Lær hva sosial manipulering innebærer, og forstå hvordan du kan gjenkjenne og beskytte deg mot ulike manipulasjonsmetoder.
Hva er sosial manipulering?
Mennesker er predisponert for å ønske å hjelpe andre. Det ligger i vår natur. Hvis du er resepsjonist eller jobber på et hjelpesenter, kan det til og med være en del av stillingsbeskrivelsen din.
Likevel, vær oppmerksom på sosial manipulering. Hva er sosial manipulering? Det er en subtil manipulering av ansatte for å få ulovlig tilgang til din bygning, systemer og data.
Sosial manipulering er hacking. Men det er ikke hacking inn i nettverket ditt ved å utnytte en teknisk sårbarhet. Sosial manipulering er hacking av dine ansatte, det organiske laget av forsvaret ditt.
Techopedia forklarer
De fleste av oss deler lignende egenskaper. Ingen liker å ha problemer på jobben, og vi synes synd på de som har det. Vi er tilbøyelige til å hjelpe mennesker som sliter med problemer, selv om det betyr at vi bøyer reglene litt eller bryter protokollen et øyeblikk.
Vi er enda mer sannsynlig å gjøre dette hvis vi liker eller empati med personen som har problemet. Vi er også betinget til å adlyde autoritetsfigurer. Vi ønsker å bli sett på som i stand til å hjelpe og villige til å stille opp.
Dyktige trusselaktører kan utnytte alle disse egenskapene og tvinge folk til å gjøre det de vil. Det er å utnytte menneskelig psykologi for å styre de uforvarende til å utføre en handling som gagner gjerningspersonen.
Sosiale manipuleringsangrep kan skje i en enkelt telefonsamtale, eller de kan spilles ut over en periode, sakte vinne tillit og aksept.
Målet deres er å komme seg gjennom sikkerhetstiltakene dine eller gå rundt dem.
Det er ikke noe nytt
Sosial manipulering har eksistert like lenge som svindlere har eksistert. Det er teknikker som fungerer, så det var uunngåelig at de ville bli plukket opp og brukt av cybertrusselaktører.
De jobber med menneskers beundringsverdige kvaliteter, som deres vennlighet og ønske om å hjelpe, eller deres dårligere kvaliteter, som grådighet og frykt.
Trusselaktøren kan ønske å:
Det er Ikke Noe Nytt
Sosial manipulering har eksistert like lenge som svindlere har eksistert. Det er teknikker som fungerer, så det var uunngåelig at de ville bli plukket opp og brukt av cybertrusselaktører.
De jobber med menneskers beundringsverdige kvaliteter, som deres vennlighet og ønske om å hjelpe, eller deres dårligere kvaliteter, som grådighet og frykt.
Trusselaktøren kan ønske å:
- Skaffe kredittkortopplysninger eller andre finansielle detaljer.
- Få innloggingsopplysninger for en brukerkonto.
- Installere skadevare som tasteloggere slik at offerets tastetrykk sendes til trusselaktørens server.
- Installere programvare for fjernaksess som lar trusselaktørene få tilgang til offerets datamaskin.
- Installere løsepengevirus for å utpresse penger fra virksomheten.
- Få fysisk tilgang til bygningen din for å plante skjulte enheter for å manuelt installere skadevare eller stjele maskinvare.
Hvordan trusselaktører bruker sosial manipulering
Sosiale manipuleringsangrep kan involvere telefonsamtaler, e-post, eller personlig oppmøte på arbeidsplassen din. Ganske ofte brukes en blanding av disse teknikkene for å tilpasse seg behovene til angrepet.
Rekognosering
Trusselaktører vil samle informasjon om målet innenfor selskapet. De overvåker X (tidligere Twitter) og LinkedIn og ser etter informasjon som gir dem en fordel. Sosiale medier er et tveegget sverd. Det du sender ut til verden kan lett brukes mot deg.
- En trusselaktør kan se at et ledende medlem av personalet skal være ute av kontoret på en konferanse. Dette er den typen informasjon de kan bruke. Det gir trusselaktøren en “inn”.
- De vil ringe og be om å snakke med den personens PA. Fordi de snakker om en ekte hendelse, har PA ingen grunn til å mistenke at oppringningen er bedragerisk.
- Hvis trusselaktøren har “spoofed” anrops-IDen, slik at samtalen ser ut til å stamme fra det ekte telefonnummeret for arrangementet, er illusjonen enda mer overbevisende.
- De vil presentere et problem og be om hjelp til å ordne det. “Vi har en registrering av hans booking, men ingen registrering av et depositum eller betaling. Jeg kommer til å få problemer hvis jeg ikke kan ordne dette før jeg går av vakt om ti minutter. Jeg håper virkelig du kan redde meg. Har du tilfeldigvis detaljene til kredittkortet bookingen ble gjort med, slik at jeg kan slå det opp?”
Angrep via telefon
De enkleste angrepene er ofte de beste, og teknisk støtte er et vanlig mål. Jobben deres er å løse problemer. Arbeidsdagen deres er viet til å prøve å tilfredsstille innringerens behov og få problemer til å forsvinne.
1. Etterligne en ny ansatt
- Bedrifter legger ofte ut slike innlegg på LinkedIn eller Twitter. “Velkommen til det nyeste medlemmet av selskapet, Herr Ny Person. Han vil bli med i XYZ-teamet, osv.”
- En trusselaktør kan ringe teknisk støtte hos dere utenfor arbeidstiden og late som han er den personen. De vil fortelle dem at han nettopp har begynt å jobbe der – ja, jeg er i XYZ-teamet – men kan ikke få tilgang til kontorsystemene hjemmefra.
- Dette scenariet fungerer ofte fordi nye ansatte ofte har innkjøringsproblemer. De forventes ikke å kjenne seg vei rundt systemene ennå, og det vil ikke være mistenkelig om de ikke kan svare på et spørsmål de kanskje blir stilt. Og siden det er utenfor arbeidstid, er det ingen å kryssjekke eller sjekke med.
- Vanligvis vil trusselaktøren lede samtalen til et punkt der det enkleste for teknisk støtte er å utføre en tilbakestilling av passord og gi innringeren hans nye passord.
2. Involvere kundeservice i noe sensitivt
- En annen ruse er å ringe teknisk støtte og late som man er noen fra HRs interne etterforskningsgruppe, som handler i en sensitiv sak og krever størst mulig diskresjon. De vil nevne en ekte person i bedriften så høyt oppe at teknisk støtteingeniøren helt sikkert har hørt om dem.
- “De er under etterforskning, jeg kan selvfølgelig ikke fortelle deg hvorfor, men vi trenger kontoen deres låst umiddelbart og et nytt passord satt på den, slik at eksterne revisorer kan komme inn, men han kan ikke. Dette er passordet som skal brukes…“
- Selvfølgelig har trusselaktøren rett og slett plukket et navn fra “Møt Teamet”-siden på nettsiden. Denne knepen fungerer ved å få personen som blir lurt til å føle at de er del av noe viktig, hemmelig og “stort”.
3. Bygge opp en bakgrunnshistorie for et ondsinnet vedlegg
- En like enkel knep er å ringe teknisk støtte og gå gjennom prosessen med å beskrive et problem med trusselaktørens e-post. Uansett hva de prøver, forblir problemet.
- Trusselaktøren vil tilby å sende et skjermbilde eller en loggfil til supportingeniøren fra sin personlige e-post, som selvfølgelig fortsatt fungerer.
- Forberedt og ventende på e-posten, åpner supportingeniøren det ondsinnede vedlegget med en gang han mottar det. Trusselaktøren har da vellykket installert skadelig programvare på nettverket.
4. Utgi seg for å være Tech Support
Å utgi seg for å være teknisk støtte og ringe andre ansatte er også en favoritt. Det finnes mange varianter av dette svindeltrikset.
These are examples of successful social engineering attacks that are happening today.
Fysiske angrep
Å oppnå fysisk tilgang til dine lokaler gir trusselaktøren muligheten til å utføre en rekke handlinger som ytterligere kompromitterer din sikkerhet.
1. Omvendte SSH-tunneler
Brannmurer slipper vanligvis trafikk ut av et nettverk mye lettere enn trafikk kan komme inn. Brannmurer er grensevakter, og mesteparten av deres oppmerksomhet er fokusert på det som kommer inn over grensen. Utgående trafikk er ofte en sekundær bekymring.
- Trusselaktøren kan lage enheter av rimelige, enkeltkort-datamaskiner som Raspberry Pi som, når de er koblet til et nettverk, lager en kryptert utgående forbindelse til trusselaktørens server. Vanligvis er ikke en brannmur konfigurert til å stoppe dette.
- Trusselaktøren lager deretter en kryptert tilbakekobling til enheten han plantet ved hjelp av den allerede etablerte forbindelsen fra Raspberry Pi. Dette gir ham fjernaksess til nettverket ditt. Det er en teknikk kalt en omvendt SSH-tunnel.
Disse skjulte enhetene kan gjemmes inne i gamle laptop strømforsyninger eller andre uskyldige enheter og raskt kobles inn bak utstyr som store skrivere.
Skrivere trenger strøm og et nettverkspunkt. Nettverkspunkter er vanligvis tilgjengelige i par, det samme gjelder strømuttak. Skriveren trenger bare én av hver. Bak skriveren er tilkoblingene enheten trenger og et fint skjulested.
2. USB minnepinner
Trusselaktøren kan rett og slett plukke opp en laptop og gå ut. De kan infisere nettverket med skadevare fra en USB minnepinne.
En lignende tilnærming er for trusselaktøren å samle inn noe markedsføringsmateriale fra en ekte bedrift, som et budfirma.
- De fester en USB-minnepinne til hvert et. Trusselaktøren møter opp i resepsjonen og overleverer tre eller fire kopier. De spør resepsjonisten om de ikke ville ha noe imot å gi disse videre til personen som er ansvarlig for frakt.
- Nesten helt sikkert vil resepsjonisten legge en til side for seg selv, og så snart trusselaktøren har forlatt bygningen, vil de prøve den på sin datamaskin.
3. Oppnå tilgang til bygningen
For å komme forbi resepsjonen har trusselaktører utgitt seg for å være alle slags leveringspersoner. UPS, United States Postal Servants, blomsterleveranser, motorsykkelbud, pizza-leveranser og donut-leveranser, for å nevne noen. De har utgitt seg for å være skadedyrbekjempere, bygningsarbeidere, og heismontør.
Hvordan beskytte seg mot sosial manipulering
Vi har med mennesker å gjøre, så selvsagt dreier forsvaret seg rundt opplæring, retningslinjer og prosedyrer.
- Rollelek og teamøvelser: Øv på prosedyrer med team, og vurder å involvere rollespilløkter ledet av erfarne, velmenende sosiale ingeniører.
- Sikkerhetsfirmaer og penetrasjonstesting: Sikkerhetsfirmaer kan engasjeres for å bruke alle teknikkene beskrevet her og mer for å forsøke å trenge gjennom forsvarslinjene dine. Hvor deres angrep var vellykkede vil guide deg i å stramme ytterligere inn sikkerheten ved å forbedre prosedyrer eller anvende mer kontroll over eksisterende prosedyrer. Akkurat som penetrasjonstesting som utforsker dine tekniske forsvar, bør sårbarhet for sosial manipulering testes periodisk. Du kan velge å kombinere dette med en velmenende phishing-kampanje.
- USB-Enhetsikkerhet: Deaktiver auto-kjør for USB-enheter. Behandle anonyme USB-minnepinner som Pandoras eske.
- Out-of-bound policy for forespørsler: Ha en policy for forespørsler som bryter protokoll. Dette er forespørsler som ber om noe du vanligvis ikke ville etterkommet, men du kan bli fristet til det fordi det er en nødsituasjon. Eller en engangsforeteelse. Eller spesielle omstendigheter. Eller denne personen trenger virkelig en pause. Ikke sett ditt personale i en situasjon hvor de føler seg revet mellom å ville hjelpe og vite at de ikke burde. Ha en prosedyre de kan holde seg til.
- Nettverksskanning og identifikasjon av nye enheter: Utfør nettverksskanninger og identifiser og undersøk nye enheter som har blitt koblet til nettverket.
- Beskyttelse av innloggingsopplysninger: Gi aldri teknisk støtte – eller noen andre for den saks skyld – dine innloggingsopplysninger. De vil aldri be om dem. Hvis du blir bedt om denne typen informasjon, er de en svindler.
- Sikkerhet ved telefonsamtaler: Hvis du mottar en telefonsamtale der det spørres etter sensitiv informasjon du tidligere har oppgitt, er det sikreste å legge på og ringe tilbake.
- Policy for eskortering av besøkende: La aldri besøkende være uten tilsyn, og eskorter dem alltid. La kun besøkende vente på sin kontakt i resepsjonen.
Å fremme en sikkerhetsbevisst kultur i virksomheten din vil gi avkastning og er grunnlaget for en flerlags sikkerhetstilnærming.