Social engineers weten op welke knoppen ze moeten drukken om je te laten doen wat ze willen. Hun aloude technieken werken echt. dus het was onvermijdelijk dat cybercriminelen die technieken zouden toepassen op cybercriminaliteit.
Hoe sociale techniek werkt
Vanaf de geboorte zijn we geprogrammeerd om behulpzaam en beleefd te zijn. Als iemand je een vraag stelt, moet je je bewust inspannen om deze niet te beantwoorden, vooral als het onschuldig lijkt. Dit is een van de gedragingen die social engineers manipuleren om te bereiken wat ze willen. Ze doen het subtiel en langzaam, stukje bij beetje informatie uit hun slachtoffer halen. Ze zullen ongevaarlijke vragen afwisselen met vragen die je dichter bij het onthullen van wat ze willen weten, duwen.
Social engineering werkt door mensen te manipuleren met behulp van technieken die inspelen op fundamentele menselijke eigenschappen. Bekwame sociale ingenieurs kunnen ervoor zorgen dat u sympathie voor hen of hun – verzonnen – situatie voelt. Ze kunnen ervoor zorgen dat je de regels wilt verbuigen, voor deze ene keer, hetzij omdat je met hen meeleeft en wilt helpen, of omdat ze lastig zijn en je ze echt van de telefoon wilt hebben. Ze kunnen ervoor zorgen dat u zich bezorgd of paniekerig, hoopvol of opgewonden voelt. Vervolgens gebruiken ze deze emotionele reacties om u haastig te laten handelen, vaak om een vermeende ramp af te wenden of om te profiteren van een speciale aanbieding.
Social engineering-aanvallen kunnen in één telefoontje plaatsvinden. Ze kunnen zich in de loop van de tijd ontwikkelen, omdat ze langzaam een vals rapport opbouwen. Maar social engineering beperkt zich niet tot het gesproken woord. De meest voorkomende social engineering-aanvallen worden per e-mail afgeleverd.
Het enige dat alle social engineering-aanvallen gemeen hebben, is hun doel. Ze willen door uw beveiligingsmaatregelen heen. Met jou als hun onwetende medeplichtige.
De menselijke natuur hacken
Mensen gebruiken social engineering-technieken al zolang er oplichters zijn. De “Spaanse gevangene”-zwendel dateert uit de jaren 1580. Een vermogend persoon ontvangt een brief van iemand die beweert een landeigenaar te vertegenwoordigen die onwettig wordt vastgehouden in Spanje onder een valse identiteit. Hun ware identiteit kan niet worden onthuld, omdat dit hem en zijn mooie dochter in nog meer gevaar zal brengen.
Hun enige hoop op ontsnapping is om hun bewakers om te kopen. Iedereen die bijdraagt aan het smeergeldfonds zal vele malen worden beloond wanneer de gevangene wordt vrijgelaten en toegang heeft tot zijn aanzienlijke financiële activa. Iedereen die ermee instemt om te doneren, ontmoet de tussenpersoon die de donatie int.
Het slachtoffer wordt al snel weer benaderd. Er zijn meer moeilijkheden gerezen – de gevangene en zijn dochter moeten worden geëxecuteerd, we hebben maar twee weken! – en er is natuurlijk meer geld nodig. Dit wordt herhaald totdat het slachtoffer is leeggebloed of weigert meer geld af te geven.
Oplichting als deze werkt op verschillende mensen op verschillende manieren. Sommige slachtoffers raken verstrikt omdat het appelleert aan hun nobele eigenschappen zoals vriendelijkheid, mededogen en rechtvaardigheidsgevoel. Voor anderen zou de toenemende vijandigheid tussen Groot-Brittannië en Spanje hen tot actie hebben aangezet. Anderen zouden de kans grijpen om gemakkelijk winst te maken.
De Spaanse Prisoner-zwendel is het Elizabethaanse equivalent – en directe voorouder van – de “Nigeriaanse prins” en andere zwendel-e-mails die cybercriminelen in 2021 nog steeds geld opleveren.
De meeste mensen kunnen deze tegenwoordig herkennen als oplichting. Maar de meeste moderne social engineering-aanvallen zijn veel subtieler. En het scala aan menselijke reacties op emotionele gebeurtenissen is niet veranderd. We zijn nog steeds op dezelfde manier geprogrammeerd, dus we zijn nog steeds vatbaar voor deze aanvallen.
Soorten aanvallen
De dreigingsactor wil dat je iets doet dat in hun voordeel is. Hun doel kan het verzamelen van accountgegevens of creditcardgegevens zijn. Ze willen misschien dat je per ongeluk malware installeert, zoals ransomware, keyloggers of achterdeurtjes. Ze willen misschien zelfs fysiek toegang krijgen tot uw gebouw.
Een gemeenschappelijk kenmerk van alle social engineering-aanvallen is dat ze een gevoel van urgentie proberen te genereren. Op de een of andere manier nadert een deadline. De subliminale boodschap aan de ontvanger is “doe nu, stop niet om na te denken.” Het slachtoffer is genoodzaakt de ramp niet te laten gebeuren, de speciale aanbieding niet te missen of iemand anders in de problemen te laten komen.
Phishing-e-mails
De meest voorkomende social engineering-aanval maakt gebruik van phishing-e-mails. Deze lijken afkomstig te zijn van een betrouwbare bron, maar zijn in werkelijkheid vervalsingen, gekleed in de kleuren van het echte bedrijf. Sommige bieden een kans, zoals een speciale aanbieding. Anderen presenteren een probleem dat moet worden aangepakt, zoals een probleem met accountvergrendeling.
Phishing-e-mails kunnen heel gemakkelijk worden aangepast aan wat er in het nieuws is. De COVID-19-pandemie van 2020 gaf cybercriminelen de perfecte dekmantel om phishing-e-mails met nieuwe onderwerpregels te verzenden. Nieuws over de pandemie, toegang tot testkits en voorraden handdesinfecterend middel werden allemaal gebruikt als haken om onoplettende mensen in de val te lokken. Phishing-e-mails bevatten ofwel een link naar een besmette website of een bijlage die een malware-installatieprogramma bevat.
VERWANT: Waarom spellen ze phishing met ‘ph?’ Een onwaarschijnlijk eerbetoon
Telefoongesprekken
Phishing-e-mails worden met miljoenen verzonden, met een generieke hoofdtekst. Social engineering per telefoon is meestal afgestemd op een bepaalde organisatie, dus de dreigingsactoren moeten het bedrijf verkennen. Ze zullen kijken naar de Ontmoet het team pagina op de website en bekijk de LinkedIn- en Twitter-profielen van de teamleden.
Informatie zoals wie er met verlof is, of een conferentie bijwoont, een nieuw team leidt of promotie maakt, kan allemaal door de dreigingsactoren in telefoongesprekken worden gedropt, zodat de ontvanger zich niet afvraagt of de beller echt van technische ondersteuning, of vanuit het hotel waar het verkoopteam verblijft, enzovoort.
Medewerkers bellen en zich voordoen als technische ondersteuning is een veel voorkomende truc. Nieuwe medewerkers zijn goede doelen. Ze doen hun best om het je naar de zin te maken en willen niet in de problemen komen. Als de technische ondersteuning hen belt en vraagt of ze iets hebben geprobeerd te doen wat ze niet hadden moeten doen, bijvoorbeeld proberen toegang te krijgen tot geprivilegieerde netwerkshares, kan de werknemer overcompenseren en te bereid zijn om mee te werken om hun naam te zuiveren.
Een social engineer kan die situatie in hun voordeel werken en in de loop van een gesprek kunnen ze genoeg informatie uit de werknemer plagen om zijn account in gevaar te brengen.
Technische ondersteuning kan ook het doelwit zijn. De aanvaller doet zich voor als een senior medewerker en belt de technische ondersteuning en klaagt dat ze in een hotel zijn en geen belangrijke e-mail kunnen verzenden vanaf hun zakelijke account. Er staat een enorme deal op het spel en de klok tikt door. Ze zeggen dat ze een screenshot van de foutmelding zullen sturen met hun persoonlijke e-mailadres. De support engineer wil dat dit zo snel mogelijk wordt opgelost. Wanneer de e-mail binnenkomt, openen ze onmiddellijk de bijlage die malware installeert.
Iedereen kan de ontvanger zijn van een social engineering-telefoontje. Technische ondersteuning heeft geen monopolie. Er zijn honderden variaties waaruit de aanvallers kunnen kiezen.
Uw pand betreden
Bedreigingsactoren zullen zich als bijna iedereen voordoen om toegang te krijgen tot uw gebouw. Koeriers, cateraars, bloemisten, brandweerinspecteurs, liftservicemonteurs en printertechnici zijn allemaal gebruikt. Ze kunnen onverwachts arriveren of ze kunnen van tevoren bellen en een afspraak maken. Het boeken van een afspraak helpt bij het vaststellen van de dreigingsactor is wie hij beweert te zijn. Op de dag van de afspraak verwacht u een printertechnicus en komt er een aan.
In plaats van te zeggen dat ze de printer gaan repareren, zeggen ze waarschijnlijk dat ze de firmware updaten of een andere taak waarvoor geen gereedschap of reserveonderdelen nodig zijn. Ze zullen heel geruststellend zijn. Het enige dat ze nodig hebben, is een netwerkverbinding of even op een van uw computers springen. De printer gaat niet eens offline. Zodra ze zich op uw terrein en op uw netwerk bevinden, kunnen ze elke vorm van malware installeren. meestal is het een achterdeur waarmee ze op afstand toegang kunnen krijgen tot uw netwerk.
Een ander aanvalstype ziet dat er ergens een klein apparaat moet worden verborgen. Achter de printer is een populaire plek. Het is uit het zicht en er zijn meestal reserve stopcontacten en netwerkaansluitingen erachter. Het apparaat maakt een versleutelde verbinding, een zogenaamde SSH-reverse-tunnel, met de server van de bedreigingsactoren. De dreigingsactoren hebben nu gemakkelijk toegang tot uw netwerk wanneer ze maar willen. Deze apparaten kunnen worden gebouwd met behulp van een Raspberry Pi of andere goedkope computers met één bord en vermomd als voedingen of soortgelijke onschadelijke apparaten.
VERWANT: Wat is omgekeerde SSH-tunneling? (en hoe het te gebruiken)
Bescherming tegen sociale engineering
Social engineering werkt op mensen, dus de primaire verdediging is training voor het bewustzijn van het personeel en duidelijke beleidslijnen en procedures. Medewerkers moeten er zeker van zijn dat ze niet worden bestraft voor het zich houden aan het protocol. Sommige cyberbeveiligingsbedrijven bieden trainingen en rollenspellen aan met hun interne social engineers. De technieken in actie zien is een krachtige manier om te laten zien dat niemand immuun is.
Stel procedures op die het personeel duidelijke richtlijnen geven over wat ze moeten doen als hen wordt gevraagd het protocol te overtreden, ongeacht wie het hen vraagt. Ze mogen bijvoorbeeld nooit hun wachtwoord aan de technische ondersteuning vertellen.
Er moeten regelmatig netwerkscans worden uitgevoerd om nieuwe apparaten te vinden die op het netwerk zijn aangesloten. Alles wat onverklaarbaar is, moet worden geïdentificeerd en onderzocht.
Bezoekers mogen nooit onbeheerd worden achtergelaten en hun inloggegevens moeten worden gecontroleerd wanneer ze ter plaatse aankomen.