Social ingenjörskonst, även känt som social engineering, har blivit ett allt vanligare hot i den digitala världen, där angripare utnyttjar mänskliga svagheter istället för tekniska sårbarheter. I denna text kommer du att upptäcka hur social ingenjörskonst används, vilka metoder som är vanligast och hur du kan skydda dig mot dessa sofistikerade attacker.
Människor har en naturlig benägenhet att vilja hjälpa andra. Det ligger i vår natur. Om du arbetar som receptionist eller i en kundtjänst, kan det till och med vara en del av din arbetsbeskrivning.
Trots detta, var uppmärksam på social ingenjörskonst. Vad är social ingenjörskonst? Det är den subtila manipulationen av personal för att få olaglig tillgång till dina byggnader, system och data.
Social ingenjörskonst är en form av hacking. Men det handlar inte om att hacka ditt nätverk genom att utnyttja en teknisk sårbarhet. Social ingenjörskonst innebär att hacka din personal, det mänskliga lagret av ditt försvar.
De flesta av oss delar liknande egenskaper. Ingen gillar att ha problem på jobbet, och vi känner medlidande för dem som har det. Vi är benägna att hjälpa människor som brottas med problem, även om det innebär att vi böjer reglerna lite eller tillfälligt bryter mot protokollet.
Vi är ännu mer benägna att göra detta om vi gillar eller känner empati för personen som har problemet. Vi är också tränade att lyda auktoriteter. Vi vill bli uppfattade som hjälpsamma och villiga att bidra.
Skickliga hotaktörer kan utnyttja alla dessa egenskaper och tvinga människor att göra vad de vill. Det handlar om att utnyttja mänsklig psykologi för att leda oförsiktiga personer att utföra handlingar som gynnar förövaren.
Attacker med social ingenjörskonst kan ske under ett enda telefonsamtal, eller så kan de utspelas över en längre tid, där förövaren långsamt vinner förtroende och acceptans.
Deras mål är att ta sig förbi dina säkerhetsåtgärder eller att kringgå dem.
Det är inget nytt
Social ingenjörskonst har funnits lika länge som bedragare har existerat. Det finns tekniker som fungerar, så det var oundvikligt att de skulle plockas upp och användas av cyberhotaktörer.
De spelar på människors beundransvärda egenskaper, som deras vänlighet och vilja att hjälpa, eller deras mindre smickrande egenskaper, som girighet och rädsla.
Hotaktören kan vilja:
Mål | Beskrivning |
---|---|
Få tag på kreditkorts- eller andra finansiella uppgifter |
|
Få inloggningsuppgifter till ett användarkonto |
|
Installera skadlig programvara |
|
Installera fjärråtkomstprogramvara |
|
Installera ransomware |
|
Få fysisk tillgång till byggnaden |
|
Attacker med social ingenjörskonst kan involvera telefonsamtal, e-post eller att besöka dina lokaler personligen. Ofta används en kombination av dessa tekniker för att passa attackens behov.
Observation
Hotaktörer kommer att samla in information om målet inom företaget. De övervakar X (tidigare Twitter) och LinkedIn och letar efter information som kan ge dem en fördel. Sociala medier är ett tveeggat svärd. Det du sänder ut till världen kan lätt vändas mot dig.
- En hotaktör kan se att en senior medarbetare kommer att vara borta från kontoret på en konferens. Detta är en typ av information som de kan utnyttja. Det ger hotaktören en “ingång”.
- De ringer och ber att få tala med den personens assistent. Eftersom de pratar om en verklig händelse har assistenten ingen anledning att misstänka att samtalet är bedrägligt.
- Om hotaktören har “spoofat” uppringnings-ID
så att samtalet verkar komma från det verkliga telefonnumret för evenemanget, blir illusionen ännu mer övertygande. - De kommer att presentera ett problem och be om hjälp att lösa det. “Vi har en bokning registrerad, men ingen uppgift om någon insättning eller betalning. Jag kommer få problem om jag inte kan lösa detta innan mitt skift slutar om tio minuter. Jag hoppas verkligen att du kan rädda mig. Har du möjligtvis detaljerna om kreditkortet som bokningen gjordes med så att jag kan kontrollera det?”
Attacker via telefon
De enklaste attackerna är ofta de bästa, och teknisk support är ett vanligt mål. Deras jobb är att lösa problem. Deras arbetsdag går ut på att försöka tillgodose uppringarens behov och få problem att försvinna.
1. Utge sig för att vara en nyanställd
- Företag gör ofta inlägg som detta på LinkedIn eller Twitter: “Välkommen till företagets nyaste medlem, Herr Ny Person. Han kommer att ansluta sig till XYZ-teamet, m.m.”
- En hotaktör kan ringa din tekniska support utanför arbetstid och låtsas vara den personen. De säger att de precis har börjat jobba där – ja, jag är med i XYZ-teamet – men kan inte komma åt företagets system från hemmet.
- Detta scenario fungerar ofta eftersom nya medarbetare ofta har startproblem. Det förväntas inte att de ska ha full koll på systemen ännu, och det kommer inte heller att verka misstänkt om de inte kan svara på en fråga de får. Och eftersom det är utanför arbetstid finns det ingen att kolla upp eller dubbelkolla med.
- Vanligtvis kommer hotaktören att styra samtalet till en punkt där det enklaste för teknisk support är att utföra en lösenordsåterställning och ge uppringaren det nya lösenordet.
2. Involvera teknisk support i något känsligt
- Ett annat knep är att ringa teknisk support och låtsas vara någon från HR:s interna utredningsteam som arbetar med en känslig fråga och kräver största diskretion. De nämner en verklig person i företaget, så senior att en teknisk supportmedarbetare definitivt har hört talas om dem.
- “De är under utredning, jag kan självklart inte säga varför, men vi behöver låsa deras konto omedelbart och sätta ett nytt lösenord så att externa revisorer kan komma in, men inte de. Detta är lösenordet som ska användas…”
- Naturligtvis har hotaktören bara valt ett namn från företagets “Möt teamet”-sida på webbplatsen. Denna metod fungerar genom att få den som blir lurad att känna sig som en del av något viktigt, hemligt och “stort”.
3. Skapa en bakgrundshistoria för en skadlig bifogad fil
- Ett lika enkelt knep är att ringa teknisk support och beskriva ett problem med hotaktörens e-post. Oavsett vad de försöker, kvarstår problemet.
- Hotaktören erbjuder att skicka en skärmdump eller en loggfil till supportmedarbetaren från sin personliga e-post, som naturligtvis fortfarande fungerar.
- Förberedd och väntande på e-posten, så snart supportmedarbetaren får den, öppnar han den skadliga bifogade filen omedelbart. Hotaktören har framgångsrikt installerat skadlig programvara på nätverket.
4. Utge sig för att vara teknisk support
Att utge sig för att vara teknisk support och ringa andra medarbetare är också en favorit. Det finns många variationer av denna bluff.
- En teknik är att ringa receptionen och fråga efter ett namn som de har plockat från LinkedIn eller någon annanstans. När de får kontakt med personen förklarar de att de är från teknisk support, eller från det externa datacentret, eller något liknande.
- “Det verkar som om du använder upp mycket hårddiskutrymme på servern, kopierar du mycket data eller något sådant?”
- Naturligtvis svarar personen nej, det gör de inte. Efter några fler frågor och febrilt knappande från den så kallade tekniska supportmedarbetaren, kommer de fram till att medarbetarens konto har blivit komprometterat. Det verkar som om någon samlar på sig företagsdata och förbereder sig för att kopiera ut det från nätverket. Med en allt mer upphetsad ton får han dem att logga ut och logga in igen. “Nej, inget har förändrats. Det pågår fortfarande.”
- Den så kallade tekniska supportmedarbetaren, hörbart ansträngd för att hålla sig lugn, säger till medarbetaren att han kommer att tvinga fram en avslutning av alla processer för det kontot.
- “Om jag gör det, måste jag logga in dig igen, du kommer inte att kunna göra det själv. Vad är ditt användarnamn? Okej, tack. Och vad är ditt nuvarande lösenord? Bra, okej, logga ut nu.”
- Efter en kort paus säger supportingenjören: “Det är bra, jag har stoppat det. Faktum är att du kan logga in igen och fortsätta som vanligt, jag behövde inte radera ditt konto trots allt.” De kommer att vara mycket tacksamma och tacka medarbetaren för deras hjälp. Och det borde de vara. De har nu ett konto de kan använda för att få tillgång till ditt nätverk.
Dessa är exempel på framgångsrika sociala ingenjörskonstattacker som sker idag.
Attacker på plats
Att få fysisk tillgång till dina lokaler ger hotaktören möjligheten att utföra en rad olika handlingar som ytterligare äventyrar din säkerhet.
1. Omvända SSH-tunnlar
Brandväggar tillåter vanligtvis trafik att lämna ett nätverk mycket lättare än att komma in. Brandväggar fungerar som gränsvakter, och det mesta av deras uppmärksamhet är riktad mot vad som kommer in över gränsen. Trafik som går ut är ofta en sekundär angelägenhet.
- Hotaktören kan skapa enheter med hjälp av billiga, enkortsdatorer som Raspberry Pi, som när de väl är anslutna till ett nätverk, skapar en krypterad utgående anslutning till hotaktörens server. Vanligtvis är en brandvägg inte konfigurerad för att stoppa detta.
- Hotaktören gör sedan en krypterad anslutning tillbaka till den enhet han har placerat, genom att använda den redan etablerade anslutningen från Raspberry Pi. Detta ger honom fjärråtkomst till ditt nätverk. Det är en teknik som kallas en omvänd SSH-tunnel.
Dessa dolda enheter kan gömmas inuti gamla laptop-strömförsörjningar eller andra oskyldiga enheter och snabbt kopplas in bakom utrustning som stora skrivare.
Skrivare behöver el och en nätverksanslutning. Nätverksuttag brukar vanligtvis finnas i par, liksom eluttag. Skrivaren behöver bara ett av varje. Bakom skrivaren finns både anslutningarna som enheten behöver och ett bra gömställe.
2. USB-minnen
Hotaktören kan helt enkelt ta en laptop och gå ut. De kan också infektera nätverket med skadlig programvara från ett USB-minne.
- De kan lämna USB-minnen fyllda med skadlig programvara nära kaffemaskiner, i toaletter eller på lediga skrivbord. Ofta är det en nyckelknippa fäst vid USB-minnet.
- När USB-minnet upptäcks tänker medarbetaren oftast “Vem har glömt sina nycklar?” snarare än “Hmm – här är ett anonymt USB-minne.”
- Denna lilla förändring i tankesättet är viktig. Att tappa bort sina nycklar är ett stort problem. Den som hittar nycklarna vill gärna återlämna dem till sin ägare. Hur kan de ta reda på det? Kanske finns det något på minnesstickan som kan identifiera ägaren.
- Det finns filer på USB-minnet. De kan se ut som en PDF eller ett Word-dokument, men de är förklädd skadlig programvara. Om de har lockande titlar som “Planer för uppsägningar, Fas 1” blir det nästan omöjligt för medarbetaren att låta bli att klicka på dem.
- Det är möjligt att program startas automatiskt så fort USB-enheter ansluts, vilket innebär att medarbetaren inte ens behöver klicka på något. Men om automatisk uppstart är avstängd – vilket den bör vara – är att ha filer med oemotståndliga titlar en vanlig reservstrategi.
En liknande metod är att hotaktören samlar in reklammaterial från ett genuint företag, som till exempel en budfirma.
- De fäster ett USB-minne på varje exemplar. Hotaktören dyker upp i receptionen och lämnar över tre eller fyra kopior. De ber receptionisten att vara vänlig och ge dessa till personen som är ansvarig för frakt.
- Det är nästan säkert att receptionisten kommer att lägga undan ett exemplar för sig själv, och så snart hotaktören har lämnat byggnaden kommer de att testa USB-minnet på sin dator.
3. Få tillgång till byggnaden
För att ta sig förbi receptionen har hotaktörer utgett sig för att vara alla möjliga typer av leveranspersoner. UPS, United States Postal Service, blomsterleveranser, motorcykelbud, pizzaleveranser och munkleveranser, för att nämna några. De har också utgett sig för att vara skadedjursbekämpare, byggnadsarbetare och hissreparatörer.
- Att dyka upp för att ha ett möte med någon som hotaktören vet inte är på kontoret (tack vare X eller LinkedIn) är förvånansvärt effektivt. Naturligtvis är det någon på en senior position.
- Receptionisten försöker ringa medarbetaren och säger att de inte svarar i telefon. Hotaktören säger att de förväntade sig det. De har haft en konversation via sms, och medarbetaren sa att deras tidigare möte verkar dra ut på tiden.
- “De föreslog att jag väntar i matsalen. De kommer och hämtar mig när de är klara. Kan någon visa mig var den ligger, tack?”
- Vid “tailgating” använder hotaktören någon annans giltiga inträde till byggnaden för att gå igenom samma dörr. Ett trick är att vänta vid en extern rökplats och starta en konversation. Hotaktören presenterar sig och får namnet på personen de pratar med. Målet är att andra personer ska anlända till rökplatsen medan de redan är i samtal. De väntar tills den första medarbetaren går tillbaka in i byggnaden. De säger adjö till dem och använder deras namn.
- De nyanlända kommer inte ens att ifrågasätta om denna person är en anställd. Han står här vid deras rökplats, skrattar och pratar med andra medarbetare och använder deras namn.
- Hotaktören fortsätter sedan att prata med de nyanlända. De frågar om de känner personen som just har gått och säger att han är en trevlig kille.
- När den andra vågen av rökare går tillbaka in i byggnaden, följer hotaktören med dem. De låter medarbetarna ange sin kod eller använda sin nyckelbricka eller nyckel.
- När dörren öppnas, gör de en gest för att hålla upp den och släppa in de riktiga medarbetarna. Sedan följer de efter in i byggnaden.
Vi har att göra med människor, så försvaren kretsar givetvis kring utbildning, policyer och rutiner.
Att främja en säkerhetsmedveten kultur i ditt företag kommer att löna sig och är grunden för en flerskikts säkerhetsstrategi.