Social engineering • Artikel
30 mars, 2021
Här är 5 vanliga social engineering-attacker
Vi har blivit allt mer bekanta med den typ av angripare som utnyttjar sina tekniska färdigheter för att hacka sig in i system och äventyra känslig data. Den typen av hackare rapporteras det ständigt om i media och därför har organisationer också blivit allt mer motiverade att investera i teknik och tjänster för att stärka försvaret.
Social engineering i korthet
Det finns dock andra typer av angripare som kombinerar sin tekniska kunskap med ett stort mått av social manipulation. Begreppet går under namnet social engineering.
Angriparna utnyttjar snarare svagheterna i den mänskliga psykologin än tekniska brister. Med hjälp av falska mail, telefonsamtal och övertygande argumentation kan de lura människor att lämna ut känslig information.
Nedan följer information om de fem vanligaste typerna av attacker som den här typen av angripare använder för att nå sina mål: phishing, pretexting, tailgating, baiting och quid pro quo.
1. Phishing
Phishing, eller nätfiske, kan vara en av de vanligaste attacktyperna inom social engineering. Angriparen väljer ut en eller flera mottagare och skickar falska mail utformade för att imitera en verklig persons mail eller ett utskick från en organisation. Målet kan exempelvis vara att samla in kritisk information, dirigera offret till en infekterad webbplats eller manipulera mottagaren att agera snabbt utan att tänka.
När vi tänker på phishing tänker vi ofta på sämre utformade mail som innehåller både stavfel och grammatiska fel. Men i de fall en social ingenjör har riktat in sig på ett specifikt företag eller en specifik person, brukar attackerna ske med stor finess. Sådana riktade phishing-attacker, brukar benämnas som spear phishing. I dessa fall gör angriparen ett ordentligt researcharbete där man exempelvis kartlägger anställdas intressen i sociala medier och organisationens hierarki för att kunna skicka träffsäkra mail.
2. Pretexting
Pretexting är den mänskliga motsvarigheten till phishing, där någon utger sig för att vara en auktoritet inom ett område eller någon att lita på. Detta kan göras för att stjäla inloggningsuppgifter eller för att installera skadlig kod på datorn.
Ett vanligt tillvägagångssätt är att en angripare utger sig för att vara från företagets IT-support. Genom att övertyga användaren om att exempelvis en ny version av specifik programvara behöver installeras kan angriparen få tillgång till datorn och installera skadlig kod på den. Eftersom som få i stora organisationer har koll på vilka som arbetar i IT-supporten är det sannolikt att offret inte anar oråd över huvud taget.
Pretexting handlar till mångt och mycket om att bygga upp en trovärdig historia som gör att offret känner sig trygg i situationen och är benägen att dela med sig av både information och sin dator.
3. Tailgaiting
Tailgating innebär att angriparen helt enkelt följer efter en anställd på företaget in i ett begränsat område. Traditionellt kan det vara någon som ber framförvarande ifall de kan hålla upp dörren eftersom angriparen påstår sig ha glömt sitt passerkort.
Väl inne i lokalen kan angriparen utnyttja samma välvilja eller smälta in i en stor grupp av människor och ta sig vidare längre in i lokalen.
Tailgating kan även ta formen av att någon ber om att få låna en telefon eller laptop för att utföra en enklare åtgärd. Vad som egentligen sker är att någon tar chansen att installera skadlig programvara eller på något annat sätt utnyttjar den utlånade enheten.
4. Baiting
Baiting är precis vad det låter som, att angriparen slänger ut ett lockbete i syfte att lura anställda att göra något som äventyrar deras och organisationens säkerhet.
Ett sätt att utnyttja tekniken är att lämna ett USB-minne på ett strategiskt lämpligt ställe, märkt med ett relevant budskap. Kanske skulle ett USB-minne med märkningen ”lönesammanfattning Q1 2015” intressera en hel del personer på firman?
När USB-minnet sedermera installeras i datorn infekteras personens dator och eventuellt även företagets nätverk. Den skadliga koden kan sedan användas för att göra det möjligt för angriparen att exempelvis spionera på organisationen eller komma åt kritisk data.
5. Quid Pro Quo
Quid Pro Quo (this for that) tar sig formen av en begäran om att få information i utbyte mot ersättning. Det kan röra sig om att få ett klädesplagg eller invites till populära tjänster i ersättning mot inloggningsuppgifter.
Det kan låta som ett ineffektivt sätt att komma åt kritisk data, men har i själva verket visat sig vara tvärtom. Verkliga exempel har visat att det inte krävs så mycket för att anställda ska ge bort sina inloggningsuppgifter. Det kan räcka med en billig penna eller en chokladbit.
Är ni sårbara för social engineering-attacker?
De allra flesta organisationer är sårbara för social engineering-attacker. Men genom att utbilda personalen, införa säkerhetskontroller och regelbundet genomföra tester kan man öka säkerheten.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel