En velkledd sjarmerende ung mann kommer inn i vestibylen. Med et gutteaktig avvæpnende smil henvender han seg i resepsjonen og sier: «Jeg skal i jobbintervju her og har i ren nervøsitet sølt kaffe på disse papirene. Kunne du skrive dem ut på nytt for meg fra denne USB-brikken?» Dermed er trojaneren eller løsepengeviruset plantet. Naturligvis burde det vært en policy som blokkerer USB-enhetstilgang. Men det er ikke alltid tilfellet. Så stuntet kan lykkes.
Med en mine av selvfølgelighet lukker en angriper opp første dør for en ansatt. I ren høflighet svarer hun med å bruke adgangskortet og åpner neste for ham. En beslektet metode er å bære på så mye at hendene ikke er frie – i begge tilfeller en teknikk som går under betegnelsen tailgaiting (følge i halen på). Da er de innenfor. Nå kan de ubemerket strø om seg med infiserte brikker på strategiske steder, for anledningen merket med firmaets logo. En papirkurv ser lovende ut. Der er det strimler som raskt forsvinner i dokumentmappen, kveldens puslespill (søppeldykking).
Sosial manipulasjon og angrepsteknikker
En sosial manipulator er en mester i å stille tilsynelatende uskyldige og uviktige spørsmål for å samle opplysninger over tid. Hun eller han inngir tillit, omgir seg med naturlig autoritet, er kunnskapsrik, sympatisk og en av oss. Det reduserer våre forsvarsmekanismer og kan kombineres med en rekke teknikker for å få tak i sensitiv informasjon. En innledende manøver kan være vishing (sammensatt av voice og phishing).
Du ringer opp flere ansatte gjentatte ganger, utgir deg for å være en kunde, fra en annen avdeling, en partnervirksomhet eller sikkerhetsteamet. En god strategi er å ønske å snakke med folk du vet har sluttet: «Vi var kollegaer, gode busser osv.» Og så går samtalen om løst og fast. Du får vite stadig mer om organisasjonen, infrastrukturen og applikasjonene. Ikke minst lærer du deg sjargongen og bruke den, det som på engelsk kalles talk the talk. Angrepsteknikkene omfatter:
- Baiting legger ut lokkemat som vekker nysgjerrighet og lurer brukere. Det kan være både materielle og immaterielle goder.
- Spear phishing foretar en målrettet form for spydfiske mot utvalgte ofre som det er drevet nøye research på.
- Pretexting skaper et påskudd – et oppdiktet, men sannsynlig scenario – som manipulerer ofre til å avsløre viktige opplysninger.
- Shoulder surfing fremskaffer informasjon ved å se over skulderen til brukere under pålogging eller arbeidet med følsomme data.
- Quid pro quo eller «noe for noe» er basert på et slags gjensidighetsprinsipp. Svindlerne tilbyr ofrene en tjeneste og får noe igjen, som personopplysninger og Visa-kortnumre.
- Phishing er klassisk, generell nettfisking uten tanke på en bestemt målgruppe – i samme gate som søppelpost.
- Tailgating eller «følge i halen på» brukes for å få fysisk tilgang til steder du egentlig ikke har adgang til, som å gå etter en autorisert bruker uten å bli lagt merke til.
- Dumpster diving eller søppeldykking benyttes for å samle informasjon fra kastet papir og kasserte gjenstander som kan brukes til å utføre angrep eller få tilgang til datanettverk.
- Waling eller hvalfangst er en form for phishing som går etter «de store fiskene» i sentrale posisjoner, som direktører, økonomisjefer og avdelingsledere.
Legge ut lokkemat
Lokkemat er ment å vekke nysgjerrighet eller appellere til instinkter som havesyke og grådighet. Brukere lokkes i en felle som stjeler personlige opplysninger eller påfører systemene deres skadevare. Vanlige fremgangsmåter er å plassere infiserte minnebrikker på iøynefallende områder. Agnet ser autentisk ut og kan være utstyrt med en etikett som viser selskapets lønnsliste. Men åten kan også være en liksom-presang fra sjefen, som en tilgodelapp for godt utført arbeid: «Klikk her og ikke si noe til andre.» Den kan være et tilbud om billig forsikring: «Partneravtale. Haster. Registrer deg på nettet.» Det kan være forlokkende annonser: «Lykkehjulet. Vinn en reise for to!»
Spydfiske
Spydfiske er en målrettet versjon av phishing-svindel der en angriper velger bestemte individer eller bedrifter. Meldingene skreddersys og tilpasses målgruppen. Skurken kan utgi seg for å være en IT-konsulent i virksomheten. E-posten er formulert og signert på samme måte som mottakerne er vant til fra IT-avdelingen. De får beskjed om å endre passordet og klikke på en kobling som omdirigerer dem til en ondsinnet nettside der angriperen fanger opp påloggingsinformasjonen deres.
Påskudd
Påskudd manipulerer ofre til å avsløre informasjon. Det dreier seg om oppdiktede scenarioer utviklet av trusselaktører med det formål å stjele ofrenes personopplysninger. Mens phishing-angrep har en tendens til å spille på at noe haster, skaper påskuddsangrep en falsk følelse av trygghet og tillit. Dette krever at aktørene etablerer en troverdig historie. For å komme seg inn i firmaet og passere vaktene kan skurken utgi seg som revisor, overfor ansatte som medlem av HR-avdelingen.
Skuldersurfing
Surferen som står like bak offeret, vil ha bedt den andre om raskt å logge seg på for å sjekke noen opplysninger. Det er ikke sikkert han har fått med seg hele passordet, men har i det minste kontoen. Så vil han i dette tilfellet antakelig involvere henne i en samtale om unger og husdyr. «Ja så, hva heter de søte små?» Sannsynligheten for at ett av navnene inngår i passordet er ikke liten. Dessuten kjenner han lengden. Dette bidrar til å gjøre det lettere å knekke det. En kompromittert brukerkonto kan være nok til å bevege seg videre i nettverket for så å elevere rettighetene.
Noe for noe
«Noe for noe»-angrep (quid pro quo) lover en fordel i bytte mot informasjon, vanligvis i form av en tjeneste. Som regel dreier det seg om sosial manipulasjon på lavt nivå, uten særlig suksessrate. Angriperne disponerer ikke over avanserte verktøy og undersøker ikke målobjektene. De ringer tilfeldige numre, hevder å være fra teknisk brukerstøtte og vil tilby hjelp. En gang iblant får de napp. De veileder brukere gjennom de nødvendige trinnene og får samtidig tilgang til ofrenes datamaskin, noe de utnytter for å få tak i personlig informasjon, bankkontoer og Visa-kortnumre.
Nettfiske og søppelpost
Generell nettfisking er for det meste ubegavede forsøk i det lufttomme rom. Språket er ofte dårlig, preget av ubehjelpelig maskinoversettelse. Selv uøvde mottakere ser lett at avsenderne ikke er den de utgir seg for. Nettsidene er uprofesjonelle, i den grad man kommer så langt som å se dem og de ikke er blokkert av nettleseren. Det kan umulig være noe annet enn de store talls lov som fortsatt gjør det lønnsomt for hackere å produsere denne type phishing. Enkelte biter antakelig på.
Meldingen kan påstå at bankkontoen din er sperret inntil du logger deg på en nettside og oppgir alle dine kontoopplysninger. Du blir bedt om å overføre en pengesum for en pakke du har mottatt via Posten. Mulighetene er legio. Allmenn nettfisking og søppelpost eller spam glir over i hverandre. Til sammen utgjør de rundt 85 prosent av all e-post som sendes hver dag. Det aller meste lukes ut av e-postfiltre. Betegnelsen spam kommer fra en Monty Python-sketsj der Spam – svinekjøtt på boks – er allestedsnærværende, uunngåelig og del av hver eneste rett som serveres.
Følge i halen på
«Følge i halen på» er et enkelt sosialt manipulasjonsangrep som gjør det mulig for hackere å få tilgang til et beskyttede eller på annen måte begrensede fysiske områder. Når en vanlig ansatt åpner en tung dør, kan en sosial manipulator ta tak i døren når den er i ferd med å lukke seg, og gå rett inn. Et annet eksempel er en person som utgir seg for å levere varer og venter utenfor en bygning til en ansatt går ut. Så ber angriperen vedkommende om å holde døren åpen. Dermed får han adgang via noen som er autorisert i selskapet.
Søppeldykking
Dette er mer av typen undersøkende, gravende «journalistikk», som i neste omgang kan føre den sosiale manipulasjon i uante retninger, en teknikk som brukes til å hente informasjon som kan brukes til å utføre angrep på datanettverk. Den er ikke begrenset til å søke gjennom søppel etter perler som tilgangskoder eller passord skrevet ned på klistrelapper. Tilsynelatende uskyldig informasjon som telefonlister, kalendre eller organisasjonskart kan også bidra til å hjelpe en angriper som bruker sosial manipulasjon for å få tilgang til nettverket.
Hvalfangst
Hvalfangst er et spydangrep mot de store fiskene i virksomheten (med noe skurr i biologien), som daglig leder eller økonomisjefen. Med stjålen påloggingsinformasjon kan deres kompromitterte e-postkontoer misbrukes for å autorisere falske bankoverføringer. Et annet alternativ er å benytte smishing (sammensatt av SMS og phishing) med et forfalsket visningsnummer: «Hei! Er opptatt i et møte. Partneren vår kutter oss ut om vi ikke umiddelbart overfører ... Kontoopplysninger nedenfor.»
Konserner og små bedrifter
Enkelte hovedkontorer er bygget opp som festninger, omgitt av høye gjerder med overvåking inne og ute og vakter over hele området. Det er infrarøde kameraer og bevegelsessensorer. Veisperringer kan hindre at et tungt kjøretøy braser inn i inngangspartiet. Ansatte og besøkende må gjennom en sluse, én for én, for å komme inn. Kort og besøksbevis gir bare begrenset adgang til avgrensede områder. Alle aktiviteter loggføres for senere revisjon.
Nettverket internt er skåret over samme lest, segmentert i soner basert på hvor sensitive data og applikasjoner er, og atskilt med brannmurer. Det er systemer for å oppdage og avverge forsøk på innbrudd. De har en SIEM-løsning som sørger for overvåking, deteksjon og varsling av hendelser, sammen med en omfattende og sentralisert oversikt over sikkerheten i IT-infrastrukturen. Ofte er det kombinert med sikkerhetsorkestrering, automatisering og respons.
Konserner har gjerne programvare som registrerer avvik i brukeratferd og unormale pålogginger med tanke på tid og sted. Umulig reise er et faresignal; det ene øyeblikket logger en bruker på fra Oslo, i neste fra Kiev. Lokalnettet kan være forsynt med honningfeller, brukerkontoer som er ment å lure angripere. Enkelte ganger er det hele honningnettverk som er satt opp som ekte infrastruktur. Det gjør det mulig for sikkerhetsteamet å studere hvordan hackerne går frem.
Dette bidrar til å gjøre livet surt for skurkene og kan bøte på mange av skadene sosial manipulasjon avstedkommer. Det gjør også små og mellomstore bedrifter (SMB) til et mer attraktivt mål. Her henger fruktene lavere. Sikkerheten og tilgangskontrollene er ofte ikke helt på høyden, rutinene slappere. Meningen kan være å ramme bedriften, men angrepet kan også skyldes en tilfeldighet eller være utslag av en kollateralskade. Det egentlige målet er da konsernet, som har små bedrifter i en leverandørkjede. Angrepet rettes mot det svakeste ledd i kjeden for så å arbeide seg oppover.
På en noe annen måte kan vannhull-angrep bryte seg gjennom forsvaret. Ved sosial interaksjon er det brakt på det rene hvor ledelsen svinger sine golfkøller. Klubben vil antakelig ha dårligere sikring av nettsidene og kan enklere kompromitteres, så et klikk på en kobling laster ned skadevare.
Hindre sosial manipulasjon
For å motvirke sosial manipulasjon i en virksomhet kreves det sterke føringer fra ledelsen, grundig sikkerhetsskolering av ansatte og teknologier som legger lag på lag i et dybdeforsvar. Resepsjonisten burde aldri ha tenkt på å ta en utskrift fra en ukjent USB-brikke engang, og en policy skulle uansett ha blokkert det. Det er en vedtatt regel at ingen skal slippe inn andre på adgangskortet. Alle må badge inn og ut. Ikke minst er det viktig i en nødsituasjon, så man har en oversikt over hvem som er inne. Bedriftseide maskiner trenger ikke datatilgang via USB.
Papir, notatblokker og gule lapper skal makuleres og ikke ligge i en papirkurv. En sosial manipulator som foretar den ene oppringning etter den andre, vil etter hvert ha nok opplysninger til å få dét vedkommende virkelig er ute etter på en overbevisende måte. Hun eller han har lært seg sjargongen og kjenner til systemene. Nå kan de figurere som innleide konsulenter som lurer på enkelte ting og trenger litt flere spesifikke opplysninger for å få jobben gjort. Først som sist bør holdningen til disse snokerne være: «Vent litt, få navnet og telefonnummeret, så ringer vi tilbake.»
Enkelte gode råd
Det er ingen grunn til å se for mørkt på et stadig mer dystert trussellandskap. Du kan gjøre mye for å beskytte deg. Analysefirmaet Gartner har den optimistiske spådom at i år 2025 vil 99 prosent av alle sikkerhetsbrudd skyldes menneskelig svikt. Teknologiene er der. Her følger noen anbefalinger:
Sett opp multifaktor-autentisering eller enda bedre passordløs og biometrisk pålogging. Det reduserer drastisk faren for identitetstyveri og kompromitterte kontoer.
- Ikke åpne e-postmeldinger fra uklarerte kilder. Om du må gjøre det, ta først kontakt med avsender over telefonen.
- Vær genuint mistroisk overfor beslutninger som krever øyeblikkelig handling. Dobbeltsjekk og tenk deg godt om.
- Ikke slå til på tilbud som virker for gode til å være sanne. Som regel er de ikke det.
- Lås din bærbare når du er borte fra den. Sørg for at ingen står bak når du logger på.
- Tradisjonelle antivirusprogrammer gir liten eller ingen beskyttelse mot skreddersydd skadevare. Du trenger endepunktsdeteksjon og respons (EDR), som kontinuerlig overvåker alle hendelser på enhetene og slår ned på trusler.
Lær av de store gutta – i dette tilfellet konserner og deres beskyttelsesmekanismer. En del av dette følger med i enkelte versjoner av Microsoft 365 og Microsoft Sentinel til en forholdsvis rimelig penge, også EDR i form av Defender for Endpoint.
Avsluttende ord
Dette var en antydning av hvordan angripere går frem med sosial manipulasjon. Bare fantasien setter grenser for alle lurendreiertriks. Men det er noen fellesnevnere som beskytter deg mot denne type angrep: Ikke stol på noe før du har verifisert det. Ikke la ansatte ha flere tilganger enn de strengt tatt trenger for å begrense skadeomfanget. Ta utgangspunkt i at virksomheten hele tiden er under angrep – det holder deg årvåken med en solid dose paranoia som er helt på sin plass. Dette er også grunnprinsippene for sikkerhetsmodellen Null tillit eller Zero Trust. Om du plusser på med overvåking og segmenterer nettverket, er du på god vei til å være godt sikret.
Første bilde er kjøpt hos iStock til formålet. Annet er fra et Pluralsight-kurs i CompTIA Security+. Tredje er fra Monty Pythons nettsider. Siste er fra en reklame for sikre gjerder med overvåking.
