Innen datasikkerhet oppstår mange problemer til tross for brukerens beste innsats. For eksempel kan du bli rammet av skadelig programvare fra malvertising når som helst, det er egentlig uflaks. Det er skritt du kan ta for å minimere risikoen, for eksempel å bruke en annonseblokker. Men å bli truffet på denne måten er ikke brukerens feil. Andre angrep fokuserer imidlertid på å lure brukeren til å gjøre noe. Disse typene angrep kommer under det brede banneret for sosiale ingeniørangrep.
Sosial teknikk innebærer å bruke analyse og forståelse av hvordan mennesker håndterer visse situasjoner for å manipulere et resultat. Sosial engineering kan utføres mot store grupper mennesker. Når det gjelder datasikkerhet, brukes den imidlertid vanligvis mot enkeltpersoner, men potensielt som en del av en stor kampanje.
Et eksempel på sosial ingeniørkunst mot en gruppe mennesker kan være forsøk på å forårsake panikk som en distraksjon. For eksempel et militær som utfører en falsk flagg-operasjon, eller noen som roper «ild» på et travelt sted og deretter stjeler i kaoset. På et eller annet nivå er enkel propaganda, gambling og reklame også sosiale ingeniørteknikker.
Innen datasikkerhet har handlingene en tendens til å være mer individuelle. Phishing prøver å overbevise brukere om å klikke og lenke og skrive inn detaljer. Mange svindelforsøk prøver å manipulere basert på frykt eller grådighet. Sosiale ingeniørangrep innen datasikkerhet kan til og med begi seg ut i den virkelige verden, for eksempel forsøk på å få uautorisert tilgang til et serverrom. Interessant nok, i en verden av cybersikkerhet, er dette siste scenariet, og slike som det, vanligvis det som menes når man snakker om sosiale ingeniørangrep.
Bredere sosial ingeniørkunst – online
Phishing er en type angrep som forsøker å sosialisere offeret til å gi detaljer til en angriper. Phishing-angrep leveres vanligvis i et eksternt system, for eksempel via e-post, og har derfor to forskjellige sosiale ingeniørpunkter. Først må de overbevise offeret om at meldingen er legitim og få dem til å klikke på lenken. Dette laster deretter phishing-siden, hvor brukeren blir bedt om å skrive inn detaljer. Vanligvis vil dette være brukernavnet og passordet deres. Dette er avhengig av at den første e-posten og phishing-siden begge ser overbevisende nok ut til at brukeren kan stole på dem.
Mange svindelforsøk prøver å sosialmanipulere ofrene sine til å overlate penger. Den klassiske svindelen "Nigerian Prince" lover en stor utbetaling hvis offeret kan betale et lite forhåndsgebyr. Selvfølgelig, når offeret betaler "gebyret" mottas ingen utbetaling noen gang. Andre typer svindelangrep fungerer etter lignende prinsipper. Overbevise offeret om å gjøre noe, vanligvis overlevere penger eller installere skadelig programvare. Ransomware er til og med et eksempel på dette. Offeret må utlevere penger eller risikerer å miste tilgangen til de dataene som er kryptert.
Personlig sosial ingeniørkunst
Når sosial ingeniørkunst blir referert til i verden av cybersikkerhet, refererer det vanligvis til handlinger i den virkelige verden. Det er mange eksempler på scenarier. En av de mest grunnleggende kalles tail-gating. Dette svever nærme nok bak noen til at de holder åpen en adgangskontrollert dør for å slippe deg gjennom. Bakluke kan forbedres ved å sette opp et scenario der offeret kan hjelpe deg. En metode er å henge med røykerne ute på en røykpause og deretter gå inn igjen med gruppen. En annen metode er å bli sett på å bære noe vanskelig. Denne teknikken er enda mer sannsynlig å lykkes hvis det du bærer kan være for andre. For eksempel, hvis du har et brett med kaffekrus til "laget ditt", er det et sosialt press for at noen skal holde døren åpen for deg.
Mye av personlig sosial ingeniørarbeid er avhengig av å sette opp et scenario og deretter være trygg på det. For eksempel kan en sosialingeniør posere som en slags bygningsarbeider eller renholder som kan bli generelt oversett. Å utgi seg for å være en barmhjertig samaritan, kan det å levere inn en "tapt" USB-minnepinne føre til at en ansatt kobler den til. Hensikten ville være å se hvem det tilhører, men det kan da infisere systemet med skadelig programvare.
Denne typen sosiale ingeniørangrep kan være svært vellykkede, siden ingen egentlig forventer å bli lurt på den måten. De har imidlertid en stor risiko for angriperen som har en veldig reell sjanse for å bli tatt på fersk gjerning.
Konklusjon
Sosial ingeniørkunst er konseptet med å manipulere mennesker for å oppnå et målrettet mål. En måte innebærer å skape en situasjon som ser ekte ut for å lure offeret til å tro det. Du kan også lage et scenario der det er et sosialt press eller forventning om at offeret skal handle mot standard sikkerhetsråd. Alle sosiale ingeniørangrep er imidlertid avhengige av å lure ett eller flere ofre til å utføre en handling som angriperen vil at de skal gjøre.