Social ingenjörskonst är knappast ett nytt begrepp, inte ens i cybersäkerhetsvärlden. Enbart nätfiske-bedrägerier har funnits i nästan 30 år, där angripare konsekvent hittar nya sätt att locka offer att klicka på en länk, ladda ner en fil eller tillhandahålla känslig information.
Business email compromise (BEC) attacker upprepade detta koncept genom att angriparen fick tillgång till ett legitimt e-postkonto och utger sig för att vara dess ägare. Angripare resonerar att offren inte kommer att ifrågasätta ett e-postmeddelande som kommer från en pålitlig källa – och alltför ofta har de rätt.
Men e-post är inte det enda effektiva sättet cyberkriminella använder för att engagera sig i sociala ingenjörsattacker. Moderna företag är beroende av en rad digitala applikationer, från molntjänster och VPN till kommunikationsverktyg och finansiella tjänster. Dessutom är dessa applikationer sammankopplade, så en angripare som kan kompromissa med en kan äventyra andra. Organisationer har inte råd att enbart fokusera på nätfiske och BEC-attacker – inte när Business Application Compromise (BAC) ökar.
Inriktning på enkel inloggning
Företag använder digitala applikationer eftersom de är användbara och bekväma. I en tid av distansarbete behöver anställda tillgång till viktiga verktyg och resurser från en mängd olika platser och enheter. Applikationer kan effektivisera arbetsflöden, öka tillgången till viktig information och göra det lättare för anställda att utföra sina jobb. En enskild avdelning inom en organisation kan använda dussintals applikationer, medangenomsnittligt företag använder mer än 200. Tyvärr känner inte säkerhets- och IT-avdelningarna alltid till – än mindre godkänner – dessa applikationer, vilket gör övervakning till ett problem.
Autentisering är en annan fråga. Att skapa (och komma ihåg) unika användarnamn och lösenordskombinationer kan vara en utmaning för alla som använder dussintals olika appar för att göra sitt jobb. Att använda en lösenordshanterare är en lösning, men det kan vara svårt för IT att tillämpa. Istället effektiviserar många företag sina autentiseringsprocesser genom enkel inloggningslösning (SSO)., som gör att anställda kan logga in på ett godkänt konto en gång för åtkomst till alla anslutna applikationer och tjänster. Men eftersom SSO-tjänster ger användarna enkel tillgång till dussintals (eller till och med hundratals) affärsapplikationer, är de värdefulla mål för angripare. SSO-leverantörer har såklart sina egna säkerhetsfunktioner och möjligheter - men mänskliga fel är fortfarande ett svårt problem att lösa.
Social Engineering, Evolved
Många applikationer – och definitivt de flesta SSO-lösningar – har multifaktorautentisering (MFA). Detta gör det svårare för angripare att kompromissa med ett konto, men det är verkligen inte omöjligt. MFA kan vara irriterande för användare, som kan behöva använda det för att logga in på konton flera gånger om dagen – vilket leder till otålighet och ibland slarv.
Vissa MFA-lösningar kräver att användaren matar in en kod eller visar sitt fingeravtryck. Andra frågar helt enkelt: "Är det här du?" Det senare, även om det är lättare för användaren, ger angripare utrymme att agera. En angripare som redan har fått en uppsättning användaruppgifter kan försöka logga in flera gånger, trots att han vet att kontot är MFA-skyddat. Genom att spamma användarens telefon med MFA-autentiseringsförfrågningar, angripare ökar offrets vakna trötthet. Många offer, efter att ha fått en störtflod av förfrågningar, antar att IT försöker komma åt kontot eller klickar på "godkänn" helt enkelt för att stoppa floden av meddelanden. Människor blir lätt irriterade och angripare använder detta till sin fördel.
På många sätt gör detta BAC lättare att genomföra än BEC. Motståndare som engagerar sig i BAC behöver bara plåga sina offer till att ta ett dåligt beslut. Och genom att rikta in sig på identitets- och SSO-leverantörer kan angripare få tillgång till potentiellt dussintals olika applikationer, inklusive HR- och lönetjänster. Vanligt använda applikationer som Workday nås ofta med SSO, vilket gör att angripare kan engagera sig i aktiviteter som direkta insättningar och lönebedrägerier som kan överföra pengar direkt till sina egna konton.
Den här typen av aktivitet kan lätt gå obemärkt förbi - det är därför det är viktigt att ha verktyg för att identifiera nätverk i nätverket som kan identifiera misstänkt beteende, även från ett auktoriserat användarkonto. Dessutom bör företagen prioritera användningen av phish-resistant Fast Identity Online (FIDO) säkerhetsnycklar
när du använder MFA. Om endast FIDO-faktorer för MFA är orealistiska är det näst bästa att inaktivera e-post, SMS, röst och tidsbaserade engångslösenord (TOTP) till förmån för push-meddelanden, och sedan konfigurera MFA- eller identitetsleverantörspolicyer för att begränsa åtkomsten till hanterade enheter som ett extra lager av säkerhet.
Prioritering av BAC-prevention
Senaste forskning tyder på
att BEC eller BAC taktik används i 51 % av alla incidenter. Även om den är mindre känd än BEC, ger framgångsrik BAC angripare tillgång till ett brett utbud av affärs- och personliga applikationer som är kopplade till kontot. Social ingenjörskonst förblir ett verktyg med hög avkastning för dagens angripare – ett som har utvecklats tillsammans med säkerhetsteknikerna som är utformade för att stoppa det.
Moderna företag måste utbilda sina anställda, lära dem hur man känner igen tecknen på en potentiell bluff och var de ska rapportera det. Med företag som använder fler applikationer varje år måste anställda arbeta hand i hand med sina säkerhetsteam för att hjälpa systemen att förbli skyddade mot allt mer listiga angripare.
