Vad är Social Engineering?

Inom datorsäkerhet uppstår många problem trots användarens bästa ansträngningar. Till exempel kan du bli drabbad av skadlig programvara från malvertising när som helst, det beror på otur egentligen. Det finns steg du kan vidta för att minimera risken, till exempel att använda en annonsblockerare. Men att bli träffad så här är inte användarens fel. Andra attacker fokuserar dock på att lura användaren att göra något. Dessa typer av attacker faller under den breda bannern för social ingenjörsattacker.

Social ingenjörskonst innebär att använda analys och förståelse av hur människor hanterar vissa situationer för att manipulera ett resultat. Social ingenjörskonst kan utföras mot stora grupper av människor. När det gäller datorsäkerhet används det dock vanligtvis mot individer, men potentiellt som en del av en stor kampanj.

Ett exempel på social ingenjörskonst mot en grupp människor kan vara försök att orsaka panik som en distraktion. Till exempel, en militär som utför en falsk flagg-operation, eller någon som skriker "eld" på en upptagen plats och sedan stjäl i kaoset. På någon nivå är enkel propaganda, hasardspel och reklam också social ingenjörsteknik.

Inom datorsäkerhet tenderar dock åtgärderna att vara mer individuella. Nätfiske försöker övertyga användare att klicka och länka och ange detaljer. Många bedrägerier försöker manipulera baserat på rädsla eller girighet. Sociala ingenjörsattacker inom datorsäkerhet kan till och med ge sig ut i den verkliga världen som att försöka få obehörig åtkomst till ett serverrum. Intressant nog, i en värld av cybersäkerhet är det här sista scenariot, och liknande det, vanligtvis vad som menas när man talar om sociala ingenjörsattacker.

Bredare social ingenjörskonst – online

Nätfiske är en klass av attacker som försöker sociala ingenjörer offret att ge detaljer till en angripare. Nätfiskeattacker levereras vanligtvis i ett externt system, till exempel via e-post, och har därför två distinkta sociala ingenjörspunkter. Först måste de övertyga offret om att meddelandet är legitimt och få dem att klicka på länken. Detta laddar sedan nätfiskesidan, där användaren kommer att bli ombedd att ange detaljer. Vanligtvis kommer detta att vara deras användarnamn och lösenord. Detta förlitar sig på att det första e-postmeddelandet och nätfiskesidan båda ser tillräckligt övertygande ut för att socialingenjörer ska kunna förmå användaren att lita på dem.

Många bedrägerier försöker social ingenjör sina offer att lämna över pengar. Den klassiska "Nigerian Prince"-bluffen lovar en stor utbetalning om offret kan betala en liten förskottsavgift. Naturligtvis, när offret väl betalar "avgiften" erhålls ingen utbetalning. Andra typer av bluffattacker fungerar enligt liknande principer. Övertyga offret att göra något, vanligtvis lämna över pengar eller installera skadlig programvara. Ransomware är till och med ett exempel på detta. Offret behöver lämna över pengar eller riskerar att förlora åtkomst till vilken data som än krypterats.

Personlig social ingenjörskonst

När social ingenjörskonst hänvisas till i en värld av cybersäkerhet, hänvisar det vanligtvis till handlingar i den verkliga världen. Det finns många exempel på scenarier. En av de mest grundläggande kallas tail-gating. Detta svävar tillräckligt nära någon att de håller öppen en åtkomstkontrollerad dörr för att släppa igenom dig. Bakluckan kan förbättras genom att skapa ett scenario där offret kan hjälpa dig. En metod är att umgås med rökarna ute på en rökrast och sedan gå in igen med gruppen. En annan metod är att ses bära något besvärligt. Denna teknik är ännu mer sannolikt att lyckas om det du bär på kan vara för andra. Till exempel, om du har en bricka med kaffemuggar för "ditt lag", finns det ett socialt tryck för någon att hålla dörren öppen för dig.

Mycket av personlig social ingenjörskonst bygger på att sätta upp ett scenario och sedan vara säker på det. Till exempel kan en social ingenjör posera som någon sorts byggnadsarbetare eller städare som i allmänhet kan förbises. Att utge sig för att vara en barmhärtig samarit och lämna in en "förlorad" USB-minne kan resultera i att en anställd kopplar in den. Avsikten skulle vara att se vem den tillhör, men det kan då infektera systemet med skadlig programvara.

Dessa typer av in-person social engineering attacker kan vara mycket framgångsrika, eftersom ingen verkligen förväntar sig att bli lurad på det sättet. De innebär dock en stor risk för angriparen som har en mycket reell chans att bli tagen på bar gärning.

Slutsats

Social ingenjörskonst är konceptet att manipulera människor för att uppnå ett mål. Ett sätt innebär att skapa en situation som ser riktigt ut för att lura offret att tro det. Du kan också skapa ett scenario där det finns ett socialt tryck eller en förväntan på offret att agera mot vanliga säkerhetsråd. Alla sociala ingenjörsattacker är dock beroende av att lura ett eller flera offer att utföra en handling som angriparen vill att de ska göra.