Social engineering • Artikel
30 mars, 2021
Vad innebär Social Engineering?
I takt med att kännedomen ökar för vikten av brandväggar, nätverksövervakning och loggning försöker angripare hitta nya vägar för att komma åt kritisk information som de inte under några omständigheter ska ha tillgång till. Social Engineering handlar om att infiltrera organisationers system genom att manipulera eller dra nytta av användarna som har tillgång till systemen.
Medvetenheten hos företag är generellt väldigt låg. Få företag utbildar sin personal i att hantera den här typen av angrepp och få har processer på plats trots att de definitivt borde ha det. Men att attackerna oftast lyckas beror inte bara på den låga beredskapen och den obefintliga kunskapen, utan de som utför de här angreppen har ofta har en sällsynt god IT-kännedom samt är duktiga på att förställa sig och anpassa sig utefter den personen de ska lura eller föreställa sig att vara.
Hur kan det gå till när en angripare försöker komma åt kritisk information?
Angreppssätten kan skilja sig markant eftersom människorna vars svagheter de vill utnyttja är väldigt olika. En del personer är sällsynt artiga och snälla, andra är uttråkade, vissa bryr sig inte medan andra är nyfikna och vill alltid ta del av det senaste. Alla personlighetstyper går att lura även om en mer försiktig personlighetstyp förmodligen kräver betydligt jobb för att överlista än den som är lätt apatisk och inte bryr sig om något på jobbet överhuvudtaget.
En duktig angripare ser till att utnyttja svagheterna hos den som de ska lura. Genom att noggrant kolla upp information om dennes leverene via bland annat sociala medier går det att hitta beröringspunkter som kan ge naturliga attackvägar in mot målet. Olika typer av attacker lämpar sig för olika personlighetstyper. Nedan kan ni se några exempel på hur det kan gå till när en angripare utför en så kallad Social Engineering-attack.
Så kan olika personlighetstyper luras av en angripare
Den nyfikne personlighetstypen är en av de mest tacksamma att lura eftersom de gärna plockar upp intressanta saker och ibland även sprider de vidare till andra på kontoret. Ett typiskt exempel på hur dessa kan luras är genom att placera ett USB-minne märkt med exempelvis ”Löner Sälj 2014” på lämplig plats. USB-minnet sprider naturligtvis skadlig kod hos den som stoppat in minnet i sin arbetsdator vilket kan snabbt kan få förödande konsekvenser.
Den artiga personlighetstypen å andra sidan vill inte trampa någon på tårna, speciellt inte de som till synes har goda avsikter. Ett känt exempel är när en angripare lurade en VD på ett företag som var målet i detta fall. Han gjorde research och såg att personen hade en släkting som hade cancer och var aktiv i en välgörenhetsorganisation. Angriparen låtsades vara släktingen och skickade ett mail till VD:n där han sa att han behövde lite feedback på ett utkast till en insamlingskampanj. Självklart bifogade angriparen skadlig kod i PDF-filen vilket innebar att offrets dator helt plötsligt kunde kontrolleras och det dröjde inte länge förrän angriparen även fick tillgång till hela nätverket. Ett annat exempel är att någon artigt håller upp dörren så att angriparen kommer in i utrymmen som denne inte ska ha tillgång till.
När de flesta borde ana oråd misstänker den godtrogna personlighetstypen ingenting. Ett känt exempel på när den här svagheten utnyttjades var när angripare identifierade några mellanchefer på banken de avsåg att lura. De kunde genom att köpa ett domännamn som var likt bankens egen skicka falska e-postmeddelanden där deras överordnade bekräftade till synes legitima transaktioner som vid lite närmare eftertanke hade kunnat stoppas. Angriparna gick in med falska checkar och ett falskt körkort på banken och kunde hämta ut 25 000 dollar kontant flera gånger.
För den giriga personlighetstypen försvinner omdömet i samma stund som denne ser att det finns en möjlighet till enkla pengar. Riktade mail till en viss person med en undersökning där de svarande får en trevlig bonus brukar fungera bra på de flesta, men i synnerhet de giriga brukar ha svårt att tacka nej till så enkla pengar. Det finns en anledning till varför det fortfarande skickas ut mängder av Nigeria-brev och det är att det fortfarande fungerar på vissa människor.
De flesta personer kan i något enstaka fall agera obetänksamt, men det finns de som borde veta bättre. Speciellt om man är forskare och jobbar inom Irans uranutvinningsprogram.
Amerikanska och israeliska underrättelsetjänsten skapade Stuxnet, en kombination av skadlig kod, som allvarligt skadade Irans uranutvinning. Underrättelsetjänsten såg till att forskaren fick tag på ett USB-minne som innehöll den skadliga koden. Detta minne stoppade forskaren in i sin laptop där hemma, därefter åkte han till jobbet och anslöt då sin laptop till det interna nätverket.
Vad händer när någon blir generad av att en snygging tar kontakt? Kanske finns det någon som tappar fattningen och med glädje hjälper personen att lösa det där lilla problemet utan tänka efter vilka effekter det kan få. Ett klassiskt exempel på vad som kan hända var när en Brad Pitt look-alike kom in till receptionen till personalavdelningen på ett stort företag. Han ber om ursäkt för att han är lite sen och visar sedan ett papper med några rejäla kaffefläckar. Han förklarar att han spillt kaffe över sitt CV och ber kvinnan i receptionen om han kan få skriva ut ett nytt exemplar från deras skrivare. Han lämnar över USB-enheten och receptionisten är så blyg att hon inte vågar konfrontera honom med företagets policy som förbjuder detta. Hon skriver ut en ny kopia och pinnen får angriparen snabbt tillbaka. Mannen försvinner och har lyckats få full tillgång till det som finns på nätverket hos företaget.
Men vad är egentligen värst om inte den personlighetstypen som faktiskt inte bryr sig överhuvudtaget. De blir själva ofta offret för attacker, men vad som är värre är att de ofta inte uppmärksammar en överordnad eller varnar andra vilket gör att skadan kan bli större än vad som annat hade varit fallet.
Så vad kan man göra för att undvika att drabbas av en Social Engineering-attack?
Företag har anställda med olika typer av personligheter. Att fullständigt skydda sig från den här typen av attacker är svårt men inte omöjligt. Här är några tips från oss på vad ett företag kan göra för att skydda sig från Social Engineering-attacker:
- Ta fram en omfattande säkerhetspolicy på företaget och se till att alla de anställda läser och godkänner den.
- Återkommande utbildning av personalen är ett måste för att de ska ta till sig det som står i säkerhetspolicyn. Det som var gårdagens sätt att manipulera behöver nödvändighetsvis inte var det som används av angripare imorgon.
- Genomför återkommande säkerhetstester av experter på området. Företag som Sentor har säkerhetskonsulter som kan göra stickprov för att identifiera brister som enkelt kan utnyttjas av någon med onda avsikter.
Vad som är viktigast är att inte stoppa huvudet i sanden. Har ni inte tänkt på det här innan bör ni definitivt göra det. För det är inte längre en fråga OM ni kommer bli drabbade utan en fråga om NÄR det kommer att ske. Social Engineering-attacker blir allt vanligare och konsekvenserna kan bli förödande.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel