social engineering

De flesta människor vill tro gott om andra människor, och lita på dem. Att vara instinktivt misstänksam och alltid analysera sina medmänniskors avsikter är oftast en inlärd förmåga som byggts upp av dåliga erfarenheter eller utbildning i att granska.

Social engineering handlar om att utnyttja att människor är hjälpsamma, godtrogna, nyfikna, giriga eller bara allmänt slarviga. Begreppet rymmer många olika typer av angrepp, allt från nätfiske genom falska erbjudanden till att angriparen fysiskt tar sig in någonstans där hen normalt inte är tillåten att befinna sig.

Genom lögner och manipulation kan de skickligaste angriparna lyckas med nästan vad som helst, och därför kan de utgöra ett allvarligt hot mot din organisation och de fysiska och digitala tillgångar ni försöker skydda.

Som hämtat ur en film

Oavsett vad slutmålet med attacken är finns det en sak som är gemensam för nästan alla typer av social engineering, och som starkt bidragit till den upphöjda myten: strävan efter att ta sig till platser dit angriparen saknar behörighet.

På nätet och i böcker finns en uppsjö historier som lätt kunde ha platsat i filmer som ”Catch me if you can” eller ”Ocean´s eleven”. Det kan handla om falska uniformer och legitimationer, servicearbeten som ingen beställt eller vältajmade omkopplingar av telefonsamtal, oftast efter noggrann kartläggning av organisationer och deras anställda.

Men det är inte hela, eller ens halva, sanningen om social engineering. De där spektakulära attackerna är sällsynta, och såklart svåra att genomföra. Det är en fara att bara fokusera på att skydda sig mot skickliga lögnare med lösmustascher, när en social engineering-attack oftast sker på mer subtila sätt efter att angriparen studerat vanor och rutiner hos både organisationens anställda och lokaler.

Det mest skrämmande med social engineering är att du ofta inte ens märker att din organisation drabbats. Och om du märker det är det ofta lång tid efter själva attacken.


Tomas Djurling

Tomas Djurling, expert på strategisk säkerhet på Truesec, har jobbat med social engineering i många år. Han utför ofta penetrationstester åt organisationer för att se hur bra deras beredskap mot sociala angrepp är.

– Jag har dessvärre aldrig misslyckats med att ta mig in någonstans där jag inte borde få befinna mig, berättar han.

Medvetenheten är låg

Men är det här något som svenska organisationer arbetar aktivt med och förstår vad det innebär? Charlie Svensson, säkerhetsexpert på Sentor, tror att medvetenheten är låg.

– Generellt sett är det få som tänker i de här banorna överhuvudtaget, och även bland de säkerhetsmedvetna finns ofta en bristande förståelse för hur en angripare kan pussla ihop många mindre framgångar till ett stort hot.

Han menar att även om man har vissa rutiner på plats är det tveksamt om de skyddar så väl som man tänkt sig.

– Exempelvis kanske det finns rutiner för att bara folk som står med på en lista får komma in i lokalen. Men vem som helst kan ringa upp vakterna i förväg och utge sig för att vara chef, och uppdatera denna lista med nya namn. Går vi steget längre kanske vakterna måste verifiera chefens identitet, men då kan angriparen ringa upp chefen och utge sig för att vara en ännu högre uppsatt chef. I många fall kan det tyvärr räcka.

Man känner inte till begreppet

Tomas Djurling är inne på samma spår.

– Medvetenheten är generellt väldigt låg, jag märker av det när jag föreläser om det. Man känner i de flesta fall inte till begreppet social engineering, men när jag berättar vad det handlar om känner många igen de metoder jag berättar om. Men beredskapen är låg och det är få som vet vad de ska göra för att minska risken att drabbas.


Tomas Rzepka

Tomas Rzepka arbetar på säkerhetsföretaget Certezza, där han är säkerhetsexpert och leder penetrationstester. Han säger att många känner till vad social engineering innebär, men han anser att säkerhetstänket inte sträcker sig tillräckligt långt.

– De flesta har vetskap om social engineering, men jag upplever inte att speciellt många svenska organisationer jobbar aktivt med att stävja det. På sin höjd säger man åt användarna att inte klicka på länkar i e-post eller att inte installera okända program. Sedan försöker man säkra den fysiska accessen med passagebrickor och liknande.

Tekniken löser inte allt

Åsa Schwarz, säkerhetsexpert på Knowit, menar att det i dag finns en för stor tilltro till att tekniken ska lösa alla säkerhetsproblem.

– Egentligen är företagens största sårbarhet människan. Eller snarare att vi brister i att ge våra medarbetare verktyg för att hantera den här typen av attacker. Med verktyg menar jag till exempel instruktioner hur lösenord ska delas ut av en helpdesk eller vilka rutiner som ska gälla vid inpassering.

Men är det här något som vem som helst kan råka ut för? Och hur vanligt är det egentligen?
Charlie Svensson menar att social engineering-attacker är vanligare än de flesta tror.


Charlie Svensson

– På nätet finns hela forum och communities där bedragare samlas för att utbyta idéer, skryta om sina framgångar och ge tips och feedback. Ofta handlar det inte om att lura till sig miljoner eller att få tillgång till superhemlig information, utan snarare om småsaker som att lura kundtjänster på mindre belopp eller att på något sätt få gratis varor och tjänster.

– Det vanligaste är att folk går in och stjäl datorer, antingen för att sälja dem eller för att komma åt information på dem. Många har ju läst Kevin Mitnicks böcker och vill pröva om det är så enkelt som han beskriver det. Han ger ju rena steg för steg-instruktioner för social engineering, säger Tomas Djurling.

– De flesta bolag, men även privatpersoner, utsätts för den vanligaste formen av social engineeering-attacker varje dag: nätfiske. De är inte riktat till en specifik person utan är främst till för att lura pengar av en stor massa med människor. Det finns alltid någon som nappar, säger Åsa Schwarz.

Men vanligt nätfiske kan också vara en förberedelse för en större attack.

– Ofta är det främsta målet att få information som adresser, kreditnummer eller inloggningsuppgifter för att sedan tillskansa sig pengar på något sätt. Men det är också ett sätt att identifiera folk som är mottagliga för den typen av attacker för att sedan gå vidare med andra medel, säger Åsa Schwarz.

Tomas Rzepka menar att vissa typer av organisationer löper större risk att utsättas för social engineering.

– Företag som har produkter som är intressanta att plagiera utsätts i större utsträckning för dessa attacker. Och när det händer pratar de tyst om det, för att inte påverka börsvärdet.

5 sociala scenarion

För en angripare finns det många olika sätt att ta sig in i en byggnad eller ett nätverk med hjälp av social engineering. Vi vill beskriva några klassiska varianter som dessvärre fungerar alldeles för ofta. Det kanske verkar löjligt enkelt, och du kanske tänker att du själv aldrig skulle gå på dem, men kom ihåg att social engineering handlar om att hacka din hjärna. Det är oerhört svårt att veta exakt hur du eller din personal handlar under speciella omständigheter.

1. Det alldagligt legitima ärendet

De enklaste sätten är inte sällan de bästa. Det fungerar ofta att bara följa efter någon anställd genom dörren – stå och huttra med en cigarett där anställda går ut för att röka och haka på dem när de går in igen.

Vill du göra det lite mer sofistikerat kan du sätta på dig en keps från ett postbolag (verkligt eller påhittat), slänga upp en kartong på axeln och ringa på dörrklockan. Alla vill att ett paket ska komma fram så fort som möjligt.

När angriparen väl släppts in kan spelet fortsätta genom att övertala receptionisten att det är en viktig leverans som måste bäras upp till ett rum av angriparen själv. Ibland kan det här vara en del i en större attackplan, där angriparen testar beredskapen, tittar efter övervakningsutrustning eller själv smygfilmar i lokalerna.

– Det räcker ofta att bära på en helt tom kartong för att folk ska hålla upp dörrar åt dig, säger Tomas Djurling.

2. Det brådskande serviceärendet

Angriparen utger sig för att vara på plats för att utföra ett serviceärende. I den enklaste formen testar hen bara att säga att hen är där för att laga något som inte behöver lagas, men i mer sofistikerade varianter kan angriparen i ett första skede ha sett till att något verkligen behöver fixas. Det kan handla om allt från elektricitet till ventilation eller telefoni och bredband.

De sistnämnda är kritiska för de flesta företag – man vill snabbt få uppkopplingen åtgärdad för att kunna arbeta som vanligt och inte förlora pengar.

– Det finns exempel på attacker där man först stört nätverket med ddos, därefter kopplat om telefonledningen och slutligen tagit emot samtalet som skulle gå till nätleverantören. Sedan skickar angriparen ut sin egen ”reparatör” för att fixa kaoset, berättar Tomas Djurling.

3. Du litar på den du känner igen

Ett vanligt knep är att successivt lära känna organisationen personligen. Angriparen kan ägna lång tid att studera vanor, besöka arbetsplatsen i fullt legitima ärenden, lära känna anställda och bygga upp ett förtroendekapital.
När det väl är dags för att angrepp är det mycket enklare att ta sig in om man redan är ett bekant ansikte och kan nämna namn på den man ska besöka och varför, och en ”känd” person har betydligt enklare att kunna röra sig obehindrat i lokalerna.

I extremfall kan angriparen till och med ta anställning hos sin måltavla för att kunna genomföra sin attack. Många personalavdelningar har ingen som helst träning i hur man upptäcker någon som har dolda avsikter med att jobba på företaget.

4. När katten är borta …

Den här metoden bygger på klassiskt detektivarbete. Angriparen ser till att få järnkoll på så mycket som möjligt om sin specifika måltavlas vanor, på både arbetstid och fritid. Om angriparen till exempel är ute efter att komma åt information som tillhör företagets ekonomichef, bygger hen upp ett skafferi av information om denne, alltifrån kartläggning av internetvanor och sociala nätverk till umgängeskrets, intressen, sjukdomshistorik och resvanor. Därefter kan angriparen använda sin information för att försöka lura antingen ekonomichefen eller människor i hens närhet.

Ett klassiskt exempel är att ringa upp arbetsplatsen och uppge sig vara ekonomichefen när denne befinner sig på annan ort (vilket angriparen givetvis vet allting om) och snabbt kräva att få något hämtat på sitt kontor eller be om annan hjälp. Eller varför inte besöka arbetsplatsen med något viktigt som måste placeras på ekonomichefens kontor?

Ett annat vanligt angreppssätt är att använda smicker, genom att till exempel låtsas vara en arbetsgivare som är intresserad av att värva måltavlan, eller kanske en journalist som vill göra en intervju.

När det handlar om enskilda måltavlor kan en sofistikerad angripare också använda sig av så kallade honey pots, alltså honungsfällor, där man med hjälp av sex, spel eller tvivelaktiga investeringar lockar måltavlan att sänka sin gard.

5. Alla hatar tech-snack

Angriparen ringer upp en måltavla och uppger sig vara en av teknikerna på it-avdelningen. Måltavlan informeras om att någon skum aktivitet verkar ha inträffat på något användarkonto och att det krävs att hen utför några ändringar. Ofta räcker det med att angriparen säger något i stil med: ”Först går du in i registret, sedan ska du formatera om disken till ntfs, och …” för att måltavlan ska be om hjälp. Varpå angriparen behöver lösenordet för att kunna hjälpa till …

Ett annat scenario kan vara en enkel chansning från it-teknikern (angriparen) där hen agerar som ”schysst” kollega och uppmärksammar måltavlan på att det syns att denne besökt mer eller mindre tvivelaktiga webbplatser. Om måltavlan vet med sig att hen faktiskt har gjort det kommer hen gärna vilja ha hjälpa med att dölja det – även om det innebär att hen måste ta med datorn till en annan plats och möta teknikerns vän som kan fixa det, för att det inte låter sig göras på kontoret.

Visst låter det korkat? Men människor tenderar att göra ytterst korkade saker i stressade situationer.


Gömda kameror i lokalerna

Tomas Djurling berättar om ett skräckexempel där det inte ens krävdes att angriparna hade någon direkt kontakt med sitt offer.

– Ett läkemedelsföretag blev utsatta för ett inbrott där deras datorer stals. De agerade som de flesta gör, skaffade nya datorer och rullade ut sin backup för att snabbt komma i gång igen. Inbrottet tänkte de inte mer på, förrän några år senare när de upptäckte avlyssningsutrustning och flera kameror gömda i sina lokaler. En kort tid senare såldes företaget till en konkurrent för ett underpris. Varför kan man bara spekulera om.

Djurlings exempel är att betrakta som ett extremfall, och de flesta organisationer behöver inte oroa sig för så pass välplanerade och sofistikerade attacker. Däremot har många någon form av information som kan vara åtråvärd för en angripare.

Det finns få konkreta exempel på lyckade attacker genom social engineering. Det betyder inte att de inte sker eller att de inte lyckas. De it-säkerhetsexperter som TechWorld talat med är överens om att det är väldigt få drabbade som vill berätta om attackerna. Därför är det svårt slå fast hur vanligt det egentligen är med social engineering. Det betyder att det kan finnas ett stort mörkertal.


Åsa Schwarz

– Vad gäller riktade attacker är det samma problem som vid många andra incidenter. Först och främst upptäcks inte majoriteten av dem. Om de sedan upptäcks är det ofta långt efter själva incidenten, och tyvärr ofta av någon annan, till exempel kunder eller samarbetspartners som blivit av med information, säger Åsa Schwarz.

Många angrepp mörkas

Hon menar att det kan finnas många anledningar till att attackerna inte blir officiella. Till exempel kan den enskilda medarbetaren vilja dölja att hen blivit utsatt för en attack även om hen har insett det.

– Det är därför viktigt att ha ett företagsklimat där rapportering av incidenter uppmuntras och där ingen är rädd för att bestraffas. Ett grundproblem brukar vara att det inte ens finns en rutin för rapportering av incidenter. Dessutom har bolagen få incitament att offentliggöra attacker eftersom det kan ge dålig publicitet, säger Åsa Schwarz.

– Det finns ett mörkertal då det inte är någonting man märker av så fort. Och det rör sig oftast om småsaker. Den kombinationen gör att det sällan finns något intresse av att prata om det, säger Charlie Svensson.

Två viktiga nycklar

Vad kan då de organisationer som är i farozonen för att bli utsatta för social engineering göra för att minimera riskerna? Utbildning och information är viktiga nycklar, enligt de experter vi pratat med.

– Det finns de som anser är det är meningslöst att utbilda användarna. Men då tror jag att man saknar pedagogik. Man kan inte bara slå en bunt papper i huvudet på användarna, man måste varva utbildningen med dialog och demonstrationer av hur enkelt en angripare kan ta över deras dator. Då fångar man deras uppmärksamhet. Det brukar ta extra skruv om man visar att angriparna kan komma över användarnas personliga information.

Organisationens information verkar ofta inte vara lika viktig för dem, säger Tomas Rzepka, och fortsätter:

– När det gäller fysisk åtkomst handlar det att om utbilda personal samt att bygga zoner så att en obehörig inte kan nå det allra heligaste. Det är också viktigt att säkra nätverksaccess så att inte en angripare kan få tillgång till det interna nätverket genom att koppla in sig i exempelvis konferensrummet.

Åsa Schwarz menar också att utbildning är viktigt för att öka medvetandet om säkerhetsfrågor och ändra beteendet i hela organisationen. Eftersom det hela tiden dyker upp nya metoder för att luras, måste kunskaperna också ständigt uppdateras.

– Vi bör däremot inte skriva alltför detaljerade instruktioner för hantering av kriser och incidenter. För att kunna se hot behöver man dra nytta av sin kompetens och erfarenhet, och inte bara följa fastslagna rutiner.

Charlie Svensson menar att vi i Sverige har en bristfällig säkerhetskultur. Vi håller gärna upp dörrar för folk, frågar ogärna om folks ärenden och har svårt att säga nej om någon ber om en tjänst som att öppna en dörr om de bär ett tungt paket.

– I många andra länder finns en mycket mer aggressiv säkerhetsmedvetenhet bland arbetare. Har du inget synligt passerkort är det anledning nog att stoppa dig och ifrågasätta din närvaro. Det finns många fallgropar som borde kunna undvikas. Till exempel ska en kundtjänstmedarbetare inte kunna se eller lämna ut känslig information utan att en kund har identifierat sig på ett säkert sätt. På detta sätt kan en lättlurad telefonist inte råka avslöja hemligheter.

Skapa rätt kultur

Att träna organisationen handlar enligt Charlie Svensson mycket om att höja medvetenheten om den här typen av hot, och att skapa en kultur där det inte uppfattas som otrevligt att ställa frågor. Att få folk att börja ifrågasätta saker är viktigt. Kombinerat med väldesignade rutiner som efterföljs kan det drastiskt försvåra för en angripare, men han poängterar att det är lika viktigt att utvärdera om rutinerna fungerar.

– Ett vanligt scenario när vi testar är att kunden vill testa nya rutiner som finns på plats efter att man utvärderat hotbilden. I många fall är rutinen väldesignad, men viljan att vara tillmötesgående och snäll leder ofta ändå till brister i informationshanteringen.

Tomas Djurling ger några handfasta tips på saker som kan avskräcka en angripare. Det kan vara att sätta upp en skylt som berättar att alla obehöriga kommer att polisanmälas. Övervakningskameror kan också vara bra, många angripare vill inte bli filmade. Korrekt hantering av besöksbrickor är en annan sak som måste fungera.

– Har man sådant på plats höjs ribban, och angriparen kan dra slutsatsen att organisationen menar allvar. Då väljer de kanske en lättare måltavla. Men det första steget är alltid att berätta för de anställda om social engineering, och att beskriva det ur angriparnas perspektiv. Om man vet vad de måste lyckas med i sina attacker står man också bättre rustad att mota dem, säger Tomas Djurling.


10 försvar mot social engineering

1. Tydliga regler för in­passering minskar risken att någon snackar sig in.
Besöks­brickor, legitimering och kontroller. Utan undantag! Se upp med bakdörrar, källare och hissar.

2. Var vaksam på andra ”besökare” som bud, servicearbetare, reparatörer och liknande. Kontrollera vem som beställt deras tjänster. Det ska de alltid kunna uppge.

3. Utbilda de anställda i vad social engineering är och hur det kan gå till. Det gäller hela organisationen, en skicklig angripare letar reda på era svaga punkter och riktar attacken mot dem.

4. Våga ställa frågor om något verkar misstänkt. Professionella människor tar inte illa upp av att du agerar professionellt.

5. Lämna aldrig ut känslig information över telefon eller e-post, om inte personen på andra sidan kan verifiera sin identitet på flera sätt.

6. Var uppmärksam på nätfiske. Det kan ibland vara själva attacken, men är också ofta en förberedelse för en större attack.

7. Sätt upp övervakningskameror och skyltar som berättar om era säkerhetsbestämmelser. Det kan avskräcka angriparen om ni visar er beredskap.

8. Var alltid vaksam på hur legitima besökare hanterar sina mobiltelefoner. I dag är det allt för enkelt att fota, filma eller göra ljudupptagningar i smyg.

9. Säkerhetsklassa din organisations information. Vad är extra åtråvärt för konkurrenter eller andra angripare? Skapa säkra zoner för den informationen och sätt särskilda behörigheter.

10. Var på din vakt! En angripare som använder social engineering kan vara en mästare på att manipulera dig. Hur smickrad du än blir, hur mycket sympati du än känner eller hur gärna du än vill lösa problem – kontrollera alltid att saker och ting stämmer.
 

TechWorlds slutsats

Social engineering är ett samlingsnamn för många olika typer av attacker som bygger på att lura människor att fatta fel beslut. Det vanligaste är det nätfiske som de flesta stöter på i sin mejlkorg. De mer sofistikerade attackerna som bygger på omfattande förberedelse från angriparen är betydligt ovanligare, även om det kan finnas ett mörkertal.

De experter som TechWorld pratat med är överens om att kunskapen och beredskapen kring social engineering är bristfällig i Sverige.

Det bästa sättet att motverka social engineering är att utbilda sina anställda i hur det fungerar och vad de alltid bör tänka på. Organisationen bör också fokusera på tydliga rutiner, till exempel kring inpassering i lokaler och vilken typ av information som får lämnas ut över telefon.

Det är mycket svårt att skydda sig fullt ut mot en skicklig angripare som kartlägger ens organisation och använder flera vägar in för att komma åt ens information, men om angriparen i ett tidigt skede märker att måltavlan är förberedd kan det avskräcka från fortsatt angrepp.

Boktips:


”The Art of Deception” av Kevin Mitnick, 2002 och ”Social Engineering – The Art of Human Hacking” av Christopher Hadnagy, 2011.

Läs mer på nätet:

Social Engineer är en mycket bra webbresurs om du vill lära dig mer om vad social engineering handlar om och vad du bör tänka på: www.socialengineer.org

… i april i år intervjuade man dessutom Kevin Mitnick i sin podcast (video): tinytw.se/mitnick

Säkerhetsföretaget Veracode har gjort en stor infograf över varför social engineering så ofta lyckas: tinytw.se/whyitworks

I tio år har säkerhetskonferensen Last Hope (Hackers On Planet Earth) haft en panel som pratat om social engineering, och som ”livehackat” över telefon. Det här är årets version. De tidigare kan du hitta om du söker på Youtube. tinytw.se/lasthope

Daniel Åhlin