I en stadigt mere online verden, hvor tillid både er en valuta og en sårbarhed, søger trusselsaktører at manipulere menneskelig adfærd og udnytte personers tendens til at ønske at hjælpe. I denne infografik udforsker vi social engineering, herunder hvorfor trusselsaktører tilskriver professionelle identiteter højere værdi end alle andre, mens vi fører dig gennem nogle af de måder, hvorpå de manipulerer den menneskelige natur for at nå deres mål.
Lever af tillidsøkonomien: social engineering-svindel
Social engineering og phishings kriminelle lokkemetoder
Omtrent 901 procent af phishingangreb involverer social engineering-taktikker, der er designet til at manipulere ofre – typisk via mail – til at afsløre følsomme oplysninger, klikke på skadelige links eller åbne skadelige filer. Phishingangreb er omkostningseffektive for personer med ondsindede hensigter og kan tilpasses med henblik på at undgå forebyggelsesforanstaltninger, og de har høje succesrater.
Håndtagene til menneskelig adfærd
Social engineering-teknikker afhænger normalt af, at personen med ondsindede hensigter bruger tillid og overtalelse til at overbevise sine mål om at udføre handlinger, de normalt ikke ville udføre. Tre effektive håndtag er uopsættelighed, følelse og vane.2 Uopsættelighed Ingen ønsker at gå glip af en tidsfølsom mulighed eller at misse en vigtig deadline. Følelsen af uopsættelighed kan ofte få ellers rationelle mål til at overdrage personlige oplysninger.
Eksempel: Falsk uopsættelighed
"Det primære kendetegn på en phishingmail er tilknytningen af en type tidsramme. De ønsker at presse dig til at tage en beslutning hurtigere end normalt".
Jack Mott – Microsoft Threat Intelligence
Følelse
Følelsesmanipulation kan giver cyberangribere en fordel, eftersom mennesker er mere tilbøjelige til at udføre risikoprægede handlinger, når de er i følelsernes vold, særligt hvis frygt, skyldfølelse eller vrede er involveret.
Eksempel: Følelsesmæssig manipulation
"Det mest effektive lokkemiddel, jeg har set, var en meget kort mail, hvor der stod, at vi er blevet kontaktet af din ægtefælle om at forberede dine skilsmissepapirer. Klik på linket nedenfor for at downloade din kopi".
Sherrod DeGrippo – Microsoft Threat Intelligence
Vane
Kriminelle observerer adfærd nøje, og de er særligt opmærksomme på de typer vaner og rutiner, som folk udfører "på autopilot" uden for meget eftertanke.
Eksempel: Almindelig vane
"Trusselsaktører tilpasser sig forretningsrytmerne. De er gode til at udrulle lokkemidler, der giver mening i den sammenhæng, vi normalt modtager dem i".
Jack Mott – Microsoft Threat Intelligence
Grænsen mellem en medarbejders personlige og professionelle person kan nogle gange mødes. En medarbejder kan bruge sin arbejdsmail til personlige konti, vedkommende bruger til arbejde. Trusselsaktører udnytter nogle gange det ved at tage kontakt, hvor de ser ud som om at være et af disse programmer – med henblik på at få adgang til en medarbejders virksomhedsoplysninger.
"I mailphishingsvindel tjekker cyberkriminelle deres lokkemidler" for virksomhedsmailadresser. Personlige mailadresser er ikke deres tid værd. Arbejdsadresser er mere værdifulde, så de bruger flere ressourcer og fokuserer med hænderne på tastaturet for at tilpasse angreb mod disse konti".
Jack Mott – Microsoft Threat Intelligence
Det "lange svindelnummer"
Social engineering-angreb er generelt ikke hurtige. Social engineering-teknikere har en tendens til at opbygge tillid hos deres ofre over tid ved hjælp af teknikker, der kræver megen arbejdskraft og begynder med research. Cyklussen for denne type manipulation kan følge dette mønster:
- Undersøgelse: Teknikere identificerer et mål og indhenter baggrundsoplysninger, f.eks. indgangspunkter eller sikkerhedsprotokoller.
- Infiltration: Teknikerne fokuserer på at skabe tillid hos målet. De opdigter en historie, fanger målet og tager kontrol over interaktionen for at styre den på en måde, der er til teknikerens fordel.
- Udnyttelse: Social engineering-teknikere indhenter målets oplysninger over tid. Normalt overdrager målet disse oplysninger villigt, og teknikere kan bruge dette til deres fordel til at få adgang til endnu flere fortrolige oplysninger.
- Afbrydelse af kommunikationen: En social engineering-tekniker vil bringe interaktionen til et naturligt ophør. En dygtig tekniker vil gøre dette, uden at målet i det hele tager føler mistanke
BEC-angreb skiller sig ud i den cyberkriminelle branche for deres store brug af social engineering og vildledningens kunst. Vellykkede BEC-angreb koster organisationer hundredvis af millioner af dollars hvert år. I 2022 justerede FBI's (Federal Bureau of Investigation) Internet Crime Complaint Center tab på mere end 2,7 milliarder USD for 21.832 indgivne BEC-klager.4
De mest udbredte mål for BEC er direktører og andre seniorledere, finansledere, HR-personale med adgang til medarbejderoptegnelser, f.eks. personidentifikation (US), skatteoplysninger eller andre personidentificerbare oplysninger. Nye medarbejdere, som muligvis er mindre tilbøjelige til at bekræfte ikke-velkendte mailanmodninger, målrettes også.
Næsten alle former for BEC-angreb bliver mere udbredte. Almindelige typer BEC-angreb inkluderer:5
- Direkte mailkompromittering (DEC): Kompromitterede mailkonti bruges til at foretage social engineering af interne eller tredjeparts regnskabsførelsesroller for at overføre midler til angriberens bankkonto eller ændre betalingsoplysninger for en eksisterende konto.
- Leverandørmailkompromittering (VEC): Social engineering af en eksisterende leverandørrelation ved at overtage en betalingsrelateret mail og udgive sig for at være virksomhedens medarbejdere for at overbevise en leverandør om at omdirigere en udestående betaling til en illegitim bankkonto.
- Svindel med falsk faktura: Et massesvindelnummer med social engineering, der udnytter velkendte virksomheders brands til at overbevise virksomheder om at betale falske fakturaer.
- Efterligning af advokat: Udnyttelsen af betroede relationer med store og velkendte advokatfirmaer for at øge troværdigheden hos små virksomheder og startups med henblik på at fuldføre betaling af udestående fakturaer, særligt forud for betydelige begivenheder, f.eks. børsnoteringer. Omdirigering af betaling til en illegitim bankkonto finder sted, når der er opnået en aftale om betalingsbetingelser.
Octo Tempest
Octo Tempest er en økonomisk motiveret samling af trusselsaktører med engelsk som modersmål, der er kendt for at lancere kampagner med stor rækkevidde, der særligt indeholder fjende-i-midten-teknikker (AiTM), social engineering og SIM-udskiftelseskapaciteter.
Octo Tempest er en økonomisk motiveret samling af trusselsaktører med engelsk som modersmål, der er kendt for at lancere kampagner med stor rækkevidde, der særligt indeholder fjende-i-midten-teknikker (AiTM), social engineering og SIM-udskiftelseskapaciteter.
Diamond Sleet
I august 2023 udførte Diamond Sleet en kompromittering af en softwareforsyningskæde tilhørende den tyske softwareudbyder, JetBrains, som kompromitterede servere til processer til softwareudvikling, -test og -udrulning. Eftersom Diamond Sleet tidligere er lykkedes med at infiltrere udviklingsmiljøer, vurderer Microsoft, at denne aktivitet udgør en særlig høj risiko for de påvirkede organisationer.
I august 2023 udførte Diamond Sleet en kompromittering af en softwareforsyningskæde tilhørende den tyske softwareudbyder, JetBrains, som kompromitterede servere til processer til softwareudvikling, -test og -udrulning. Eftersom Diamond Sleet tidligere er lykkedes med at infiltrere udviklingsmiljøer, vurderer Microsoft, at denne aktivitet udgør en særlig høj risiko for de påvirkede organisationer.
Sangria Tempest6
Sangria Tempest, også kendt som FIN, er kendt for at målrette mod restaurationsbranchen, hvor de stjæler betalingskortdata. Et af deres mest effektive lokkemidler involverer en trussel om madforgiftning, hvorom detaljerne kan ses ved at åbne en skadelig vedhæftet fil.
Sangria Tempest, også kendt som FIN, er kendt for at målrette mod restaurationsbranchen, hvor de stjæler betalingskortdata. Et af deres mest effektive lokkemidler involverer en trussel om madforgiftning, hvorom detaljerne kan ses ved at åbne en skadelig vedhæftet fil.
Sangria Tempest, som primært er østeuropæisk, har brugt undergrundsfora til at rekruttere personer med engelsk som modersmål, som er oplært i, hvordan man kontakter forretninger ved levering af mail-lokkemidlet. Denne gruppe har stjålet mange millioner betalingskortoplysninger via den proces.
Midnight Blizzard
Midnight Blizzard er en russiskbaseret trusselsaktør, som er kendt for primært at rette sig mod myndigheder, diplomatiske enheder, NGO'er og it-tjenesteudbydere, primært i USA og Europa.
Midnight Blizzard er en russiskbaseret trusselsaktør, som er kendt for primært at rette sig mod myndigheder, diplomatiske enheder, NGO'er og it-tjenesteudbydere, primært i USA og Europa.
Midnight Blizzard gør brug af Teams-meddelelser for at sende lokkemidler, der forsøger at stjæle legitimationsoplysninger fra en organisation, de målretter mod, ved at engagere en bruger og få godkendelse af prompter til multifaktorgodkendelse (MFA).
Vidste du det?
Microsofts strategi for navngivelse af trusselsaktører er ændret til en ny taksonomi for trusselsaktører, som henter inspiration fra vejrrelaterede temaer.
Microsofts strategi for navngivelse af trusselsaktører er ændret til en ny taksonomi for trusselsaktører, som henter inspiration fra vejrrelaterede temaer.
Selvom social engineering-angreb kan være sofistikerede, er der ting, du kan gøre for at forebygge dem.7 Hvis du tænker dig om med hensyn til din beskyttelse af personlige oplysninger og sikkerhed, kan du slå personer med ondsindede hensigter på deres egen hjemmebane.
Instruer først brugerne til at holde deres personlige konti personlige og ikke blande dem med arbejdsmail eller arbejdsrelaterede opgaver.
Sørg også for at håndhæve brug af multifaktorgodkendelse. Social engineering-teknikere søger typisk efter oplysninger såsom logonoplysninger. Når du aktiverer multifaktorgodkendelse, kan selv en person med ondsindede hensigter, som har fået dit brugernavn og adgangskode, stadig ikke få adgang til dine konti og personlige oplysninger.8
Åbn ikke mails eller vedhæftede filer fra mistænkelige kilder. Hvis en ven sender dig et link, som du skal klikke på hurtigt, skal du bekræfte med din ven, om beskeden virkelig var fra vedkommende. Stop op, og spørg dig selv, om afsenderen er den, vedkommende påstår, før du klikker på noget.
Stop op, og bekræft
Vær forsigtig med tilbud, der er for gode til at være sande. Du kan ikke vinde et lotteri, du ikke har deltaget i, og ingen fremmed kongelig person vil efterlade en stor sum penge til dig. Hvis det ser for fristende ud, så foretag en hurtig søgning for at afgøre, om tilbuddet er legitimt, eller om det er en fælde.
Del ikke for meget online. Social engineering-teknikere har brug for, at deres mål stoler på dem, for at deres svindelnumre kan virke. Hvis de finder dine personlige oplysninger på dine profiler på sociale medier, kan de bruge dem til at få deres svindelnumre til at se mere legitime ud.
Beskyt dine computere og enheder. Brug antivirusprogrammer, firewalls og mailfiltre. I tilfælde af, at en trussel når din enhed, skal du have beskyttelse på plads for at hjælpe med at holde dine oplysninger beskyttede.
"Når du får et mistænkelig telefonopkald eller en mistænkelig mail, er nøglen at sætte farten ned og bekræfte. Personer begår fejl, når de handler for hurtigt, så det er vigtigt at minde medarbejderne om, at de ikke skal reagere med det samme i sådanne situationer".
Jack Mott – Microsoft Threat Intelligence
Få mere at vide om, hvordan du kan hjælpe med at beskytte din organisation, ved at se: Risikoen ved tillid: Social engineering-trusler og cyberforsvar.
- [2]
Indholdet i denne sektion er hentet fra https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, omkring 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Bemærk: Indholdet kommer fra https://go.microsoft.com/fwlink/?linkid=2263229