Social Engineering: Den Menneskelige Faktor i IT sikkerhed
Indledning
Med denne artikel vil jeg undersøge hvad social engineering er. Jeg vil også nævne konkrete eksempler på hvordan de fleste af os ser det ret ofte. Derudover vil jeg også nævne eksempler på hvordan onde aktører kan udnytte det til vinde tilliden hos andre mennesker.
Introduktion
Social engineering er manipulation af mennesker til at udføre handlinger eller afsløre fortrolige oplysninger. Det er en af de mest effektive metoder til cyberkriminalitet, fordi det udnytter menneskelige psykologiske svagheder frem for tekniske sårbarheder.
Almindelige Angrebsmetoder
I dette afsnit vil jeg kort redegøre for forskellige angrebsmetoder som også bliver set hos danske virksomheder.
Phishing
Størstedelen af os har på et tidspunkt oplevet en mistænkelig email som eksempelvis kan være fra Post nord. I mailen kan der stå at vi har en pakke som venter på os i nærmste pakkeshop.
Phishing igennem email For bare nogle år siden var det ikke altid at lokationen på den pågældende pakkeshop var tæt på hvor vi bor, men i dag er det blevet meget nemmere at se hvor vi er. Informationen kan findes igennem vores cookies, eller at vi selv har indtastet vores addrese på en hjemmeside hvis database er blevet lækket. Der er mange muligheder for at ondsindede aktører kan kombinere vores mail med vores adresse. Det udgør en meget større risiko for at mails kan indeholde en adresse tæt på os og dermed være svære at gennemskue.
At modtage en mail med ovenstående indhold er ikke nødvendigvis farligt, men det kan det blive hvis man klikker på et link i mailen. Et link kan indeholde ondsindet kode som i værste tilfælde kan give angriberen adgang til din computers software, men mere almindeligt vil angriberen modtage informationer om dig igennem din browser.
Et andet eksempel kan også være en mail som den nedenfor:
Eksempel på phishing e-mail:
"Kære medarbejder,
Din konto er blevet kompromitteret.
Klik her for at nulstille din adgangskode øjeblikkeligt.
HR-afdelingen"Phishing angreb bliver desværre mere almindeligt i takt med at AI værktøjer bliver bedre og mere tilgængelige.
Man ser også udgaver af phishing gennem QR koder (Quishing), SMS'er (Smishing) og videoer (Vishing).
Pretexting
Når angriberen besidder informationer og et offer, bliver det nemmere at bruge det offensivt ved at inddrage det i en dæk-historie som kaldes en "Pretext". Dækhistorien kan indgå også indgå i phishing mails.
Hvis vi forestiller os at jeg engang har klikket på et link i et tilfældig phishing mail ved et uheld. Det har så i dette fiktive tilfælde lækket informationer om hvor jeg var da jeg klikkede på linket. Informationen om at jeg har været et bestemt sted, på et bestemt tidspunkt kan nu lokke min opmærksomhed. Min opmærksomhed kan øge chancen for at jeg klikker på linket fordi at det nu pludseligt virker mere relevant for mig.
Det er også set at det bruges for at omgå fysisk sikkerhed. Hvis man holder øje med en virksomhed og ser hvem som får lov at komme ind og ud, hvilke påklædning de bærer. Så vil man måske kunne få lov at komme ind ved at ligne og lyde som dem. Jeg vil ikke præcisere dette yderligere, med farer for at komme med for konkrete tiltag.
Essensen er i hvertfald, at pretexting handler om at finde på en troværdig persona som kan overbevise medarbejdere om at give en ondsindet aktør adgang.
Beskyttelse mod Social Engineering
1. Træning
For at kunne gennemskue forsøg på social engineering mener jeg at det er vigtigt at have en idé om hvad ondsindede aktører kan have interesse i. Hvis vi bliver opmærksomme på at vores oplysninger kan for nogen være en lukrativ forretning, så vil vi måske også passe bedre på dem.
2. Sikkerhedspolitikker
Både som virksomhed og som privat person kan det være en fordel at have et regler og procedure op som hjælper med at imødekomme phishing eller pretexting.
Hvis det eksempelvis handler om en pengeoverførsel kan man lave en regel om aldrig at overføre penge, medmindre udveksler et kodeord som aldrig har været skrevet ned på et device.
For at imødekomme typer af phishing kan man også fuldstændig undgå at klikke på links. De fleste tjenester tillader at man logger ind og alligevel får adgang til det som en mail, SMS eller QR kode vil henvise til. I takt med at man skriver URL'en vil chancen også øges for at man opdager det ser mistænkeligt ud.
3. Incident response plan
I tilfælde af at virksomhedens kritiske infrastruktur er infiltreret og overvåget, så må det være rart med en plan for hvad man så gør. Forestil dig et kontormiljø med hundrede medarbejdere hvor alle medarbejdere bruger et smart system til at komme rundt med deres adgangskort. De arbejder med at fordele gods på lastbiler, skibe og fly. Pludseligt kan ingen sende mails og telefonerne som er IP telefoner virker heller ikke. Hvis det skulle ske, så ville jeg ønske at der var en grundig plan for hvordan man imødekommer en situation som den. Nu kan medarbejderne heller ikke komme ind og ud medmindre de bruger branddørene, som der ikke er særlig mange af.
Det kan let skabe panik og kræve kompetencer langt udover at opsætte en ny internetforbindelse.
For mig er min incident response plan at hvis min computer eller telefon bliver kompromitteret så formatere jeg min enhed og starter forfra. For mange vil jeg mene er det er rigeligt, men alt afhængig af hvem man er og hvad man udsættes for, kan det justeres.
4. Awareness kampagner
I et kontor miljø kan man få meget gavn af at hænge plakater med cyber awareness, det kan også være at dele af ens incident response plan kan komme op og hænge. Der er mange måder at gøre dette på, men essensen er at jo mere vi taler med hinanden og sprede budskabet om hvad vi skal være opmærksomme på - Jo bedre.
Nedenfor er et billed fra den verdensberømte wanacry virus som lammede computere, hæveautomater og infoskærme på tværs af landegrænser i 2017.
Reflektion
Jeg tror ikke at nogen kan lide at blive snydt. Jeg synes at det her er et meget spændende emne og det er noget som man aldrig kan blive for god til. Desværre er det noget som vi alle kan blive udsat for og noget som jeg er sikker på at alle ville kunne gavne af at blive mere opmærksomme på.
Alle med en kombination af onde hensigter og gode sociale færdigheder ville være i stand til at gennemføre angreb som dem jeg har skrevet om i denne artikel. Men de sociale færdigheder som der skal til kan i mange tilfælde opfyldes af tjenester som ChatGPT for at skrive manuskripter til phishing kampagner på SMS, mails og sikkert også gennem videoer og video opkald.
Jeg har valgt at skrive denne artikel for at inddrage den menneskelige vinkel af IT sikkerhed. Uanset hvor stærk koden, vores netværkssikkerhed eller vores incidenct respons plan, så er vi ikke stærkere end vores beredskab overfor social engineering.
Siden 9-11 har alle lufthavne i verden øget sikkerheden for at forebygge angreb, i forhold til dette projekt for Maersk Air Cargo kan det betyde at være meget rigid i forhold til at styre brugeroprettelses processen. På den måde kan vi undgå uvedkommende at benytte systemet. Det øger også interessen i at beskytte imod 'Injection' således at der er god styring på hvem som får adgang når de så har en bruger. Derudover vil vi også være opmærksomme på at beskytte databasen så uvedkommende ikke kan få informationer om piloter og teknikere.
Social-Engineer.com (opens in a new tab)