Inleiding
In zijn boek “The Art of Deception” legde de populaire hacker Kevin Mitnick de kracht uit van social engineering-technieken . Tegenwoordig zijn we ons ervan bewust dat social engineering kan worden gecombineerd met hacking om verraderlijke aanvallen mogelijk te maken.
Laten we bijvoorbeeld eens kijken naar sociale media en mobiele platforms; het zijn krachtige aanvalsvectoren voor verschillende categorieën bedreigingsactoren, omdat ze maken het mogelijk om onmiddellijk een groot publiek te raken.
De meeste aanvallen waarbij beide paradigma’s worden misbruikt, zijn effectief omdat ze gebruikmaken van het concept van “vertrouwen” waarop sociale netwerken zijn gebouwd.
Laten we eens goed kijken naar de meest voorkomende social engineering-aanvallen die worden gebruikt om gebruikers te targeten.
Phishing
Phishing-aanvallen zijn het meest voorkomende type aanvallen waarbij gebruik wordt gemaakt van social engineering-technieken. Aanvallers gebruiken e-mails, sociale media, instant messaging en sms om slachtoffers te misleiden om gevoelige informatie te verstrekken of kwaadaardige URL’s te bezoeken in een poging hun systemen in gevaar te brengen.
Phishingaanvallen vertonen de volgende gemeenschappelijke kenmerken:
- Berichten zijn samengesteld om de aandacht van de gebruiker te trekken, in veel gevallen om zijn nieuwsgierigheid te prikkelen door een paar stukjes informatie over een specifiek onderwerp te geven en de slachtoffers te suggereren een specifieke website te bezoeken voor meer informatie.
- Phishing-berichten gericht op het verzamelen van gebruikersinformatie geven een gevoel van urgentie weer. Dit is een poging om het slachtoffer te misleiden tot het vrijgeven van gevoelige gegevens om een situatie op te lossen die zou kunnen verergeren zonder tussenkomst van het slachtoffer.
- Aanvallers gebruiken verkorte URL’s of ingesloten links om slachtoffers om te leiden naar een kwaadaardig domein dat exploitcodes kan hosten of dat een kloon kan zijn van legitieme websites met URL’s die legitiem lijken. In veel gevallen zijn de daadwerkelijke link en de visuele link in de e-mail verschillend; de hyperlink in de e-mail verwijst bijvoorbeeld niet naar dezelfde locatie als de schijnbare hyperlink die aan de gebruikers wordt getoond.
- Phishing-e-mailberichten hebben een misleidende onderwerpregel om te verleiden de ontvanger om te geloven dat de e-mail afkomstig is van een vertrouwde bron. Aanvallers gebruiken een vervalst afzenderadres of de vervalste identiteit van de organisatie. Ze kopiëren meestal inhoud zoals teksten, logo’s, afbeeldingen en stijlen die op de legitieme website worden gebruikt om deze er echt uit te laten zien.
Watering hole
Een watering hole-aanval bestaat uit het injecteren van kwaadaardige code in de openbare webpagina’s van een site die de doelwitten bezochten. De injectiemethode is niet nieuw en wordt veel gebruikt door cybercriminelen en hackers. De aanvallers compromitteren websites binnen een specifieke sector die normaal worden bezocht door specifieke personen die voor de aanvallen van belang zijn.
Zodra een slachtoffer de pagina op de gecompromitteerde website bezoekt, wordt een trojan op de achterdeur op zijn computer geïnstalleerd. Een aanvalsmethode is heel gebruikelijk bij cyberspionageoperaties of door de staat gesponsorde aanvallen.
Het is een algemene overtuiging dat dit type aanval verband houdt met door de staat gesponsorde offensieven. De keuze van de te compromitteren website, het bestuderen van de gewoonten van het slachtoffer en het aannemen van een efficiënte exploitcode zijn stappen die een aanzienlijke inspanning vergen in de voorbereidingsfase van de aanval.
De efficiëntie van watering hole-aanvallen neemt toe. met het gebruik van zero-day exploits die de software van het slachtoffer aantasten. In dit geval hebben slachtoffers geen manier om hun systemen te beschermen tegen de verspreiding van malware.
Walvisvangst
Walvisvangst is een andere evolutie van phishingaanvallen waarbij geavanceerde social engineering-technieken worden gebruikt om vertrouwelijke informatie te stelen. , persoonlijke gegevens, toegangsreferenties tot beperkte diensten / bronnen en, in het bijzonder, informatie met relevante waarde vanuit een economisch en commercieel perspectief.
Wat deze categorie van phishing onderscheidt van andere, is de keuze van doelen: relevante leidinggevenden van particuliere bedrijven en overheidsinstanties. Het woord walvisjacht wordt gebruikt om aan te geven dat het doelwit een groot doelwit is om te vangen.
De walvisvangst gebruikt dezelfde methoden voor spearphishing-aanvallen. De zwendel-e-mail is bedoeld om zich voor te doen als een kritieke zakelijke e-mail die wordt verzonden door een legitieme autoriteit, meestal door relevante leidinggevenden van belangrijke organisaties. Doorgaans is de inhoud van het verzonden bericht bedoeld voor het hogere management en rapporteert het een soort nepbedrijfsbrede bezorgdheid of zeer vertrouwelijke informatie.
Pretexting
De term pretexting duidt op de praktijk van zich voordoen als iemand anders om persoonlijke informatie te verkrijgen. Aanvallers creëren gewoonlijk een valse identiteit en gebruiken deze om de ontvangst van informatie te manipuleren.
Aanvallers die deze specifieke social engineering-techniek gebruiken, nemen verschillende identiteiten aan die ze hebben gecreëerd.Deze slechte gewoonte zou hun operaties kunnen blootstellen aan de onderzoeken die worden uitgevoerd door beveiligingsexperts en wetshandhavers.
Het succes van de voorwendingsaanval doet alsof de aanvaller vertrouwen opbouwt.
Meest geavanceerd vormen van voorwendselaanvallen proberen de slachtoffers te manipuleren om een actie uit te voeren die een aanvaller in staat stelt een storingspunt binnen een organisatie te ontdekken en te misbruiken.
Een aanvaller kan zich voordoen als een externe IT-serviceprovider om intern personeel om informatie die toegang tot systemen binnen de organisatie mogelijk maakt.
Baiting and quid pro quo-aanvallen
Een andere social engineering-techniek is het lokken dat de nieuwsgierigheid van de mens uitbuit. Baiting wordt soms verward met andere social engineering-aanvallen. Het belangrijkste kenmerk is de belofte van goederen die hackers gebruiken om de slachtoffers te misleiden.
Een klassiek voorbeeld is een aanvalsscenario waarin aanvallers een kwaadaardig bestand gebruiken dat is vermomd als software-update of als generieke software. Een aanvaller kan ook een lokaanval in de fysieke wereld aandrijven, bijvoorbeeld door geïnfecteerde USB-tokens te verspreiden op de parkeerplaats van een doelorganisatie en te wachten tot intern personeel ze in bedrijfs-pc’s plaatst.
De malware die is geïnstalleerd op de USB-tokens zullen de pc’s in gevaar brengen en de volledige controle krijgen die nodig is voor de aanvallen.
Een tegenprestatie-aanval (ook bekend als ‘iets voor iets’-aanval) is een variant van lokken. In plaats van een doelwit te lokken met de belofte van een goed, een tegenprestatie-aanval belooft een dienst of voordeel op basis van de uitvoering van een specifieke actie.
In een tegenprestatie-aanvalsscenario biedt de hacker in ruil een dienst of voordeel aan voor informatie of toegang.
De meest voorkomende tegenaanval vindt plaats wanneer een hacker zich voordoet als een IT-medewerker van een grote organisatie. Die hacker probeert via de telefoon contact op te nemen met de medewerkers van de doelorganisatie en biedt hen vervolgens een soort van upgrade of software-installatie.
Ze kunnen nodig zijn eerste slachtoffers om de operatie te vergemakkelijken door de AV-software tijdelijk uit te schakelen om de kwaadaardige applicatie te installeren.
Bumperkleven
De bumperklevende aanval, ook wel bekend als ‘meeliften’, betreft een aanvaller die toegang zoekt tot een afgeschermd gebied dat niet de juiste authenticatie heeft.
De aanvaller kan gewoon achter een persoon lopen die bevoegd is om het gebied te betreden. In een typisch aanvalsscenario doet een persoon zich voor als een bezorger die vol zit met pakketten en wacht tot een medewerker de deur opent. De aanvaller vraagt de medewerker de deur vast te houden en de aanwezige beveiligingsmaatregelen te omzeilen (bijv. Elektronische toegangscontrole).
Lees meer over social engineering-aanvallen
10 meest voorkomende phishing-aanvallen
5 Social engineering bedreigingen voor de privacy van werknemers
Spear-phishing en walvisvangst
Bronnen
5 Social engineering Aanvallen om op te letten, de staat van veiligheid
Qingxiong Ma, “Het proces en de kenmerken van phishingaanvallen: een casestudy van een kleine internationale handelsonderneming”, Journal of Technology Research
De Social Engineering Framework, beveiliging door middel van onderwijs
Social engineering: Quid Pro Quo-aanvallen, LinkedIn
Social engineering: wat is Tailgating ?, Mailfence