Social engineering: del 1 av 2

Del 1: de vanligaste formerna av social engineering

Vad betyder begreppet?

Social engineering, eller social hacking, som det också kallas, används som ett sätt att få åtkomst till en individs eller ett företags känsliga data genom manipulation av en människa.

Historik & bakgrund

För rätt många år sedan nu började “Nigeriabreven” bli kända, detta var antagligen det som satte social engineering på kartan. Konceptet har sedan dess utvecklats i en oändlig mängd olika tricks för hackare att komma åt känslig information hos en individ eller ett företag. Målet är i princip alltid pengar, men metoderna att ta sig till målet varierar.

Hur?

Genom att nyttja en kombination av tekniska prylar och manipulation, oftast via väldigt enkla men psykologiskt smarta metoder, utnyttjar man mänskliga karakteristiska brister. Några exempel är bland annat förtroende för kollegor eller släktingar, auktoriteten hos en betrodd partner och olika former av servicearbetare men även ren och skär nyfikenhet hos sin måltavla. Hackaren använder sig ofta av psykning genom att påtrycka via stress eller ilska, på så sätt sänks garden och personen luras att ge ut känsliga uppgifter. Hackaren väcker helt sonika personens “reptilhjärna” som stänger av de normala tankarna om misstänksamhet.

Även om dessa så kallade “Nigeriabrev” fortfarande förekommer i viss utsträckning har hackare runt om i världen utvecklat fler och mer genomarbetade metoder.

Sju exempel på social engineering

1. Spear phishing
En hackare tar reda på personlig information om en mindre grupp personer och utformar sedan riktade kampanjer till sina måltavlor. Till skillnad från vanlig “phishing” (vilket når en större grupp mottagare) som endast brukar ha en statistisk framgång på ca 3% har däremot spear phishing upp till 70% träff hos sina måltavlor.

2. Whaling
En annan form av föregående punkt, men här är målet en specifik nyckelperson på ett företag som har access till företagets känsliga data. Dessa nyckelpersoner brukar ofta vara sådana som VD, ekonomichef eller en tekniker med åtkomst till företagets servrar.

3. USB-drop
En hackare lägger en USB-sticka på ett väl valt ställe så som ett café eller personalparkering och inväntar någon som inte kan stå emot sin nyfikenhet och som tar med stickan till sin arbetsdator. Den inte ont anande personen har nu fått ett virus som hackaren använder för att komma åt företagsnätverket. En utveckling av detta blev att hackare började sätta målföretagets logotype på USB-stickan och på så sätt införliva ännu större falsk trygghet hos sina måltavlor. När USB-stickor inte längre fungerade bra i lika stor utsträckning började man istället placera ut laptops, en mus eller ett tangentbord som medarbetaren tog in till sitt kontor och kopplade in på företagsnätverket.

 

4. Vishing
Då en hacker ringer en person och utger sig för att vara anställd på en bank eller annan betrodd källa och ber personen att lämna ut känslig information så som koder eller liknande. Detta är mest vanligt mot privatpersoner, men förekommer även som attack mot företag.

Allt eftersom människor blivit mer och mer misstänksamma mot denna form av attack blev istället en populär strategi att leta upp personlig information hos måltavlan så som husdjur eller om målet har någon nära anhörig som är sjuk eller kanske nyligen avliden. Det finns exempel på människor som blivit lurade genom att de fått ett testamente som ser ut att vara från familjens advokatbyrå, eller e-post från sitt barns förskolelärare. Hackaren kan även gå så pass långt att den letar upp en video eller bilder på barnen och bifogar det i mailet för att inge förtroende.

5. Social media sharing
En hackare publicerar en länk, exempelvis en video som utger sig komma från en välkänd person, och genom att utnyttja människors naturliga nyfikenhet får man på så sätt folk att klicka på länken. Ett ännu mer avancerat och utstuderat sätt att sprida viruset är att man uppger att mottagaren inte kan se innehållet i videon förrän man delat länken med X antal vänner.

6. Fake online profiles
Ett ganska vanligt sätt nu för tiden som används på i princip alla sociala medieplattformar. Detta är en blandning av andra hackingsätt eftersom man ofta utger sig för att vara en känd person eller någon som arbetar på ett välkänt företag. Allt för att människor ska vaggas in i en falsk säkerhet eftersom de automatiskt tror på saker som en person de ”känner till” säger. Målet via denna sorts attack, i alla fall när det kommer till företag, kan exempelvis vara att man försöker komma över e-postadresslistor.

7. Tailgating
Ett fräckt, och även mer old school sätt, är när hackaren närmar sig en person fysiskt och helt enkelt förföljer en medarbetare för att komma åt känslig information. Om det är kod till en dörr för att fysiskt komma in på ett kontor, eller om det är att stå bakom en reception för att kunna se vilka lösenord man använder för att komma in på företagets nätverk, kan variera beroende på vilket företag som är målet för hackaren.

En annan variant av denna hackningsform, som kanske är mest vanlig på väldigt stora organisationen, är att hackaren använder sig av specifik företagsinformation som den tidigare kommit över och nämner detta till en medarbetare i en konversation för att inge förtroende – på så sätt kan hackaren enklare få medarbetaren att släppa garden och faktiskt delge information om nätverks säkerhet eller andra detaljer om företaget som den annars inte hade kommit åt.

Ransomware

Sist men inte minst något som vi alla har hört talas om. Detta är i sig ingen specifik metod utan något som hackaren tar till då de kommit över ett företags känsliga data. De kräver en summa pengar mot att de inte publicerar detta online.

Kom ihåg!

Denna lista är inte komplett; nya metoder utvecklas i samma takt som vi utvecklar sätt att skydda oss och ofta ligger måltavlorna ett steg efter.

Håll utkik på bloggen, del 2 publiceras snart!

Då kommer vi berätta om några exempel på vad man kan göra för att motverka hackares försök att komma åt oss som människor, våra fysiska företagslokaler samt nätverk.