Inden for computersikkerhed opstår der mange problemer på trods af brugerens bedste indsats. For eksempel kan du blive ramt af malware fra malvertising på ethvert tidspunkt, det skyldes virkelig uheld. Der er trin, du kan tage for at minimere risikoen, såsom at bruge en ad-blocker. Men at blive ramt på denne måde er ikke brugerens skyld. Andre angreb fokuserer dog på at narre brugeren til at gøre noget. Disse typer angreb kommer under det brede banner af social engineering-angreb.
Social engineering involverer at bruge analyse og forståelse af, hvordan mennesker håndterer bestemte situationer for at manipulere et resultat. Social engineering kan udføres mod store grupper af mennesker. Med hensyn til computersikkerhed bliver det dog typisk brugt mod enkeltpersoner, dog potentielt som en del af en stor kampagne.
Et eksempel på social engineering mod en gruppe mennesker kunne være forsøg på at forårsage panik som en distraktion. For eksempel et militær, der udfører en falsk flag-operation, eller nogen, der råber "ild" på et travlt sted og derefter stjæler i kaosset. På et eller andet niveau er simpel propaganda, hasardspil og reklamer også sociale ingeniørteknikker.
Inden for computersikkerhed har handlingerne dog en tendens til at være mere individuelle. Phishing forsøger at overbevise brugere om at klikke og linke og indtaste detaljer. Mange svindelnumre forsøger at manipulere baseret på frygt eller grådighed. Sociale ingeniørangreb i computersikkerhed kan endda vove sig ind i den virkelige verden, såsom forsøg på at få uautoriseret adgang til et serverrum. Interessant nok er det i cybersikkerhedens verden, at dette sidste scenarie, og lignende, typisk er det, der menes, når man taler om angreb fra socialt ingeniørarbejde.
Bredere social engineering – online
Phishing er en klasse af angreb, der forsøger at socialt manipulere offeret til at give detaljer til en angriber. Phishing-angreb leveres typisk i et eksternt system, f.eks. via e-mail, og har derfor to forskellige sociale ingeniørpunkter. Først skal de overbevise offeret om, at budskabet er legitimt og få dem til at klikke på linket. Dette indlæser derefter phishing-siden, hvor brugeren derefter bliver bedt om at indtaste detaljer. Normalt vil dette være deres brugernavn og adgangskode. Dette er afhængigt af den indledende e-mail og phishing-siden, der begge ser overbevisende nok ud til at social manipulere brugeren til at stole på dem.
Mange svindelnumre forsøger at socialt manipulere deres ofre til at udlevere penge. Den klassiske "nigerianske prins"-svindel lover en stor udbetaling, hvis ofret kan fronte et lille forskudsgebyr. Selvfølgelig, når offeret først betaler "gebyret", modtages der aldrig nogen udbetaling. Andre typer svindelangreb fungerer efter lignende principper. Overbevis offeret om at gøre noget, typisk aflevere penge eller installere malware. Ransomware er endda et eksempel på dette. Offeret skal aflevere penge eller risikerer at miste adgang til de data, der var krypteret.
In-person social engineering
Når social engineering omtales i cybersikkerhedens verden, refererer det typisk til handlinger i den virkelige verden. Der er mange eksempler på scenarier. En af de mest basale kaldes tail-gating. Dette svæver tæt nok bag nogen, at de holder en adgangskontrolleret dør åben for at slippe dig igennem. Tail-gating kan forbedres ved at opsætte et scenarie, hvor offeret kan hjælpe dig. En metode er at hænge ud med rygerne udenfor på en røgpause og derefter gå ind igen med gruppen. En anden metode er at se at bære noget akavet. Denne teknik er endnu mere tilbøjelig til at lykkes, hvis det, du bærer, kunne være for andre. For eksempel, hvis du har en bakke med kaffekrus til "dit hold", er der et socialt pres for, at nogen holder døren åben for dig.
Meget af personlig social engineering er afhængig af at opsætte et scenarie og derefter være selvsikker i det. For eksempel kan en social ingeniør posere som en slags bygningsarbejder eller rengøringsassistent, der generelt kan blive overset. Hvis du udgiver sig for at være en barmhjertig samaritan, kan det resultere i, at en medarbejder tilslutter det, hvis du afleverer et "tabt" USB-drev. Hensigten ville være at se, hvem det tilhører, men det kunne så inficere systemet med malware.
Disse typer af in-person social engineering angreb kan være meget vellykkede, da ingen rigtig forventer at blive snydt på den måde. De indebærer dog en stor risiko for angriberen, som har en meget reel chance for at blive taget på fersk gerning.
Konklusion
Social engineering er konceptet med at manipulere mennesker for at opnå et målrettet mål. En måde involverer at skabe en virkelig udseende situation for at narre offeret til at tro det. Du kan også oprette et scenarie, hvor der er et socialt pres eller en forventning om, at offeret skal handle mod standard sikkerhedsråd. Alle social engineering-angreb er dog afhængige af at narre et eller flere ofre til at udføre en handling, som angriberen vil have dem til.