Vi har i ett tidigare blogginlägg redogjort för olika sätt som hackern använder för att lura av dig information. Nu ska vi fördjupa oss i varför: mål och medel för social engineering.
Mål
Målen med en social engineering-attack kan kokas ner till fem olika huvudkategorier: rekognosering, stöld av inloggningsuppgifter, identitetsstöld, monetär stöld och påverkanskampanjer.
Rekognosering
En attack mot en organisation inleds nästan alltid med rekognosering för att undersöka dess så kallade attackyta i jakten på eventuella svaga punkter. Rekognoseringen kan till exempel bestå av research på sociala medier eller andra platser på nätet. Lyckas angriparen få tag i inloggningsuppgifter, blir den fortsatta rekognoseringen så mycket enklare.
Med hjälp av de tekniker som beskrivits tidigare kan angriparen skaffa sig tillgång till organisationen, ofta fysisk tillgång till dess lokaler, för mer ingående informationsinhämtning.
Stöld av inloggningsuppgifter
Ofta handlar attacken om att samla in viktig information som till exempel uppgifter som behövs för identifiering och autentisering av personal vid organisationen. Det kan till exempel handla om inloggningsuppgifter till olika system.
Att samla in den här typen av uppgifter är mycket vanligt i social engineering-attacker, och det kan göras med hjälp av en mängd olika tekniker. Ibland är stölden av inloggningsuppgifter ett mål i sig, i bland är det ett medel vid rekognosering (se ovan).
Id-kapning
Identitetsintrång är när någon använder exempelvis en annan persons namn, adress, personnummer, kreditkortsnummer och andra personuppgifter för egen vinning. Id-kapning handlar om att skaffa sig tillgång till personuppgifter i syfte att ägna sig åt identitetsintrång. Detta är en mycket vanlig typ av bedrägeri.
Exempel på metoder kan vara skimningsutrustning på en bankomat eller bensinautomat, e-post som ser ut att komma från din bank och lurar dig till bedragarnas webbplats eller ett bedrägeri-sms.
Id-kapning skiljer sig något från stöld av inloggningsuppgifter när det gäller såväl mål som medel. Vid id-kapning stjäl man uppgifterna för att låtsas vara en person – vid stöld av inloggningsuppgifter handlar det snarare om att skaffa sig tillgång till organisationens resurser i största allmänhet.
Monetär stöld
Ytterligare ett mål med social engineering-attacker handlar inte om stöld av hemligheter eller intellektuell egendom – utan helt enkelt om reda pengar.
Ett exempel på detta är fakturabedrägerier, där bedragaren skickar bluffakturor som ser ut som den vanliga leverantörens fakturor, men där pengarna i stället går till bedragaren. På Medarbetarwebben kan du också läsa om så kallade vd-bedrägerier och om hur du bör agera om du misstänker att ett sådant är aktuellt.
Påverkanskampanjer
Sociala medier och ett allt populärare internet har tagit påverkanskampanjerna till en helt ny nivå. Propaganda och desinformation kan nu spridas effektivare än vad som någonsin varit möjligt via tidningar eller andra mer traditionella kanaler.
Nationer (“state actors”) kan använda påverkanskampanjer som en del av hybridkrigföring. Påverkanskampanjer är beroende av informationen, och angripare kan använda social engineering för att samla in den här informationen.
Medel
De flesta riktade nätverksintrång påbörjas med en social engineering-attack eftersom de är mycket effektiva. Men vad är det som gör att de fungerar så bra? Bland annat handlar det om att människor är sociala djur som tycker om att vara en del av en grupp och arbeta tillsammans.
Några av de principer som ligger bakom social engineering-attacker – och som ibland överlappar – är auktoritet, skrämsel, konsensus, brist, brådska, bekantskap och förtroende.
Auktoritet
Här handlar det om kombinationen av respekt och fruktan, för en person som har makt över oss, till exempel makt att ge oss sparken eller löneförhöjning. Vi gör ofta vad vi kan för att utföra en uppgift vi fått, oavsett vad vi egentligen tycker om den. Därför är det effektivt för angriparen att imitera en auktoritet för att ge oss känslan av att vi är tvungna att göra det vi blir tillsagda.
Skrämsel
Här handlar fruktan inte om att personen har makt över en, utan det kan till exempel vara någon som är otrevlig och ryar och lever om och kräver “sin rätt” för att inte gå vidare och klaga hos chefen. Reaktionen kan bli att man försöker att så snabbt som möjligt tillmötesgå önskemålen för att slippa den otrevliga personen. Ett exempel skulle kunna vara en angripare som ringer servicedesk och utger sig för att vara medarbetare eller student, och skriker och bråkar och kräver en lösenordsåterställning.
Konsensus
En lite smidigare angripare hoppar kanske över skrämseln och försöker i stället vara trevlig, förstå måltavlans behov och jobba utifrån det. Kanske finns det en gemensam bakgrund eller hobby? Det går kanske att påstå att något är “självklart” eller att “alla andra gör så”. Här kan det krävas lite förarbete från angriparen för att till exempel kunna nämna avdelningar eller personer som är bekanta för måltavlan, för att bygga förtroende.
Brist
Här handlar det om att erbjuda offret något som hen saknar och väldigt gärna vill ha – och som det annars kan vara svårt att få tag på. Det kan handla om allt från fotbollsbiljetter till en befordran. Man kan tänka på det som ett tack för en tjänst och en del av ett relationsbyggande.
Brådska
“Skynda fynda!” kan det heta inom reklam – erbjudandet gäller bara några timmar till, bäst att passa på! Så kan det också fungera i social engineering-attacker, där brådskan dels ska göra att angriparen får loss uppgifterna snabbare, dels ska ge mindre utrymme för eftertanke. Någon timmes betänketid hade annars kanske väckt frågor om huruvida angriparen verkligen är behörig att begära uppgifterna eller om inte chefen i nöd ändå vill att de säkerhetsriktlinjer hen själv fattat beslut om ska följas.
Bekantskap
Angriparen lär känna måltavlan för att bättre påverka hen att lämna ifrån sig information eller utföra uppdrag – helt enkelt därför att människor tycker om att vara omtyckta, och reagerar positivt om någon tycker om dem eller tar sig tid att lära känna dem. Efter en tids bekantskap kanske måltavlan öppnar dörren till den hemliga anläggningen eller det skyddade serverrummet.
Förtroende
Tillit eller förtroende är också en viktig ingrediens i social engineering-attacker. Mål och andra omständigheter avgör hur mycket förtroende som krävs. Handlar det om information eller andra uppdrag som kräver en hög grad av förtroende så kan det här arbetet pågå i veckor eller månader. Ofta ingår också andra medel som nämnts ovan i arbetet med att bygga förtroende.