Social engineering is nauwelijks een nieuw concept, zelfs niet in de wereld van cybersecurity. Phishing alleen al bestaat al bijna 30 jaar, waarbij aanvallers steeds nieuwe manieren vinden om slachtoffers te verleiden op een link te klikken, een bestand te downloaden of gevoelige informatie te verstrekken.
Business Email Compromise (BEC)-aanvallen herhaalden dit concept door de aanvaller toegang te geven tot een legitiem e-mailaccount en zich voor te doen als de eigenaar. Aanvallers redeneren dat slachtoffers een e-mail die afkomstig is van een vertrouwde bron niet in twijfel zullen trekken - en maar al te vaak hebben ze gelijk.
Maar e-mail is niet het enige effectieve middel dat cybercriminelen gebruiken om social engineering-aanvallen uit te voeren. Moderne bedrijven vertrouwen op een reeks digitale toepassingen, van cloudservices en VPN's tot communicatietools en financiële diensten. Bovendien zijn deze applicaties met elkaar verbonden, dus een aanvaller die er een kan compromitteren, kan ook andere compromitteren. Organisaties kunnen het zich niet veroorloven om zich uitsluitend te richten op phishing- en BEC-aanvallen, niet nu het gevaar van Business Application Compromise (BAC) toeneemt.
Gericht op eenmalige aanmelding
Bedrijven gebruiken digitale applicaties omdat ze nuttig en handig zijn. In het tijdperk van werken op afstand hebben werknemers toegang nodig tot kritieke tools en bronnen vanaf een breed scala aan locaties en apparaten. Applicaties kunnen workflows stroomlijnen, de toegang tot kritieke informatie verbeteren en het voor werknemers gemakkelijker maken om hun werk te doen. Een individuele afdeling binnen een organisatie kan tientallen applicaties gebruiken, terwijl degemiddeld bedrijf gebruikt er meer dan 200. Helaas zijn beveiligings- en IT-afdelingen niet altijd op de hoogte van deze toepassingen, laat staan dat ze deze goedkeuren, waardoor overzicht een probleem wordt.
Authenticatie is een ander probleem. Het maken (en onthouden) van unieke combinaties van gebruikersnaam en wachtwoord kan een uitdaging zijn voor iedereen die tientallen verschillende apps gebruikt om zijn werk te doen. Het gebruik van een wachtwoordbeheerder is een oplossing, maar het kan moeilijk zijn voor IT om af te dwingen. In plaats daarvan stroomlijnen veel bedrijven hun authenticatieprocessen via Single Sign-On (SSO)-oplossingen, waarmee werknemers zich eenmalig kunnen aanmelden bij een goedgekeurd account voor toegang tot alle verbonden applicaties en services. Maar omdat SSO-services gebruikers gemakkelijk toegang geven tot tientallen (of zelfs honderden) bedrijfsapplicaties, zijn het waardevolle doelwitten voor aanvallers. SSO-providers hebben natuurlijk hun eigen beveiligingsfuncties en -mogelijkheden, maar menselijke fouten blijven een moeilijk op te lossen probleem.
Sociale techniek, geëvolueerd
Veel applicaties - en zeker de meeste SSO-oplossingen - hebben multifactorauthenticatie (MFA). Dit maakt het voor aanvallers moeilijker om een account te compromitteren, maar het is zeker niet onmogelijk. MFA kan vervelend zijn voor gebruikers, die het misschien meerdere keren per dag moeten gebruiken om in te loggen op accounts, wat leidt tot ongeduld en soms onzorgvuldigheid.
Bij sommige MFA-oplossingen moet de gebruiker een code invoeren of zijn vingerafdruk laten zien. Anderen vragen gewoon: "Ben jij dit?" Dit laatste, hoewel gemakkelijker voor de gebruiker, geeft aanvallers de ruimte om te opereren. Een aanvaller die al een set gebruikersreferenties heeft verkregen, kan meerdere keren proberen in te loggen, ondanks dat hij weet dat het account MFA-beveiligd is. Door de telefoon van de gebruiker te spammen met MFA-authenticatieverzoeken, aanvallers vergroten de alerte vermoeidheid van het slachtoffer. Veel slachtoffers gaan er bij het ontvangen van een stortvloed aan verzoeken van uit dat IT probeert toegang te krijgen tot het account of klikken op "goedkeuren" om de stortvloed aan meldingen te stoppen. Mensen zijn snel geïrriteerd en aanvallers gebruiken dit in hun voordeel.
Dit maakt BAC in veel opzichten gemakkelijker te bereiken dan BEC. Tegenstanders die zich met BAC bezighouden, hoeven hun slachtoffers alleen maar lastig te vallen om een slechte beslissing te nemen. En door zich te richten op identiteits- en SSO-providers, kunnen aanvallers toegang krijgen tot mogelijk tientallen verschillende applicaties, waaronder HR- en salarisadministratiediensten. Veelgebruikte applicaties zoals Workday zijn vaak toegankelijk via SSO, waardoor aanvallers zich kunnen bezighouden met activiteiten zoals directe storting en loonlijstfraude, waardoor geld rechtstreeks naar hun eigen rekeningen kan worden gesluisd.
Dit soort activiteit kan gemakkelijk onopgemerkt blijven. Daarom is het belangrijk om in het netwerk detectietools te hebben die verdacht gedrag kunnen identificeren, zelfs van een geautoriseerde gebruikersaccount. Daarnaast zouden bedrijven prioriteit moeten geven aan het gebruik van phish-resistente Fast Identity Online (FIDO) beveiligingssleutels
bij het gebruik van MFA. Als alleen-FIDO-factoren voor MFA onrealistisch zijn, is het op een na beste om e-mail, sms, spraak en op tijd gebaseerde eenmalige wachtwoorden (TOTP's) uit te schakelen ten gunste van pushmeldingen, en vervolgens MFA- of identiteitsproviderbeleid te configureren om de toegang tot beheerde apparaten te beperken als een extra beveiligingslaag.
Prioriteit geven aan BAG-preventie
Recent onderzoek geeft aan
dat bij 51% van alle incidenten BEC- of BAC-tactieken worden gebruikt. Hoewel minder bekend dan BEC, geeft succesvolle BAC aanvallers toegang tot een breed scala aan zakelijke en persoonlijke applicaties die aan het account zijn gekoppeld. Social engineering blijft een middel met een hoog rendement voor aanvallers van vandaag - een hulpmiddel dat is geëvolueerd naast de beveiligingstechnologieën die zijn ontworpen om dit te stoppen.
Moderne bedrijven moeten hun werknemers opleiden, hen leren hoe ze de tekenen van mogelijke zwendel kunnen herkennen en waar ze dit kunnen melden. Nu bedrijven elk jaar meer applicaties gebruiken, moeten werknemers nauw samenwerken met hun beveiligingsteams om ervoor te zorgen dat systemen beschermd blijven tegen steeds sluwere aanvallers.
