Användbara angreppssätt inom Social Engineering

Uppdrag: Vilseleda, bluffa och bedra

Hur många kan säga att de blir anställda på kunduppdrag med syfte att lura kundens användare? Vilseleda. Bluffa. Bedra. Sårbarheter som utnyttjas är individens godtrogenhet, begär av att vara behjälplig och naivitet. Det vassaste verktyget till förfogande: manipulation. Redan som barn lär vi oss att manipulera andra, det vill säga att påverka en annan individ till att göra någonting som vi vill.

Inom information- och IT-säkerhet pratas det om social engineering (social ingenjörskonst), som innebär att angriparen, genom manipulation, lurar individer till att avslöja information, konfidentiell eller av annan natur, med syfte att användas vid cyberangrepp. All information är av vikt och kan komma att vara avgörande under senare faser av cyberangreppet.

Vikten av att bygga relation genom vishing

Information samlas in genom att ringa till måltavlor, vilket är ett tillvägagångssätt som kallas för vishing. Det primära syftet med telefonsamtalen är att bygga relation och få måltavlan att känna förtroende. Förtroendet används i ett senare skede för att få måltavlan att läcka information av värde. Kartläggningar sker även av företagets och måltavlornas profiler på sociala medier och andra källor.

Endast EN lurad måltavla räcker för full åtkomst av en IT-miljö

Phishing är ett digitalt angreppssätt via email och förekommer i ett par varianter, phishing och spear-phishing. Phishing är ett emailtutskick till en större mängd mottagare och innehåller ett generiskt scenario. Spear-phishing är ett utskick till specifika måltavlor med ett skräddarsytt innehåll. All insamlad information ligger till grund för att bygga scenarios, det vill säga innehållet i phishing emails. Det upprättade förtroendet, vilket upprättats genom vishing, i kombination med phishing ökar sannolikheten att måltavlan öppnar en bifogad fil, läcker sitt användarnamn och lösenord eller klickar på en skadlig inbäddad länk i ett email från en angripare.

Det är tillräckligt att endast en måltavla läcker inloggninsuppgifter för att angriparen ska skaffa sig åtkomst till företagets IT-miljö. Huruvida angriparen väljer att eskalera angreppet är beroende av angriparens avsikter. Efter åtkomst säkerställer angriparen ett fotfäste i miljön och därifrån kan förflyttningar ske i syfte att exempelvis eskalera rättigheterna. Ett högst reellt och vanligt förekommande hot utgörs av att angriparen krypterar organisationens backuper och tar IT-miljön som gisslan i ett ransomwareangrepp.

Det är sunt att vara hälsosamt paranoid

En måltavla som är medveten om att ha vilseletts av innehållet i ett phishingemail är en av de säkraste resurserna i efterhand eftersom måltavlan, förhoppningsvis, kommer att vara mer uppmärksam på innehållet i sina email under en period. Det kan komma att lämpa sig för måltavlan att vara hälsosamt paranoid under en period!

Metoder inom social engineering som vi jobbar med dagligen

Att vilseleda, bluffa och bedra genom social engineering är något som facinerar mig både som beteendevetare och kriminolog, men även som säkerhetsrådgivare i IT-branschen då jag själv får möjlighet att vara delaktig i processen. Jag hjälper företag med bland annat organisatoriska och strategiska frågor där vi lyfter frågor som just phishing och bedgrägerier. Jag håller awarenessutbildningar för samtliga användare och ser därmed till att lyfta säkerhets- och medvetandenivåer i organisationen. Något jag tycker är skitkul, rent ut sagt!

Om jag sover dåligt om nätterna för att jag luras genom social engineering?

Mitt svar är lika självklart som det är enkelt. Nej, jag sover riktigt gott om nätterna. Jag känner en trygghet i att jag tillsammans med mina kollegor bygger upp ett säkrare digitalt Sverige.

I kommande inlägg kommer du exempelvis att kunna läsa om varför det mänskliga beteendet är en svag länk och hur det utnyttjas i cyberangrepp, verktyg inom social engineering så som Caller ID spoofing och få ta del av uppdrag från min verklighet.

Inlägget har belyst social engineering, manipulation, måltavlor, angreppsvägar, vishing, phishing, spear-phishing, awareness, skadlig inbäddad länk och ransomwareangrepp.