Social engineering-definitie
Social engineering is de kunst van het uitbuiten van menselijke psychologie, in plaats van technische hacktechnieken, om toegang te krijgen tot gebouwen , systemen of gegevens.
In plaats van te proberen een softwarekwetsbaarheid te vinden, kan een social engineer bijvoorbeeld een medewerker bellen en zich voordoen als een IT-ondersteuningsmedewerker, in een poging de medewerker te misleiden zodat hij zijn wachtwoord prijsgeeft.
De beroemde hacker Kevin Mitnick hielp de term “social engineering” populair te maken in de jaren 90, hoewel het idee en veel van de technieken al bestaan zolang er oplichters zijn.
Zelfs als je “alle toeters en bellen hebt als het gaat om het beveiligen van je datacenter, je cloudimplementaties, de fysieke beveiliging van je gebouw en je hebt geïnvesteerd in defensieve technologieën, heb je het recht beveiligingsbeleid en -processen en meet hun doeltreffendheid en worden voortdurend verbeterd e, nog steeds kan een slimme sociaal ingenieur zich een weg banen door (of rond).
Social engineering technieken
Social engineering is een zeer succesvolle manier gebleken voor een crimineel om “binnen” uw organisatie te komen. Zodra een social engineer het wachtwoord van een vertrouwde werknemer heeft, kan hij eenvoudig inloggen en rondneuzen op gevoelige gegevens. Met een toegangskaart of code om fysiek een faciliteit binnen te komen, kan de crimineel toegang krijgen tot gegevens, activa stelen of zelfs schade toebrengen mensen.
In het artikel Anatomy of a Hack laat een penetratietester zien hoe hij actuele gebeurtenissen gebruikte, openbare informatie beschikbaar op sociale netwerksites en een Cisco-shirt van $ 4 dat hij kocht bij een kringloopwinkel om zich voor te bereiden op zijn illegale binnenkomst. Het shirt hielp hem de receptie en andere medewerkers ervan te overtuigen dat hij een Cisco-medewerker was tijdens een technisch ondersteuningsbezoek. Eenmaal binnen kon hij zijn andere teamleden ook illegale toegang geven. Hij slaagde er ook in verschillende met malware beladen USB-sticks te laten vallen en het netwerk van het bedrijf te hacken, allemaal in het zicht van andere werknemers.
U hoeft echter niet naar kringloopwinkels te gaan om een social engineering-aanval uit te voeren. Ze werken net zo goed via e-mail, de telefoon of sociale media. Wat alle aanvallen hebben gemeenschappelijk is dat ze de menselijke natuur in hun voordeel gebruiken, prooi op onze hebzucht, angst, nieuwsgierigheid en zelfs ons verlangen om anderen te helpen.
Voorbeelden van social engineering
Criminelen zullen vaak weken en maanden een plek leren kennen voordat ze zelfs maar binnenkomen of een telefoontje plegen. Hun voorbereiding kan bestaan uit het vinden van een bedrijfstelefoonlijst of een organigram en het onderzoeken van werknemers op sociale netwerksites zoals LinkedIn of Facebook.
1. Aan de telefoon
Een sociaal ingenieur kan bellen en zich voordoen als een collega of een vertrouwde externe autoriteit (zoals wetshandhaving of een auditor).
2. Op kantoor
“Kun je de deur voor me openhouden? Ik heb mijn sleutel / toegangskaart niet bij me. Hoe vaak heeft u dat in uw gebouw gehoord? Hoewel de persoon die het vraagt misschien niet verdacht lijkt, is dit een veel voorkomende tactiek die wordt gebruikt door sociale ingenieurs.
3. Online
Sociale netwerksites hebben social engineering-aanvallen gemakkelijker gemaakt. De aanvallers van tegenwoordig kunnen naar sites als LinkedIn gaan en alle gebruikers vinden die bij een bedrijf werken en veel gedetailleerde informatie verzamelen die kan worden gebruikt om een aanval te bevorderen.
Sociale ingenieurs profiteren ook van het breken nieuwsgebeurtenissen, vakanties, popcultuur en andere apparaten om slachtoffers te lokken. In Woman verliest $ 1.825 aan zwendel met mystery shopping die zich voordeed als BestMark, Inc. zie je hoe criminelen de naam van een bekend mystery shopping-bedrijf gebruikten om hun zwendel uit te voeren. Oplichters gebruiken vaak valse liefdadigheidsinstellingen om hun criminele doelen rond de feestdagen te bevorderen.
Aanvallers zullen phishingaanvallen ook aanpassen aan bekende interesses (bijv. favoriete artiesten, acteurs, muziek, politiek, filantropieën) die kunnen worden gebruikt om gebruikers te verleiden klik op bijlagen met malware.
Beroemde social engineering-aanvallen
Een goede manier om een idee te krijgen van welke social engineering-tactieken je in de gaten moet houden, is om te weten wat er in het verleden is gebruikt. We hebben alle details verzameld in een uitgebreid artikel over het onderwerp, maar laten we ons voorlopig concentreren op drie social engineering-technieken – onafhankelijk van technologische platforms – die in grote mate succesvol zijn geweest voor oplichters.
Bied iets zoets aan. Zoals elke oplichter je zal vertellen, is de gemakkelijkste manier om een merk op te lichten, het exploiteren van hun eigen hebzucht. Dit is de basis van de klassieke Nigeriaanse 419-zwendel, waarin de oplichter het slachtoffer probeert te overtuigen om zogenaamd onrechtmatig verkregen geld uit hun eigen land naar een veilige bank te krijgen en in ruil daarvoor een deel van het geld aan te bieden.Deze e-mails van de Nigeriaanse prins zijn al decennia lang een doorlopend grapje, maar ze zijn nog steeds een effectieve social engineering-techniek waar mensen voor vallen: in 2007 gaf de penningmeester van een dunbevolkte provincie in Michigan 1,2 miljoen dollar aan overheidsgeld aan zon oplichter in de hoop persoonlijk te verzilveren. Een ander veelvoorkomend lokmiddel is het vooruitzicht van een nieuwe, betere baan, wat blijkbaar iets is dat veel te veel van ons willen: tijdens een enorm beschamende inbreuk in 2011 werd het beveiligingsbedrijf RSA gecompromitteerd toen ten minste twee level-medewerkers openden een malwarebestand als bijlage bij een phishing-e-mail met de bestandsnaam 2011 recruitment plan.xls.
Doe alsof je het haalt. Een van de eenvoudigste – en verrassend meest succesvolle – social engineering-technieken is gewoon doen alsof je je slachtoffer bent. In een van Kevin Mitnicks legendarische vroege zwendel kreeg hij toegang tot de OS-ontwikkelingsservers van Digital Equipment Corporation door simpelweg het bedrijf te bellen, te beweren een van hun hoofdontwikkelaars te zijn, en te zeggen hij had problemen met inloggen; hij werd onmiddellijk beloond met een nieuwe login en paswoord. Dit gebeurde allemaal in 1979 en je zou denken dat de dingen sindsdien verbeterd zouden zijn, maar je zou het mis hebben: in 2016 kreeg een hacker controle over een e-mailadres van het Amerikaanse ministerie van Justitie en gebruikte het om zich voor te doen als een werknemer een helpdesk om een toegangstoken voor het DoJ-intranet te overhandigen door te zeggen dat het zijn eerste week op het werk was en dat hij “niet wist hoe iets werkte.
Veel organisaties hebben barrières die bedoeld zijn om dit soort te voorkomen van brutale nabootsingen, maar ze kunnen vaak redelijk gemakkelijk worden omzeild. Toen Hewlett-Packard in 2005 privédetectives inhuurde om erachter te komen welke HP-bestuursleden informatie naar de pers lekten, waren ze in staat om de PIs de laatste vier cijfers van hun doelwit sofinummer te verstrekken – dat AT & De technische ondersteuning van T wordt geaccepteerd als identiteitsbewijs voordat gedetailleerde oproeplogboeken worden overhandigd.
Gedraag je alsof je de leiding hebt. De meesten van ons zijn voorbereid om autoriteit te respecteren – of, zoals blijkt, om mensen te respecteren die doen alsof ze de autoriteit hebben om te doen wat ze doen. U kunt verschillende niveaus van kennis van de interne processen van een bedrijf benutten om mensen ervan te overtuigen dat u het recht hebt om ergens te zijn of dingen te zien die u niet zou moeten zien, of dat een communicatie die van u komt, echt afkomstig is van iemand die zij respecteren. In 2015 hebben financiële medewerkers bij Ubiquiti Networks bijvoorbeeld miljoenen dollars aan bedrijfsgeld overgemaakt naar oplichters die zich voordoen als bedrijfsleiders, waarschijnlijk met behulp van een lookalike URL in hun e-mailadres. Aan de lagere technische kant vonden onderzoekers die eind jaren 00 en begin jaren 10 voor Britse tabloids werkten vaak manieren om toegang te krijgen tot de voicemailaccounts van slachtoffers door te doen alsof ze andere werknemers van het telefoonbedrijf waren door gewoon te bluffen; bijvoorbeeld een PI overtuigde Vodafone ervan de voicemail-pincode van actrice Sienna Miller opnieuw in te stellen door te bellen en te beweren “John van kredietcontrole” te zijn.
Soms zijn het de externe autoriteiten wiens eisen we vervullen zonder er veel over na te denken. Hillary Clinton campagne honcho John Podesta had zijn e-mail gehackt door Russische spionnen in 2016 toen ze hem een phishing-e-mail stuurden, vermomd als een bericht van Google waarin hij hem vroeg zijn wachtwoord opnieuw in te stellen. Door actie te ondernemen waarvan hij dacht dat hij zijn account zou beveiligen, gaf hij zijn inloggegevens daadwerkelijk op weg.
Preventie van social engineering
Training op het gebied van veiligheidsbewustzijn is de belangrijkste manier om social engineering te voorkomen. Werknemers moeten zich ervan bewust zijn dat social engineering bestaat en bekend zijn met de meest co mmalleen gebruikte tactieken.
Gelukkig leent het bewustzijn van social engineering zich uitstekend voor het vertellen van verhalen. En verhalen zijn veel gemakkelijker te begrijpen en veel interessanter dan verklaringen van technische gebreken. Quizzen en opvallende of humoristische posters zijn ook effectieve herinneringen om niet aan te nemen dat iedereen is wie ze zeggen te zijn.
Maar het is niet alleen de gemiddelde werknemer die bewust van social engineering. Senior leiderschap en leidinggevenden zijn primaire bedrijfsdoelen.
5 tips om zich te verdedigen tegen social engineering
CSO-medewerker Dan Lohrmann geeft het volgende advies:
1. Train en train opnieuw als het gaat om beveiligingsbewustzijn.
Zorg ervoor dat u een uitgebreid trainingsprogramma voor beveiligingsbewustzijn heeft dat regelmatig wordt bijgewerkt om zowel de algemene phishing-bedreigingen als de nieuwe gerichte cyberbedreigingen aan te pakken. Onthoud dat dit niet alleen over het klikken op links.
2. Geef een gedetailleerde briefing “roadshow” over de nieuwste online fraudetechnieken aan belangrijk personeel.
Ja, ook senior executives, maar vergeet niet iedereen die bevoegd is om overboekingen of andere financiële transacties uit te voeren.Onthoud dat veel van de waargebeurde verhalen over fraude zich voordoen bij personeel op een lager niveau dat voor de gek wordt gehouden door te geloven dat een leidinggevende hen vraagt om een dringende actie te ondernemen – waarbij de normale procedures en / of controles meestal worden omzeild.
3. Bekijk bestaande processen, procedures en scheiding van taken voor financiële overdrachten en andere belangrijke transacties.
Voeg indien nodig extra controles toe. Onthoud dat scheiding van taken en andere beveiligingen op een bepaald moment kunnen worden aangetast door bedreigingen van binnenuit, dus risicobeoordelingen moeten mogelijk opnieuw worden geanalyseerd gezien de toegenomen bedreigingen.
4. Overweeg nieuw beleid met betrekking tot transacties die buiten de band vallen of dringende verzoeken van leidinggevenden.
Een e-mail van het Gmail-account van de CEO zou automatisch een rode vlag naar het personeel moeten werpen, maar ze moeten de nieuwste technieken begrijpen die door de duistere kant worden ingezet. U hebt geautoriseerde noodprocedures nodig die door iedereen goed worden begrepen.
5. Beoordeel, verfijn en test uw incidentbeheer- en phishingrapportagesystemen.
Voer een tafelbladoefening uit met het management en met belangrijk personeel op een regelmatige basis. Test controles en reverse-engineering van potentiële kwetsbaarheden.
Social engineering toolkit
Een aantal leveranciers biedt tools of services om social engineering oefeningen uit te voeren, en / of om de bewustwording van de medewerkers vergroten door middel van posters en nieuwsbrieven.
Ook de moeite waard om te bekijken is de Social Engineering Toolkit van social-engineer.org, die gratis te downloaden is. De toolkit helpt bij het automatiseren van penetratietesten via social engineering, inclusief spear phishing-aanvallen, het maken van legitiem ogende websites, aanvallen op USB-drives en meer.
Een andere goede bron is The Social Engineering Framework.