Social engineering er næppe et nyt begreb, selv i en verden af cybersikkerhed. Phishing-svindel alene har eksisteret i næsten 30 år, hvor angribere konsekvent har fundet nye måder at lokke ofre til at klikke på et link, downloade en fil eller give følsomme oplysninger.
Business email compromise (BEC)-angreb gentog dette koncept ved at lade angriberen få adgang til en legitim e-mail-konto og efterligne sin ejer. Angribere begrunder, at ofrene ikke vil sætte spørgsmålstegn ved en e-mail, der kommer fra en betroet kilde - og alt for ofte har de ret.
Men e-mail er ikke det eneste effektive middel, cyberkriminelle bruger til at engagere sig i social engineering-angreb. Moderne virksomheder er afhængige af en række digitale applikationer, fra cloud-tjenester og VPN'er til kommunikationsværktøjer og finansielle tjenester. Hvad mere er, disse applikationer er indbyrdes forbundne, så en angriber, der kan kompromittere én, kan også kompromittere andre. Organisationer har ikke råd til udelukkende at fokusere på phishing- og BEC-angreb – ikke når business application compromise (BAC) er stigende.
Målretning mod Single Sign-on
Virksomheder bruger digitale applikationer, fordi de er nyttige og praktiske. I fjernarbejdets tidsalder har medarbejderne brug for adgang til kritiske værktøjer og ressourcer fra en bred vifte af lokationer og enheder. Applikationer kan strømline arbejdsgange, øge adgangen til kritisk information og gøre det nemmere for medarbejderne at udføre deres arbejde. En individuel afdeling i en organisation kan bruge snesevis af applikationer, mensen gennemsnitlig virksomhed bruger mere end 200. Desværre kender sikkerheds- og it-afdelingerne ikke altid til - endsige godkender - disse applikationer, hvilket gør tilsyn til et problem.
Godkendelse er et andet problem. At skabe (og huske) unikke kombinationer af brugernavn og adgangskode kan være en udfordring for alle, der bruger snesevis af forskellige apps til at udføre deres arbejde. Brug af en password manager er en løsning, men det kan være svært for IT at håndhæve. I stedet strømliner mange virksomheder deres autentificeringsprocesser gennem single sign-on (SSO) løsninger, som giver medarbejdere mulighed for at logge ind på en godkendt konto én gang for at få adgang til alle tilsluttede applikationer og tjenester. Men fordi SSO-tjenester giver brugerne nem adgang til snesevis (eller endda hundredvis) af forretningsapplikationer, er de værdifulde mål for angribere. SSO-udbydere har selvfølgelig deres egne sikkerhedsfunktioner og -muligheder - men menneskelige fejl er stadig et vanskeligt problem at løse.
Social Engineering, Evolved
Mange applikationer - og bestemt de fleste SSO-løsninger - har multifaktorautentificering (MFA). Dette gør det sværere for angribere at kompromittere en konto, men det er bestemt ikke umuligt. MFA kan være irriterende for brugere, som måske skal bruge det til at logge ind på konti flere gange om dagen - hvilket fører til utålmodighed og nogle gange skødesløshed.
Nogle MFA-løsninger kræver, at brugeren indtaster en kode eller viser deres fingeraftryk. Andre spørger blot: "Er det dig?" Sidstnævnte giver, selvom det er lettere for brugeren, angriberne plads til at operere. En angriber, der allerede har fået et sæt brugerlegitimationsoplysninger, kan forsøge at logge ind flere gange, selvom han vidste, at kontoen er MFA-beskyttet. Ved at spamme brugerens telefon med MFA-godkendelsesanmodninger, angribere øger ofrets alarmerende træthed. Mange ofre, efter at have modtaget en syndflod af anmodninger, antager, at IT forsøger at få adgang til kontoen eller klikker på "godkend" simpelthen for at stoppe strømningen af meddelelser. Folk bliver let irriterede, og angribere bruger dette til deres fordel.
På mange måder gør dette BAC nemmere at opnå end BEC. Modstandere, der engagerer sig i BAC, skal bare plage deres ofre til at tage en dårlig beslutning. Og ved at målrette identitets- og SSO-udbydere kan angribere få adgang til potentielt snesevis af forskellige applikationer, herunder HR- og lønningstjenester. Almindeligt brugte applikationer som Workday er ofte tilgået ved hjælp af SSO, hvilket giver angribere mulighed for at deltage i aktiviteter såsom direkte indbetalinger og lønsvindel, der kan føre penge direkte ind på deres egne konti.
Denne form for aktivitet kan let gå ubemærket hen - og derfor er det vigtigt at have in-netværksdetektionsværktøjer på plads, der kan identificere mistænkelig adfærd, selv fra en autoriseret brugerkonto. Derudover bør virksomhederne prioritere brugen af phish-resistente Fast Identity Online (FIDO) sikkerhedsnøgler
ved brug af MFA. Hvis kun FIDO-faktorer for MFA er urealistiske, er den næstbedste ting at deaktivere e-mail, SMS, tale og tidsbaserede engangsadgangskoder (TOTP'er) til fordel for push-meddelelser og derefter konfigurere MFA- eller identitetsudbyderpolitikker for at begrænse adgangen til administrerede enheder som et ekstra sikkerhedslag.
Prioritering af BAC-forebyggelse
Nye forskning indikerer
at BEC eller BAC taktik bruges i 51 % af alle hændelser. Selvom den er mindre kendt end BEC, giver succesfuld BAC angribere adgang til en bred vifte af forretnings- og personlige applikationer forbundet med kontoen. Social engineering forbliver et værktøj med høj afkast for nutidens angribere - et værktøj, der er udviklet sammen med de sikkerhedsteknologier, der er designet til at stoppe det.
Moderne virksomheder skal uddanne deres medarbejdere, lære dem at genkende tegnene på en potentiel fidus, og hvor de skal rapportere det. Med virksomheder, der bruger flere applikationer hvert år, skal medarbejderne arbejde hånd i hånd med deres sikkerhedsteams for at hjælpe systemerne med at forblive beskyttet mod stadig mere listige angribere.
