En av de mest utfordrende aspektene ved moderne sikkerhet handler ikke lenger bare om å beskytte datasystemer og nettverk mot tekniske angrep, men også om å være bevisst på den menneskelige faktoren.

Denne trusselen går under navnet "social engineering", en metode som utnytter psykologiske mekanismer for å manipulere enkeltpersoner til å avsløre sensitiv informasjon, utføre uønskede handlinger eller gi uautorisert tilgang til systemer.

Mennesker er nesten alltid det svakeste leddet. Det trengs bare at én person gjør en liten feil for at det skal gå ut over resten av nettverket eller virksomheten. Det hjelper ikke å bruke mye ressurser på å sikre det tekniske hvis folk på innsiden ikke er opplært. Bevissthet er nøkkelordet.

Bakgrunnshistorie for denne ukes artikkel

Tidligere i uken lanserte vi en miniserie i podcastformat ved navn IT-sikkerhetspodden, der digitaletterforsker Henrik Selje Bygnes i første episode tar en titt på den fascinerende verdenen av social engineering. Om du ikke har hørt episoden ennå, så finner du den blant annet på Spotify.

I podcastepisoden – og i denne artikkelen – vil vi utforske hvordan angripere bruker sine kunnskaper om menneskelig adferd til å bygge tillit, utløse frykt eller appellere til nysgjerrighet for å oppnå sine mål.

Håper både miniserien (og denne artikkelen) vil kunne være til god hjelp for å unngå angrep i din virksomhet. 

...Og vi håper selvsagt at artikkelen vil være til hjelp for at du skal unngå å bli svindlet privat også.

Er du klar? For nå skal du få lære om de ulike taktikkene som brukes, fra phishing-e-poster og telefonsvindel til fysiske angrep. Henrik vil hjelpe deg med å forstå de potensielle risikoene du står overfor i det moderne digitale landskapet – og hva du bør være oppmerksom på for å unngå digitale angrep.

Sett deg godt tilrette. Vi lar Henrik gi oss noen aha-opplevelser:

Phishing og spoofing

Den første delen jeg tenkte å gå over er phishing. Phishing er en av de mest utbredte formene for social engineering.

Det kan for eksempel være å lure og bedra mennesker til å avsløre sensitive personlige opplysninger som passord, kredittkortnumre eller personlige identifikasjonsdata, ved å få brukeren til å tro at han eller hun kommuniserer med en pålitelig kilde.
Dette oppnås vanligvis gjennom utsendelse av falske e-poster, meldinger eller nettsider som er designet for å se ut som de tilhører kjente organisasjoner eller tjenesteleverandører.

Det er flere måter å utføre "phishing" på, og en av de vanligste metodene er gjennom bruk av en phishingnettside. En phishingnettside er en forfalsket nettside som er nøye designet for å ligne på en ekte nettside.

Det er viktig å innse at hvem som helst kan kopiere en nettside og publisere en kopi på nytt. Hvis du ved et uhell bruker denne falske nettsiden og for eksempel prøver å logge inn, kan angriperen stjele både brukernavnet og passordet ditt.

Disse nettsidene inkluderer ofte navnet til den tjenesten eller nettsiden de etterligner, men med små forskjeller som skrivefeil eller andre domenenavn (for eksempel: facebook.org i stedet for facebook.com eller faceb00k.com i stedet for facebook.com). 

Hvis man er usikker, så er det ekstremt viktig å dobbeltsjekke URL-en, eller «nettadressen» (sjekke at det faktisk står facebook.com), for å sikre at du faktisk er inne på den ekte siden.

Phishing-e-poster er også et vanlig angrep. I likhet med nettsider, er phishing-e-post en form for svindel der angripere sender en tilsynelatende legitim e-postmelding til en person eller organisasjon med den hensikt å lure mottakeren til å utføre en uønsket handling.

Disse e-postene er ofte utformet for å se ut som om de kommer fra pålitelige kilder, som for eksempel kjente selskaper, banker, tjenesteleverandører eller til og med myndighetsorganisasjoner.

Er det en ekte e-post?

Noen ganger kan det være vanskelig å skille en ekte e-post fra en falsk. Hvis man mottar en e-post som spør om sensitiv informasjon eller vil at man skal klikke på en lenke, kan det være greit å være skeptisk, med mindre man forventer den e-posten.

Ofte kan det være lurt å gå inn på nettsiden og dobbeltsjekke at innholdet i e-posten stemmer. Hvis man mottar en lenke i e-posten for å fylle inn sensitiv informasjon eller å bytte passord, kan det være lurt å selv finne frem til nettsiden for å fylle inn denne informasjonen.

I mange tilfeller kan man motta e-poster som inkluderer personlige detaljer om deg, som for eksempel mobilnummer, navn og passord. Her prøver angriperen ofte å skremme deg til å betale eller oppgi annen sensitiv informasjon.

Det er viktig å merke seg at tilstedeværelsen av slike opplysninger ikke nødvendigvis betyr at du har blitt hacket; det kan simpelthen tyde på at disse detaljene har blitt hentet fra tidligere datalekkasjer eller generelle søk.

Det er en god praksis å være oppmerksom på hvilke passord, e-postadresser og telefonnumre som er knyttet til deg, samt å jevnlig sjekke om det har vært lekkasjer knyttet til disse opplysningene. Her har man gode nettsider som haveibeenpwned.com som har en enorm database med passord, e-poster, brukernavn og mobilnumre og kan fortelle deg hvilken personlig informasjon som har blitt offentliggjort.

Hvilken informasjon får du opp når du Googler navnet ditt?

Ikke bare sensitiv informasjon har noe å si, det er også viktig å være klar over hvilken generell informasjon om deg som er tilgjengelig på nettet.

Denne kunnskapen kan utnyttes av angripere for å lure deg ved å skape en falsk følelse av kjennskap eller troverdighet. Å ha denne bevisstheten og ta de nødvendige forholdsreglene kan bidra til å beskytte deg mot ulike former for social engineering.

Noe som kan være lurt å gjøre iblant er å søke på navnet sitt på Google og se hva som dukker opp.

Det er en hel del andre teknikker som en «social engineer» (en person som utfører social engineering) vil bruke for å prøve å lure deg.
Selv erfarne datafolk kan bli lurt hvis de riktige ordene og opplysningene blir brukt.

Hvis du hører eller leser noe av det følgende, så bør du tenke deg om en gang til før du gjør noe:

• Tidspress: En social engineer kan skape en følelse av tidspress for å få målet (deg) til å handle raskt uten å tenke grundig gjennom situasjonen. Dette kan føre til at du tar impulsive beslutninger, som å dele sensitive opplysninger eller utføre handlinger du normalt ikke ville ha gjort.
• Autoritet og tillit: En angriper kan late som om de har høy autoritet eller er en pålitelig person. Dette kan inkludere å late som om de er fra en respektert organisasjon, teknisk support eller til og med en kollega. Målet er å utnytte tilliten personen har til den falske autoriteten.
• Gjensidighet: Gjensidighetsprinsippet innebærer å tilby noe først for å få noe tilbake. En social engineer kan gi målet en liten fordel eller tjeneste i håp om å få målet til å føle seg forpliktet til å gjøre en tjeneste tilbake – for eksempel å dele sensitiv informasjon.
• Frykt og trusler: En social engineer kan true med negative konsekvenser hvis målet ikke gjør det de vil. Dette kan inkludere trusler om rettslige skritt, offentliggjøring av kompromitterende informasjon eller økonomiske tap. Målet er å skape frykt eller panikk for å fremtvinge handling.

Det er utallige andre måter man kan bli manipulert på, men dette er noen av de vanligste og mest suksessfulle metodene. Bare det å være klar over disse teknikkene kan være til stor hjelp.

Mange tenker kanskje at dette er allmennkunnskap, men folk går stadig på slike svindler. Det er veldig viktig å bli påminnet at dette er en reell trussel, og hvis det er noe man er usikker på, så er det nok best å unngå det.

Har du fått en telefon om at du har et problem med dataen din, eller at du må fikse noe kjapt i nettbanken?

Disse tingene kan skje på mobil også. Mange er kanskje kjent med «Microsoft tech support», hvor folk ringer deg og later som om de er fra Microsoft. De sier at du har problemer på PC-en din som de kan fikse, og så tar de betalt store summer for arbeidet sitt.

Mer sofistikerte angrep skjer også, hvor avsender eller oppringer ringer fra et kjent nummer, også kalt mobilkapring eller «spoofing».

Dette betyr i praksis at du kan motta en melding fra et kjent og lagret nummer på din mobil, men oppringeren er en helt annen person.

Meldinger mottatt fra et spoofet nummer vil dukke opp som normalt. Det vil ikke havne i en separat meldingsboks som om det var et annet nummer. Om den utsatte prøver å svare på meldingen eller ringe tilbake, vil personen som eier nummeret motta meldingen eller bli ringt. Personen som har spoofet nummeret vil ikke få noe som helst svar.

"Men det var jo Facebook eller banken min som sa jeg skulle gjøre det!"

Det som kan være enda farligere er når noen oppgir seg for å være en bedrift. Det er fullt mulig å sende en melding, hvor sender for eksempel er «Facebook».

Meldingen blir altså ikke sendt fra et nummer, men fra navnet «Facebook». Dette er skummelt, da det umiddelbart skaper troverdighet. Når meldingen for eksempel sier «Passordet ditt har blitt endret. Hvis dette ikke var deg, klikk her umiddelbart for å tilbakestille det», skaper det også hastverk og frykt.

Det skumle med denne type angrep er at absolutt alle kan gjøre dem. Det krever ikke noe mer enn veldig grunnleggende ferdigheter, og er ofte ikke mer avansert enn et nettsøk og bruk av en gratis tjeneste.

I tillegg til så er det relativt lett å utføre slike angrep helt anonymt eller utenfor landet, hvor politiet ikke kan gjøre noe med tap eller skader.

Når angrepet involverer direkte mellommenneskelig manipulasjon

Mens digital kommunikasjon og teknologiske angrep er velkjente, utgjør fysisk social engineering en like farlig, om ikke mer direkte, trussel.

Denne formen for angrep involverer direkte mellommenneskelig manipulasjon, der angriperen utnytter psykologiske svakheter og menneskelige tendenser til å oppnå tilgang til steder, informasjon eller systemer som ellers ville vært utilgjengelige.

Når en svindler eller angriper ikke bare er en tekst bak en PC-skjerm, men faktisk et ekte menneske med et fjes og personlighet, da er det så mye enklere å stole på personen.

...Og kanskje er det enda enklere å stole på personen når du er midt opp i et prosjekt – eller skal haste videre til et nytt jobboppdrag.

Noen former for fysisk social engineering inkluderer:

• Smyging: Dette innebærer at en person uten rettigheter eller autorisasjon følger etter noen som har adgang til et sikret område, med den hensikt å utnytte personens tillatelse til å komme seg inn. En angriper kan også lure en beboer eller ansatt til å skanne adgangskortet eller ta et bilde av nøkkel, som enkelt kan bli brukt til å kopiere den. Det finnes flere teknikker for å lure en person til å tillate deg å gjøre dette, for eksempel kan angriperen ta på seg arbeidsklær og forklare at de er der for å fikse låsen.
• Falsk autoritet: Her vil angriperen opptre som en autoritetsfigur, som for eksempel en IT-tekniker eller sikkerhetsvakt. De kan hevde at de trenger å inspisere systemene eller lokalene og dra nytte av respekt for autoriteter.
• Medfølelse: Dette innebærer å appellere til målets følelser, sympati eller ønske om å hjelpe. Angriperen kan late som om de er i nød eller be om tjenester for å utnytte målets godtroenhet. Selv om dette kan virke urealistisk i noen tilfeller, er det mange eksempler på dette.
  
  

  Et eksempel på dette ble presentert på DEFCON, verdens mest kjente hackerkonferanse. Der var det en kvinne som overtok en manns bankkonto og endret passordet hans på bare noen få minutter. Hun ringte til banken med et forfalsket nummer, som var mannens nummer. I bakgrunnen spilte hun av lyden av et gråtende barn og trøstet det falske barnet gjennom samtalen. Dette skapte tidspress og stress, og til slutt fikk hun mannen sin e-postadresse og endret passordet hans til et passord hun valgte.

Former for social engineering uten fysisk kontakt

Andre former for fysisk social engineering kan til og med utføres uten fysisk kontakt med mennesker.

Disse typer av angrep kan innebære det å fysisk installere enheter i nærheten, sende skadelig maskinvare i post, eller til og med overbevise ansatte eller enkeltpersoner til å plugge den skadelige maskinvaren inn i PC-en sin. Noen eksempler på slike angrep er:

• Wi-Fi Pineapple: Wi-Fi Pineapple er en enhet som utnytter menneskers trang til å koble seg til trådløse nettverk. Den etterligner kjente Wi-Fi-tilkoblinger for å lokke brukere til å koble seg til den falske tilkoblingen. Dette gir angriperen muligheten til å overvåke all trafikk og utføre forskjellige typer angrep. En angriper vil installere denne enheten i nærheten av området eller personen den vil angripe og vente på at noen kobler seg til. Denne metoden utnytter både det menneskelige og tekniske, da mobiler automatisk kobler seg til nettverk med kjente navn.
• Rubber Ducky: Rubber Ducky er en USB-enhet som ser ut som en vanlig minnepenn, men når den plugges inn i en PC vil den oppføre seg som et tastatur. Dette kan brukes til å utføre handlinger som å raskt skrive inn skadelige kommandoer eller å stjele data. Ofte tar ikke dette lenger tid enn et par sekunder fra enheten er plugget inn i en PC. Her kan man også skrive en lapp på enheten med teksten «IKKE ÅPNE», for å appellere til folks nysgjerrighet.
• Minnepenn: Selv uten spesiell ekstra maskinvare kan en tilsynelatende uskyldig minnepenn være farlig. Hvis noen finner en minnepenn på gaten eller mottar en i posten, kan nysgjerrigheten føre til at noen åpner filene som er lagret på minnepennen. Dette kan føre til infeksjon av datamaskinen med skadelig programvare.
• G Cable: OM.G Cable, i likhet med en rubber ducky, er en type USB-kabel som ser ut som en vanlig ladekabel, men den har innebygd maskinvare for angrep. Når denne kabelen blir koblet til en datamaskin eller mobil, kan den gi angriperen fjernkontroll eller utføre forskjellige typer angrep.

Disse eksemplene viser hvordan angripere kan utnytte teknologi og menneskelig nysgjerrighet for å oppnå uautorisert tilgang til systemer, informasjon og nettverk. Å være oppmerksom på disse truslene, og praktisere sunne sikkerhetsrutiner, er avgjørende for å beskytte seg mot fysisk social engineering.

Det finnes veldig mye man kan gjøre for å beskytte seg mot disse type angrep, men det viktigste er å alltid være kritisk, være klar over angrepene og farene. Hvis noe er for godt til å være sant, så er det som regel det.

Og husk: 

Mennesker er nesten alltid det svakeste leddet. Det trengs bare at én person gjør en liten feil for at det skal gå ut over resten av nettverket eller virksomheten. Det hjelper ikke å bruke mye ressurser på å sikre det tekniske hvis folk på innsiden ikke er opplært.

Henrik Selje Bygnes

---------------------------------------------------------------------------

Hvis du vil ha hjelp til å sikre din virksomhet mot IKT-angrep, kan vi i Einang Safety hjelpe deg.

Vi har lang fartstid bak oss innen digital etterforskning og etterretning, og vi vet hvordan du kan sikre virksomhetens IKT-systemer og den informasjonen dere har lagret – såkalt IKT-sikkerhet eller «cybersikkerhet». Eller datasikkerhet, for å bruke et folkelig uttrykk.

Ta kontakt med oss enten du vil ha en gjennomgang av IKT-sikkerheten, eller hvis du vil at vi skal komme og ha en temasamling eller fagdag med de ansatte om viktigheten av en god IKT-sikkerhetskultur. Vi kan også tilby kurs innen IKT-sikkerhet som vi kan spisse mot din arbeidsplass.

Du finner kontaktinformasjonen vår her.