1. ComputereComputer NetworkingNetwork SecurityTypes of Social Engineering Attacks

Af Joseph Steinberg

Tro det eller ej, mange moderne cyberattacks udføres ikke med futuristisk teknologi og ultra-avancerede hackingfærdigheder. Ofte bruger cyberattacks stadig god 'og gammeldags social engineering. Følgende information beskriver de forskellige typer social engineering angreb.

Phishing-angreb er en af ​​de mest almindelige former for social engineering-angreb. Følgende billede viser dig et eksempel på en phishing-e-mail.

phishing-angreb

Phishing-angreb bruger undertiden en teknik, der kaldes påskud, hvor den kriminelle, der sender phishing-e-mailen, fremstiller en situation, der både får tillid fra mål såvel som understreger det formodede behov for de tilsigtede ofre til at handle hurtigt.

I den viste phishing-e-mail skal du bemærke, at afsenderen, der forpligter sig til Wells Fargo-banken, inkluderede et link til den rigtige Wells Fargo i e-mailen, men at det ikke lykkedes at skjule afsendelsesadressen korrekt.

Almindelige former for social engineering-angreb inkluderer spyd phishing-e-mails, smishing, spear smishing, vishing, spear vishing og CEO-svig.

Phishing

Phishing refererer til et forsøg på at overbevise en person om at tage noget ved at udgive sig til en pålidelig part, der med rimelighed legitimt kan bede brugeren om at tage sådanne handlinger.

For eksempel kan en kriminel sende en e-mail, der ser ud til at være blevet sendt af en større bank, og som beder modtageren om at klikke på et link for at nulstille hans eller hendes adgangskode på grund af en mulig dataovertrædelse. Når brugeren klikker på linket, ledes han eller hun til et websted, der ser ud til at tilhøre banken, men faktisk er en kopi, der drives af forbryderen.

Som sådan bruger den kriminelle det falske websted til at indsamle brugernavne og adgangskoder til banksiden.

Spyd phishing

Spyd phishing refererer til phishing-angreb, der er designet og sendt til at målrette mod en bestemt person, virksomhed eller organisation. Hvis en kriminel søger at få legitimationsoplysninger til et specifikt virksomheds e-postsystem, for eksempel kan han eller hun sende e-mails, der er udformet specifikt til bestemte målrettede personer i organisationen.

Ofte forsker kriminelle, der spyder phish, deres mål online og udnytter overshared information på sociale medier for at skabe særligt legitime klingende e-mails.

For eksempel er følgende type e-mail typisk meget mere overbevisende end "Venligst log ind på mailserveren og nulstil din adgangskode.":

”Hej, jeg skal på flyet om ti minutter. Kan du venligst logge ind på Exchange-serveren og kontrollere, hvornår mit møde er? Af en eller anden grund kan jeg ikke komme ind. Du kan prøve at ringe til mig først telefonisk af sikkerhedsmæssige årsager, men hvis du savner mig, skal du bare gå videre, kontrollere oplysningerne og e-maile dem til mig - da du ved, at jeg får på en flyvning, der er ved at starte. ”

CEO-svig

CEO-svindel er et socialteknisk angreb, der ligner spydfiskeri, idet det involverer en kriminel, der forpligter sig til administrerende direktør eller anden ledende direktør i en bestemt virksomhed, men instruktionerne fra “CEO” kan være at tage en handling direkte og ikke at log ind på et system, og målet er måske ikke at fange brugernavne og adgangskoder eller lignende.

Crook, for eksempel, kan sende en e-mail til firmaets finansdirektør, der instruerer hende eller ham om at udstede en trådbetaling til en bestemt ny leverandør eller at sende alle organisationernes W2-formularer for året til en bestemt e-mail-adresse, der tilhører firmaets regnskabsfører .

CEO-svig netto ofte betydelige afkast for kriminelle og får medarbejdere, der falder for svindel synes inhabil. Som et resultat fyres folk, der falder efter sådan svindel, ofte fra deres job.

social ingeniør e-mail

Smishing

Smishing refererer til tilfælde af phishing, hvor angribere leverer deres beskeder via tekstbeskeder (SMS) snarere end e-mail. Målet kan være at fange brugernavne og adgangskoder eller at narre brugeren til at installere malware.

vishing

Vishing, eller stemmebaseret phishing, phishing via POTS - der står for "almindelig gammel telefontjeneste." Ja, kriminelle bruger gamle, tidstestede metoder til at svindle folk. I dag transmitteres de fleste sådanne opkald af Voice Over IP-systemer, men til sidst ringer svindlerne folk på almindelige telefoner på samme måde som svindlere har gjort i årtier.

hvalfangst

Hvalfangst henviser til spyd phishing, der er målrettet højt profilerede forretningsførere eller embedsmænd.

manipulation

Nogle gange ønsker angribere ikke at forstyrre en organisations normale aktiviteter, men søger i stedet at udvikle sig socialt ved at udnytte disse aktiviteter til økonomisk gevinst. Ofte opnår skurke sådanne mål ved at manipulere data i transit eller når de ligger på systemer med deres mål i en proces, der kaldes manipulation.

I et grundlæggende tilfælde af manipulation med data i transit, for eksempel, forestil dig, at en bruger af online bankvirksomhed har instrueret sin bank til at overføre penge til en bestemt konto, men på en eller anden måde afbrød en kriminel anmodningen og ændrede det relevante routing- og kontonummer til hans egen.

En kriminel kan også hacke sig ind i et system og manipulere oplysninger til lignende formål. Brug det foregående eksempel til at forestille dig, om en kriminel ændrede betalingsadressen, der er knyttet til en bestemt betalingsmodtager, så når afdelingen Kontoer, der betaler en online betaling. pengene sendes til den forkerte destination (ja, i det mindste er det forkert i betalerens øjne).

Andre socialtekniske angreb

Yderligere typer social engineering-angreb er også populære:

  • Agnslagning: En angriber sender en e-mail eller en chatbesked - eller endda fremsætter et socialt medieindlæg lover nogen en belønning i bytte for at tage nogle handlinger - for eksempel at fortælle et mål, at hvis hun gennemfører en undersøgelse, vil hun modtage en gratis vare. Nogle gange er sådanne løfter reelle, men ofte er de ikke det, og det er simpelthen måder at tilskynde nogen til at tage en bestemt handling, som hun ikke ville tage andet.
lokkemad social engineering

Undertiden søger sådanne svindlere betaling af et lille forsendelsesgebyr for præmien, nogle gange distribuerer de malware, og nogle gange indsamler de følsomme oplysninger. Der er endda malware, der agner.

Forveksle ikke agn med scambaiting. Sidstnævnte henviser til en form for årvågenhed, hvor folk foregiver at være godtroende, ville være ofre og spilder svindlernes tid og ressourcer gennem gentagne interaktioner samt (undertiden) indsamler intelligens om den svindler, der kan overføres til loven håndhævelse eller offentliggjort på Internettet for at advare andre om svindleren.

social engineering efterligning

Nogle mennesker overvejer scareware, der skræmmer brugerne til at tro, at de er nødt til at købe en bestemt sikkerhedssoftware for at være en form for virusspids. Andre gør det ikke, fordi scareware's "skræk" udføres af malware, der allerede er installeret, ikke af en hoaxmeddelelse, der foregiver, at malware allerede er installeret.

  • Tekniske fejl: Kriminelle kan let udnytte menneskers irritation over teknologiproblemer for at undergrave forskellige sikkerhedsteknologier.

For eksempel, hvis en kriminel, der forpligter sig til et websted, der normalt viser et sikkerhedsbillede i et bestemt område, placerer et "ødelagt billedsymbol" i det samme område på klonwebstedet, vil mange brugere ikke opleve fare, da de er vant til at se ødelagte- billedsymboler og knytte dem til tekniske fejl snarere end sikkerhedsrisici.

6 principper sociale ingeniører udnytter

Socialpsykolog, Robert Beno Cialdini, forklarer i sit arbejde fra 1984 udgivet af HarperCollins, Influence: The Psychology of Persuasion, seks vigtige, grundlæggende begreber, som folk, der søger at påvirke andre, ofte udnytter. Sociale ingeniører, der søger at narre folk, udnytter ofte de samme seks principper, så her er en hurtig oversigt over dem i forbindelse med informationssikkerhed.

Følgende liste hjælper dig med at forstå og internalisere de metoder, som sociale ingeniører sandsynligvis vil bruge til at prøve at få din tillid:

  • Socialt bevis: Folk har en tendens til at gøre ting, som de ser andre mennesker gøre. Gensidighed: Folk tror generelt generelt, at hvis nogen gjorde noget godt for dem, skylder de den person at gøre noget godt tilbage. Myndighed: Folk har en tendens til at adlyde autoritetstal, selv når de er uenige med myndighedstallene, og selv når de mener, at det, de bliver bedt om at gøre, er kritisk. Lignbarhed: Folk overtales generelt lettere af mennesker, som de kan lide, end af andre. Konsistens og engagement: Hvis folk forpligter sig til at nå et eller andet mål og internalisere det engagement, bliver det en del af deres selvbillede, og de vil sandsynligvis prøve Knaphed: Hvis folk synes, at en bestemt ressource er knap, uanset om den faktisk er knap, vil de have den, selvom de ikke har brug for den.

Det er vigtigt at uddanne slutbrugere til at genkende socialtekniske angreb for at hjælpe med at beskytte din organisation og sikre effektiv cybersikkerhedspraksis.