Upptäckta under ett Social Engineering uppdrag – Case

Under ett av våra pågående social engineering uppdrag hände det som vi försöker undvika – vi hade blivit upptäckta! Eller rättare sagt den påhittade karaktären ”Kim” hade blivit upptäckt. Vad skulle hända nu? Hur skulle uppdraget fortlöpa för att kunna uppnå resultat? Vad skulle beställaren säga?

Inför och under ett pågående uppdrag är det i regel endast en handfull personer inom kundens företag som sitter på vetskapen om att ett social engineering test ska äga rum. Syftet är att testet ska utföras under så realistiska former som möjligt, för att spegla ett verkligt cyberangrepp. Flera aspekter kan komma att testas under ett uppdrag, så som användarnas medvetenhet gällande säkerhet, organisatoriska processer och IT:s förmåga av att hantera ett cyberangrepp.

Utmaning: endast två dagars operativt arbete

Förutsättningarna för uppdraget var minst sagt besvärliga initialt. Den främsta utmaningen var tiden. Det operativa arbetet, då vishing och phishing skulle utföras, var endast inplanerat under två dagar. På grund av tidsaspekten bestämdes det i förväg att kundens IT-support ej skulle eskalera avvikande och misstänksamma aktiviteter i form av varningar till användarna.

IT-supporten varnar för ”Kim”

Besvärligare skulle det bli. ”Kim” hade ringt och pratat med flertalet måltavlor, fått dem att öppna en delad fil i syfte att samla in intern information och att stjäla användarnamn och lösenord. Eftersom åtkomst till kundens IT-miljö hade åstadkommits via phishing uppmärksammades ett mailutskick till samtliga användare, i vilket IT-support varnade för ”Kim”, hennes telefonsamtal och falska email. En komplicerad utmaning föreföll, hur skulle kunduppdraget fortgå när IT-support gått ut med en varning? Samtidigt som tiden för uppdraget var på väg att rinna ut.

Dags att bli kreativa och skicka ut ett nytt phishingemail

Utmaningen hanterades genom att använda vetskapen om det legitima varningsmailet genom att skicka ut ytterligare ett phishingemail till måltavlorna. Emailet upprättades så att det såg ut att komma ifrån en person på IT men med vissa detaljer som var ändrade. Det innehöll en text och en länk, som måltavlorna uppmanades att trycka på, med syfte att läsa och lära sig om ”Kims” tillvägagångsätt. Resultatet blev ett dussin nya stulna användarnamn och lösenord. Endast en måltavla reagerade på och ifrågasatte uppmaningen att klicka på länken!

I min roll som informationssäkerhetsrådgivare bidrar jag till en ökad medvetenhet hos användarna. I förlängningen blir organisationerna, som jag arbetar tillsammans med, mer motståndskraftiga mot cyberangrepp. Utmaningen ligger i organisatoriska åtgärder som måste implementeras för att bygga och upprätthålla en säkerhetskultur som kan efterlevas – på riktigt. Jag och mina kollegor står till ert förfogande och tillsammans gör vi er organisation till en del av ett säkrare digitalt Sverige. Vem vill inte vara med på den resan?

I kommande inlägg kommer du exempelvis att kunna läsa om falsk trygghet med multifaktorautentisering (MFA) och fler beteendefaktorer bakom lyckade social engineering angrepp.

Inlägget har belyst kreativitet, social manipulation, måltavlor, angreppsvägar, cyberangrepp, vishing, phishing, stulna credentials och vikten av en säkerhetskultur.