyldige adgang til bygningen som et middel for å gå gjennom samme dør. Ett triks er å vente ved et eksternt røykepunkt og starte en samtale. Trusselaktøren introduserer seg selv. De får navnet på personen de snakker med. Det de ønsker er at andre personer ankommer røykepunktet mens de allerede er i samtale. De vil vente til den første ansatte går tilbake til bygningen. De vil si farvel til dem og tiltale dem ved navn.
  • De nye ankomstene vil ikke engang stille spørsmål om hvorvidt denne personen er en ansatt. Han er her ved deres røykepunkt, ler og prater med andre ansatte og tiltaler dem ved navn.
  • Trusselaktøren snakker så med de nye ankomstene. De spør dem om de kjenner personen som nettopp gikk ut og forteller dem at han er en hyggelig fyr.
  • Når den andre bølgen av røykere returnerer til bygningen, vil trusselaktøren følge med dem. De lar de ansatte taste inn koden sin eller bruke deres fob eller nøkkel.
  • Når døren åpnes, vil de gjøre en gest av å holde den åpen og gi tegn til de virkelige ansatte om å gå inn. Han følger deretter etter dem inn.

Hvordan beskytte seg mot sosial manipulering

Vi har med mennesker å gjøre, så selvsagt dreier forsvaret seg rundt opplæring, retningslinjer og prosedyrer.

  • Rollelek og teamøvelser: Øv på prosedyrer med team, og vurder å involvere rollespilløkter ledet av erfarne, velmenende sosiale ingeniører.
  • Sikkerhetsfirmaer og penetrasjonstesting: Sikkerhetsfirmaer kan engasjeres for å bruke alle teknikkene beskrevet her og mer for å forsøke å trenge gjennom forsvarslinjene dine. Hvor deres angrep var vellykkede vil guide deg i å stramme ytterligere inn sikkerheten ved å forbedre prosedyrer eller anvende mer kontroll over eksisterende prosedyrer. Akkurat som penetrasjonstesting som utforsker dine tekniske forsvar, bør sårbarhet for sosial manipulering testes periodisk. Du kan velge å kombinere dette med en velmenende phishing-kampanje.
  • USB-Enhetsikkerhet: Deaktiver auto-kjør for USB-enheter. Behandle anonyme USB-minnepinner som Pandoras eske.
  • Out-of-bound policy for forespørsler: Ha en policy for forespørsler som bryter protokoll. Dette er forespørsler som ber om noe du vanligvis ikke ville etterkommet, men du kan bli fristet til det fordi det er en nødsituasjon. Eller en engangsforeteelse. Eller spesielle omstendigheter. Eller denne personen trenger virkelig en pause. Ikke sett ditt personale i en situasjon hvor de føler seg revet mellom å ville hjelpe og vite at de ikke burde. Ha en prosedyre de kan holde seg til.
  • Nettverksskanning og identifikasjon av nye enheter: Utfør nettverksskanninger og identifiser og undersøk nye enheter som har blitt koblet til nettverket.
  • Beskyttelse av innloggingsopplysninger: Gi aldri teknisk støtte – eller noen andre for den saks skyld – dine innloggingsopplysninger. De vil aldri be om dem. Hvis du blir bedt om denne typen informasjon, er de en svindler.
  • Sikkerhet ved telefonsamtaler: Hvis du mottar en telefonsamtale der det spørres etter sensitiv informasjon du tidligere har oppgitt, er det sikreste å legge på og ringe tilbake.
  • Policy for eskortering av besøkende: La aldri besøkende være uten tilsyn, og eskorter dem alltid. La kun besøkende vente på sin kontakt i resepsjonen.

Å fremme en sikkerhetsbevisst kultur i virksomheten din vil gi avkastning og er grunnlaget for en flerlags sikkerhetstilnærming.

Relaterte begreper

Marshall Gunnell
IT & Cybersecurity Expert
Marshall Gunnell
Teknologiskribent

Marshall er en erfaren teknisk forfatter og spillentusiast basert i Tokyo. Han er en profesjonell ordkunstner med hundrevis av artikler publisert på VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier, og mye mer. Hans skriving har nådd et massivt publikum på over 70 millioner lesere.