Vad är Social Engineering och varför behöver du skydda dig?

Henrik André 11 maj, 2022

Introduktion

Utnyttjar mänskligt beteende

I den här artikeln kommer vi att göra en djupdykning i Social Engineering och reda ut vad det är, hur det går till och vilka metoder som vanligtvis används för att manipulera en medarbetare. Eftersom skyddet ligger i att identifiera hotet, så jag tänker jag att vi lägger fokus kring tecknen, men vi börjar med en kort introduktion till vad social engineering är.

Begreppet används huvudsakligen inom två olika områden; politik och säkerhet. Inom politiken syftar det till att påverka specifika attityder och sociala beteenden. Inom säkerhet handlar det mer om att genom manipulation skapa förtroende hos en eller flera personer för att få åtkomst till värdefull information eller fysiska tillgångar. Även om själva ordet handlar mer om manipulation förekommer grundsyftet (att påverka en annan person) inom alla områden där människor har med varandra att göra.

För säkerhetsområdet kan man säga att i stället för att hacka hårdvara eller mjukvara så hackar man människor. Då den digitala tekniken förbättrats under en väldigt lång tid och system generellt blivit svårare att hacka under de senaste åren har den mänskliga hjärnan inte utvecklats nämnvärt på ungefär 50 000 år. Samtidigt har vi under alla dessa år prövat och utvecklat en mängd olika sätt att lura den, så det säger sig självt att det ofta är på den spelplanen man väljer att utföra en attack – den svagaste länken i säkerheten.

Ordlista

Social Engineering
Genom manipulation och vilseledning av en person, skaffa sig åtkomst till information eller tillgångar.

Integritetsrisk
Risken att en personuppgift på något sätt utsätts för en risk

Immateriella skador
Skador på person. Exempelvis sveda, värk, olägenhet eller lidande till följd av kränkningen av rättigheterna.

Pseudonymisering
Anonymisering av personlig information. Personens identitet ersätts av ett ID-nummer som sedan går att identifiera via en förteckning.

”The weakest link in any security chain is always human.”

– Kevin Mitnick till Times, Oktober 2002

Hur det fungerar

Fem grundpriciper

Det finns fem olika grundprinciper när det kommer till att manipulera någon. Angripare brukar vanligtvis mixa och matcha dem fritt vid en attack.

Auktoritet

Det är inte ovanligt att en angripare utger sig för att vara en auktoritet, som till exempel en tjänsteman på Skatteverket, en produktspecialist på Microsoft eller en skrivarreparatör ifrån HP. Ser man det ur den angripnes perspektiv så har en person med auktoritet ett legitimt syfte med sin kontakt. Till skillnad ifrån andra personer som ringer, exempelvis säljare eller undersökare, har man därför väldigt svårt att avfärda och litar ofta på en person med auktoritet.

Tidspress

Upplevd tidspress genererar efterfrågan. Ett begränsat antal gratisnycklar till någon eftertraktad ny e-tjänst skulle till exempel kunna användas som lockbete i ett phishing mail.

Skrämseltaktik

Med hot eller skrämseltaktik kan angriparen antyda att offret kommer att få negativa konsekvenser om vissa åtgärder inte utförs. Konsekvenserna kan vara allt ifrån subtila skrämselfraser som ”Jag ska berätta för din chef” till avsevärt mycket värre saker. Bär man med sig något sedan tidigare och angriparen träffar rätt innebär det också att angriparen uppnår en form av auktoritet.

Brådska

Brådska ligger tätt förknippat med knapphet. Angriparen använder brådska för att minimera skepsis till erbjudandet. Att till exempel säga att erbjudanden är tillgängliga under en ”begränsad tid” uppmuntrar förövaren till att inte tänka allt för mycket på vad personen faktiskt förmedlar, genom att skapa en känsla av just brådska.

Förtroende

Man är mer benägen att lyssna och tro på någon som man tycker om. Denna princip används överallt och hela tiden, och styr i mångt och mycket våra kulturella egenheter. Vid en attack kan det till exempel användas genom att förövaren spelar vänlig och förtroendeingivande, eller att den ser till att ha ett välvårdat eller på annat sätt tilltalande yttre.

Så här gör angriparen

Manipulation

Inom informationssäkerhet handlar social engineering om manipulation, att lura eller på annat sätt övertyga någon om att dela med sig av känslig information eller annat värdefullt som man vill komma åt. Det finns många sätt att göra detta på, mer eller mindre kreativa, och vissa av dem är så pass vanliga att man har namngett dem. Jag tänker att vi kikar lite närmare på dessa.

Smishing

Som phishing, fast i stället använder man SMS för att locka offer till en specifik handling. Som nätfiske kan det handla om att klicka på en skadlig länk eller avslöja information. Exempel är textmeddelanden som påstår sig vara från ett vanligt företag, kanske PostNord, som säger att ett paket är på väg, med en medföljande länk till en sida med skadlig kod.

Vishing

Vishing, även känt som ”röstnätfiske används över ett telefonsystem för att få tillgång till privat, personlig eller finansiell information ifrån offret i syfte att i slutändan få roffa åt sig tillgångar. Vishing används också av angripare i spaningssyfte för att samla in mer detaljerad underrättelse om ett mål eller målorganisation.

Impersonation

Att låtsas vara en annan person med målet att fysiskt få tillgång till ett system eller en byggnad. Se upp för hissreparatören och rörmokaren, speciellt om de saknar identitetsmärke.

Pretexting

Handlingen att skapa och använda ett påhittat scenario eller ett svepskäl för att engagera ett offer på ett sätt som ökar chansen att hen kommer att avslöja information eller utföra handlingar som skulle vara osannolika under vanliga omständigheter. Pretexting är en utarbetad lögn som ofta bygger på en del tidigare efterforskning, som exempelvis födelsedatum, personnummer, sista fakturabelopp med mera. Man försöker genom att uppvisa att man vet dessa saker fastställa legitimitet i offrets sinne.

Den här tekniken kan användas för att lura ett företag att avslöja kundinformation samt av privata utredare för att erhålla telefonregister, verktygsregister, bankuppgifter och annan information direkt från företagets servicerepresentanter. Informationen kan sedan användas för att etablera ännu större legitimitet under ett tuffare ifrågasättande av en auktoritetsperson, till exempel för att göra kontoändringar, få specifika saldon, etcetera.

Pretexting kan också innebära att förövaren utger sig för att vara en medarbetare, polis, bankrepresentant, skattemyndighetsrepresentant, präst, försäkringsutredare – eller någon annan individ som man uppfattar som en auktoritet och därmed har rätt till information i det målsatta offrets sinne. Förespråkaren måste helt enkelt förbereda svar på frågor som potentiellt kan ställas av offret. I vissa fall behövs kanske bara en röst som låter auktoritativ, en seriös ton och en förmåga att tänka på fötterna för att skapa ett pretextuellt scenario, medan det i andra fall handlar om ett mer seriöst förarbete.

Spear phishing

Även om det liknar phishing, är spear phishing en teknik som på ett bedrägligt sätt erhåller privat information genom att skicka detaljerade, riktade och anpassade e-postmeddelanden till ett fåtal slutanvändare. Framgångsfrekvensen för spear phishing-attacker är avsevärt högre än phishing-attacker, där människor öppnar ungefär 3 % av phishing-meddelanden jämfört med ungefär 70 % av spear phishing-meddelanden. När användare faktiskt öppnar ett phishing-mail har det en relativt blygsam 5% framgångsfrekvens att få länken eller bilagan klickad. En spear phishing-attack å andra sidan kan skryta med en framgångsfrekvens på 50%.

Denna skyhöga siffra är starkt beroende av mängden och kvalitén av OSINT (open-source intelligence, d.v.s. öppen information) som angriparen kan få tag på. Kontoaktivitet på sociala medier och offentliga register är exempel på källor till OSINT.

Water holing

Water holing är en målinriktad strategi för social ingenjörskonst som drar nytta av det förtroende som användare har för webbplatser de regelbundet besöker. Offret känner sig trygg att göra saker de inte skulle göra i en annan situation. En försiktig person kan till exempel medvetet undvika att klicka på en länk i ett oönskat e-postmeddelande, men samma person skulle kanske inte tveka att följa en länk på en webbplats som de ofta besöker. Angriparen kan utnyttja detta genom att gillra fällor för det oförsiktiga bytet vid ett “gynnat vattenhål”. Denna strategi har framgångsrikt använts för att få tillgång till vissa (påstådda) mycket säkra system.

Angriparen kan börja med att identifiera en grupp eller individer att rikta in sig på. I förberedelserna ingår att man samlar information om webbplatser som måltavlan ofta besöker. Angriparen letar sedan i dessa webbplatser efter sårbarheter för att injicera kod som kan infektera en besökares system med skadlig programvara. Den injicerade kodfällan och skadliga programvaran kan skräddarsys för den specifika målgruppen och de specifika system de använder. Med tiden kommer troligtvis en eller flera medlemmar i målgruppen bli infekterade och angriparen får då tillgång till deras system, med allt vad det innebär.

Baiting

Baiting är den digitala motsvarigheten till den trojanska hästen, som förlitar sig på offrets nyfikenhet eller girighet. I den här typen av attack lämnar angripare infekterade disketter, CD-skivor eller USB-minnen på platser som folk kan hitta dem (badrum, hissar, trottoarer, parkeringsplatser, etc.), ger dem legitima och nyfikenhetseggande etiketter och väntar sedan på potentiella offer.

Till exempel kan en angripare skapa en disk med en företagslogotyp, tillgänglig från målets webbplats, och märka den ”Executive Salary Summary Q4 2021” eller något annat påhittigt. Angriparen lämnar sedan skivan på golvet i en hiss eller någonstans i lobbyn på målföretaget. En ovetande anställd kanske hittar den och sätter in skivan i en dator för att tillfredsställa sin nyfikenhet, eller så kan en barmhärtig samarit hitta den och lämna tillbaka den till företaget. Det är mindre viktigt med vem och varför, så länge skivan sätts in i en dator och därmed installerar skadlig programvara. Vid det lager har attacken lyckats och angriparen får tillgång till offrets dator och kanske målföretagets interna datornätverk.

I en studie gjord 2016 strödde forskare ut 297 USB-enheter runt campus vid University of Illinois. Dessa innehöll filer som länkade till webbsidor som ägdes av forskarna. De kunde se hur många av enheterna som hade filer öppnade, men inte hur många som satts in i en dator utan att ha en fil öppnad. Av de 297 enheter som ströddes ut, plockades 290 (98 %) av dem upp, och 135 (45 %) av dem infekterade ett system. Hoppsan.

Quid pro quo

Något för något handlar detta om kort sagt. Det kan se väldigt olika ut, men ett exempel kan vara att en angripare ringer slumpmässiga nummer till ett företag och påstår sig ringa tillbaka från teknisk support. Så småningom kommer denna person kanske att hitta någon med ett legitimt problem som väntat på att höra tillbaka från it-supporten. Tacksam för att någon ringer tillbaka för att hjälpa dem är man då ganska benägen att göra som angriparen säger. Angriparen kommer då att ”hjälpa” till att lösa problemet och, i processen, får offret att skriva in användartypkommandon som ger angriparen åtkomst till systemet, eller möjligen lanserar skadlig programvara.

Ett annat exempel är en informationssäkerhetsundersökning från 2003. Där gav 91 % av de tillfrågade anställda vad de hävdade var deras lösenord till forskarna som svar på en undersökningsfråga i utbyte mot en billig penna. Liknande undersökningar under senare år fick liknande resultat med choklad och andra billiga beten. Man får hoppas att vi har blivit något mer medvetna om riskerna under de senaste åren.

Tailgating attack

Tailgating attack innebär att en angripare, som söker inträde till ett begränsat område (skyddat genom obevakad elektronisk åtkomstkontroll), går in direkt efter en person som har legitim åtkomst. Efter vanliga artighetsfraser kommer den legitima personen vanligtvis att hålla dörren öppen för angriparen eller så kan angriparna själva be den anställde att hålla den öppen för dem. Den legitima personen kan misslyckas med att begära identifiering av någon av flera anledningar, eller kan acceptera ett påstående om att angriparen har glömt eller tappat bort den lämpliga identitetsbrickan/nyckelkortet. Något som också förekommer ofta vid en tailgating attack är att angriparen visa upp ett dokument, till exempel ett fejkat välkomstbrev till en ny anställning, som bevisar att personen hör hemma på platsen.

Ovan beskrivna begrepp är alltså några av alla de sätt som en angripare kan försöka lura sitt offer inom ramarna för social engineering.

Skydd

Hur kan man då på ett bra sätt skydda sig? Vad som följer är några koncisa tips på motåtgärder.

Utbildning av anställda

Utbildning av anställda i säkerhetsprotokoll som är relevanta för deras befattning. I situationer som t.ex. tailgating, om en persons identitet inte kan verifieras, måste anställda utbildas i att artigt vägra. Det kanske låter löjligt, men förberedda fraser i situationer som dessa hjälper avsevärt, speciellt om man är av det konfliktundvikande slaget.

Standard Framework

Etablera ramar för förtroende på anställd/personalnivå, d.v.s. specificera och utbilda personal när/var/hur/varför känslig information ska hanteras.

Granska information

Identifiera vilken information som är känslig och utvärdera dess exponering för social ingenjörskonst och haverier i säkerhetssystem (byggnad, datorsystem, etc.)

Säkerhetsprotokoll

Upprättande av säkerhetsprotokoll, policyer och procedurer för hantering av känslig information.

Händelsetest

Utför oanmälda, periodiska tester av säkerhetsrutinerna.

Inokulering

Förhindra social ingenjörskonst och andra bedrägliga trick eller fällor genom att, likt utbildning, ingjuta motstånd mot övertalningsförsök genom exponering för liknande eller relaterade försök.

Granska

Se över stegen ovan regelbundet. Inga lösningar på informationsintegritet är perfekta, och bedragare kommer alltid att försöka hitta nya tillvägagångssätt.

Avfallshantering

Troligtvis finns det mer att hitta i ert avfall än kaffesump och tomma snusdosor. Använd en avfallshanteringstjänst som har sopkärl med lås på, med nycklar till dem begränsade till avfallshanteringsföretaget och städpersonalen. Försök att ställa soptunnan inom era anställdas blickfång så att ett försök från en obehörig att komma åt den innebär en risk att bli påkommen. Bakom en låst grind eller staket där personen måste göra intrång innan de kan försöka komma åt soptunnan är en annan lösning.

Om du har läst så här långt har du nu en bra grund att stå på när det gäller att skydda dig mot angrepp av den här typen. Man kan säga att du har tagit din första dos vaccin mot social engineering. Som vi alla nu är mycket medvetna om så behövs dock en flockimmunitet för att motståndet ska vara någolunda adekvat på den stora skalan, och vi på Safestate och Secify erbjuder den utbildning som krävs för att bli rejält motståndskraftig. Hör gärna av dig till oss så berättar vi mer!

Tack för er tid, och lycka till med ert framtida säkerhetsarbete!

Om
Senaste inläggen

Henrik André

Henrik arbetar framförallt med teknisk support på vårt systerbolag Safestate men skriver också en del artiklar inom informationssäkerhet.

Senaste inläggen av Henrik André

Vad är Social Engineering och varför behöver du skydda dig? - 11 maj, 2022

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.