News

DEFCON og sosial manipulasjon

September 25, 2018

Dette var det 26.året for DEF CON – verdens største sikkerhets- og hackekonferanse som årlig holdes i varme Las Vegas. Proppfull av utallige workshops, spesialfokuserte «landsbyer» på de ulike konferanserommene, presentasjoner og begivenheter for læring. DEF CON er ikke minst en arena for å kunne vise frem sine hacking-kunnskaper, og verdens fremste på området samles her. En håndfull cyber-sikkerhetskonsulenter fra Transcendent Group var på plass for videre kompetansebygging og få med seg det nyeste av det nye.

Noe som skilte seg ut fra den moderne «teknologimagien» og nyoppdagede sårbarheter rettet mot biler, industrielle kontrollsystemer og tingenes internett (IoT) var den eldgamle kunsten sosial manipulasjon (social engineering). En av de spesialfokuserte landsbyene på konferansen var dedikert til sosial manipulasjon, hvorav ett av høydepunktene var en konkurranse i sosial manipulasjon.

Konkurransen gikk ut på at deltakerne gjennom sosial manipulasjon skulle samle mest mulig poeng fra utvalgte mål i form av virksomheter i den virkelige verden  så realistisk som mulig, med noen kjøreregler for å holde seg innen lovens grenser. Poengene ble samlet ved å lure virksomhetenes ansatte til å gi fra seg ulike typer informasjon eller få dem til å utføre handlinger som de ellers ikke gjort. Flest poeng kunne innhentes dersom deltakerne klarte å lure en ansatt til å åpne en potensielt ondsinnet Internett-adresse på arbeidsplassens datautstyr – et velkjent angrep som i den virkelige verden benyttes for å stjele brukerinformasjon.

Foran et stort publikum satt deltakerne i en lydisolert bod på scenen og arbeidet iherdig gjennom ringelister til virksomheter, hvorav flere med verdenskjente navn. Telefonsamtalene ble gjennomført med kunnskap deltakerne på forhånd hadde passivt innhentet fra åpne kilder på internett. Det var svært overraskende hvor trivielt og vellykket deltakerne var med å hente ut informasjon, og ikke minst hvordan de i løpet av få minutter kunne lure ansatte til å navigere til mistenkelige nettadresser. Fra tid til annen ble de på andre siden av røret mistenksomme, særlig i de tilfellene konkurransedeltakerne ble overivrige på poenginnsamlingen. Likevel var de fleste i svært stor grad velvillige til å hjelpe og følge enhver forespørsel de mottok.

Dette er en påminnelse om viktigheten av å ikke underestimere de enkleste formene for angrep mot en virksomhet. Folk flest er tilbøyelig for å hjelpe andre, og i motgang kan erfarne angripere raskt bytte taktikk som for eksempel å gi uttrykk for at noe haster, eller utgi seg for å være en autoritetsfigur. Bevæpnet med fritt tilgjengelig informasjon, standhaftighet og en telefon, kan angriperen få tilgangen de ønsker uten å måtte jakte etter tekniske sårbarheter i virksomhetens systemer.

Sosial manipulasjon er fortsatt den foretrukne måten som angripere bruker for å kompromittere sine mål. Angripernes favoritt er for tiden utsendelse av phishing-epost, som benytter sosial manipulasjon for å fremtvinge uforutsette handlinger fra mottakeren.

Dette er noe som er svært vanskelig å overvåke og beskytte seg mot. Man vil imidlertid kunne bedre sin virksomhets motstandsdyktighet gjennom bevisstgjøring, fokus på menneskelig atferd og forbedring av de ansattes evne til å håndtere mistenkelige forespørsler. Dette kan oppnås gjennom regelmessige bevisstgjøringskampanjer og øvelser med variert eksponering av de typiske formene for sosial manipulasjon, og samtidig måle virksomhetens motstandsdyktighet for å forstå aktuell risiko og komme med mottiltak.

Dette er spesielt viktig her i Skandinavia ettersom vi i stor grad har tillit til hverandre, noe som gjør at vi er mye mer tilbøyelige for slike angrep.

Les videre om sosial manipulasjon på DEF CON her

—–

Forfattere: Eirik Bae og Pieter Ruthven

Related news