Sosial engineering er neppe et nytt konsept, selv i en verden av cybersikkerhet. Nettfisking-svindel alene har eksistert i nesten 30 år, og angripere har konsekvent funnet nye måter å lokke ofre til å klikke på en lenke, laste ned en fil eller oppgi sensitiv informasjon.
Business email compromise (BEC)-angrep gjentok dette konseptet ved å la angriperen få tilgang til en legitim e-postkonto og utgi seg for eieren. Angripere mener at ofrene ikke vil stille spørsmål ved en e-post som kommer fra en pålitelig kilde – og altfor ofte har de rett.
Men e-post er ikke det eneste effektive middelet nettkriminelle bruker for å engasjere seg i sosiale ingeniørangrep. Moderne virksomheter er avhengige av en rekke digitale applikasjoner, fra skytjenester og VPN-er til kommunikasjonsverktøy og finansielle tjenester. Dessuten er disse applikasjonene sammenkoblet, så en angriper som kan kompromittere en kan kompromittere andre også. Organisasjoner har ikke råd til å fokusere utelukkende på phishing og BEC-angrep – ikke når business application compromise (BAC) øker.
Målretting mot Single Sign-on
Bedrifter bruker digitale applikasjoner fordi de er nyttige og praktiske. I en tid med fjernarbeid trenger ansatte tilgang til kritiske verktøy og ressurser fra et bredt spekter av lokasjoner og enheter. Applikasjoner kan strømlinjeforme arbeidsflyter, øke tilgangen til kritisk informasjon og gjøre det enklere for ansatte å gjøre jobben sin. En individuell avdeling i en organisasjon kan bruke dusinvis av applikasjoner, mensgjennomsnittlig bedrift bruker mer enn 200. Dessverre vet ikke alltid sikkerhets- og IT-avdelinger om – enn si godkjenner – disse applikasjonene, noe som gjør tilsyn et problem.
Autentisering er et annet problem. Å lage (og huske) unike brukernavn og passordkombinasjoner kan være en utfordring for alle som bruker dusinvis av forskjellige apper for å gjøre jobben sin. Å bruke en passordbehandler er én løsning, men det kan være vanskelig for IT å håndheve. I stedet effektiviserer mange selskaper autentiseringsprosessene sine gjennom enkeltpåloggingsløsninger (SSO)., som lar ansatte logge på en godkjent konto én gang for tilgang til alle tilkoblede applikasjoner og tjenester. Men fordi SSO-tjenester gir brukere enkel tilgang til dusinvis (eller til og med hundrevis) av forretningsapplikasjoner, er de verdifulle mål for angripere. SSO-leverandører har selvfølgelig sine egne sikkerhetsfunksjoner og muligheter - men menneskelige feil er fortsatt et vanskelig problem å løse.
Social Engineering, Evolved
Mange applikasjoner – og absolutt de fleste SSO-løsninger – har multifaktorautentisering (MFA). Dette gjør det vanskeligere for angripere å kompromittere en konto, men det er absolutt ikke umulig. MFA kan være irriterende for brukere, som kanskje må bruke det til å logge på kontoer flere ganger om dagen – noe som fører til utålmodighet og noen ganger uforsiktighet.
Noen MFA-løsninger krever at brukeren legger inn en kode eller viser fingeravtrykket sitt. Andre spør ganske enkelt: "Er dette deg?" Sistnevnte, selv om det er enklere for brukeren, gir angripere rom til å operere. En angriper som allerede har fått et sett med brukerlegitimasjon, kan prøve å logge på flere ganger, til tross for at han vet at kontoen er MFA-beskyttet. Ved å spamme brukerens telefon med MFA-autentiseringsforespørsler, angripere øker offerets våkentretthet. Mange ofre, etter å ha mottatt en flom av forespørsler, antar at IT prøver å få tilgang til kontoen eller klikker på "godkjenn" ganske enkelt for å stoppe flom av varsler. Folk blir lett irriterte, og angripere bruker dette til sin fordel.
På mange måter gjør dette BAC enklere å gjennomføre enn BEC. Motstandere som engasjerer seg i BAC trenger bare å plage ofrene sine til å ta en dårlig avgjørelse. Og ved å målrette identitets- og SSO-leverandører kan angripere få tilgang til potensielt dusinvis av forskjellige applikasjoner, inkludert HR- og lønnstjenester. Vanlige applikasjoner som Workday er ofte tilgjengelige ved hjelp av SSO, slik at angripere kan delta i aktiviteter som direkte innskudd og lønnssvindel som kan overføre midler direkte inn på deres egne kontoer.
Denne typen aktivitet kan lett gå ubemerket hen – det er derfor det er viktig å ha i nettverksdeteksjonsverktøy på plass som kan identifisere mistenkelig oppførsel, selv fra en autorisert brukerkonto. I tillegg bør virksomheter prioritere bruk av phish-resistente Fast Identity Online (FIDO) sikkerhetsnøkler
når du bruker MFA. Hvis bare FIDO-faktorer for MFA er urealistiske, er det nest beste å deaktivere e-post, SMS, tale og tidsbaserte engangspassord (TOTP) til fordel for push-varsler, og deretter konfigurere MFA- eller identitetsleverandørpolicyer for å begrense tilgangen til administrerte enheter som et ekstra lag med sikkerhet.
Prioritering av BAC-forebygging
Nylig forskning tyder på
at BEC eller BAC taktikk brukes i 51 % av alle hendelser. Selv om den er mindre kjent enn BEC, gir vellykket BAC angripere tilgang til et bredt spekter av forretnings- og personlige applikasjoner knyttet til kontoen. Sosial engineering er fortsatt et verktøy med høy avkastning for dagens angripere – et som har utviklet seg sammen med sikkerhetsteknologiene designet for å stoppe det.
Moderne virksomheter må utdanne sine ansatte, lære dem hvordan de kan gjenkjenne tegnene på en potensiell svindel og hvor de skal rapportere det. Med bedrifter som bruker flere applikasjoner hvert år, må ansatte jobbe hånd i hånd med sikkerhetsteamene sine for å hjelpe systemene med å forbli beskyttet mot stadig mer utspekulerte angripere.
