Sosial manipulering: vårt råd for vellykket bevisstgjøring

Teorien bak sosial manipulering (social engineering) ble utviklet av den amerikanske hackeren og sikkerhetskonsulenten Kevin Mitnick og popularisert tidlig på 2000-tallet. Formålet med sosial manipulering er å utnytte menneskelige feil for å omgå fastlagte prosesser for egen vinnings skyld. I de fleste tilfeller dreier det seg om penger. Manipuleringen kan ta forskjellige former som er mer eller mindre belastende.

Metodene for sosial manipulering er mange og blir stadig mer sofistikerte. De kan utnytte helt forskjellige vektorer, men fellesnevneren er at den «ondsinnede» handlingen utføres av en uskyldig tredjepart. Blant de mest kjente metodene har vi følgende:

Spear-phishing: Målrettet phishing i form av en e-post med elementer som er laget for å vekke mottakerens interesse, slik at sjansene øker for at denne skal utføre den ønskede handlingen. I motsetning til store phishingkampanjer sendes meldingene kun til en bestemt målgruppe som er analysert og valgt ut på forhånd.

Direktørsvindel: Kriminelle utgir seg for å være en høytstående person gjennom telefonsamtaler og/eller e-post for å skaffe seg penger, som de gjerne ber om å få overført til en bankkonto. Teknikkene som brukes ved slik direktørsvindel, er i stadig utvikling. Det er særlig verdt å merke seg såkalt deepfake, en teknikk som gjør bruk av kunstig intelligens for å imitere personer på en realistisk måte. I september 2019 rapporterte den franske avisen Le Monde om et britisk selskap i energisektoren som hadde «blitt frastjålet 220.000 Euro på grunn av en syntetisk stemme generert ved hjelp av kunstig intelligens». Enkel tilgjengeligheten til denne typen teknologi og den raske utviklingen på området betyr at vi må forvente at disse metodene blir vanligere i tiden fremover.

Phone phishing, er en av de mange teknikkene for sosial manipulering som brukes. Her er det altså telefonen som er angrepsvektoren.

Alle selskaper og enkeltpersoner kan bli offer for denne typen svindel: De fleste selskapene vi hjelper, har allerede vært utsatt for direkte angrep på de ansatte (særlig i form av phishing). Hackere prøver å utnytte mekanismer i den menneskelige psyken. Målet blir derfor å få på plass tekniske og organisatoriske virkemidler som gjør det mulig å unngå, eller i alle fall begrense konsekvensene av, en slik utnyttelse. Som med alle systemer må prosedyrer og verktøy, bevisstgjøring og opplæring testes for å evaluere hvorvidt tiltakene som er iverksatt, er relevante og hvilken beskyttelse investeringene faktisk gir.

Vi utfører sosial manipulasjon på oppdrag for kundene. Målet er å teste, via simulerte telefonøvelser, hvor robuste de ulike strukturene er når de blir stilt ovenfor denne typen angrep, samt å øke bevisstheten hos de ansatte ved å vise at de risikerer å bli utsatt for angrep.

Etablere rammeverket

Grundige forberedelser er svært viktig hvis man skal lykkes med oppdrag som dreier seg om sosial manipulering. I motsetning til penetrasjonstesting eller fysisk revisjon, som kun dreier seg om det tekniske, er det overordnede målet med slike oppdrag å utnytte tilliten til en intetanende tredjepart og bruke psykologiske virkemidler for å få dem til å utføre handlinger som kan skade selskapet der de er ansatt.

Oppdraget må derfor håndteres med omhu for å unngå å skape negative reaksjoner eller tap av de ansattes tillit til ledelsen. I det følgende vil vi gå nærmere inn på en del punkter som må håndteres før oppringningene kan starte.

Involvere personalavdelingen og representanter for de ansatte

En dårlig utført øvelse av denne typen kan oppleves som et forsøk på å presse de ansatte til bristepunktet. Det er viktig å involvere alle aktører som kan bidra til å redusere potensielle spenninger, gi dem tid til å forberede egnet kommunikasjon og skaffe til veie kontekstuelle elementer som gjør det mulig å fastsette hensiktsmessige rammer for øvelsen.

Vektlegg anonymitet

Med unntak av noen spesialtilfeller vil det lønne seg å anonymisere resultatanalysene.

Forbered kommunikasjonen

Når bevisstgjøringskampanjen er fullført, kommer de ansatte til å stille spørsmål. Det er derfor viktig å forberede kommunikasjon som kan berolige dem.

Definere målgruppen

Det sier seg selv at phishing per telefon ikke kan utføres uten å ha et visst antall telefonnummer å ringe til. Dere kan imidlertid vurdere nummerlistens relevans opp mot formålet med kampanjen. Utvalget må gjøres ut fra følgende kriterier:

• Formålet med kampanjen: Er det for å teste hvor robust et nyervervet datterselskap er? Eller for å konsolidere styringsindikatorer?
• Hva ønsker vi å beskytte: Er målet å beskytte immaterielle eiendeler (forskning og utvikling)? Vil vi hindre at en angriper henter ut for mye informasjon?
• Det sosiale miljøet: På hvilke fysiske steder skal øvelsen gjennomføres? I hvilke avdelinger?

Definer suksessfaktorene

Innenfor rammene av et oppdrag knyttet til sosial manipulering er det ikke enkelt å definere og dokumentere om angrepet faktisk har fungert. Dere må derfor peke på de forventede bevisene, men også på hvilke grenser som ikke skal overskrides, for eksempel at dere ikke skal etterligne virkelige personer eller be om at det gjøres endringer i programvare som er under produksjon.

Definer en deaktiveringsprosess

Hvis det er én ting som krever omhyggelige forberedelser, er det deaktiveringen. En prosess for å begrense konsekvensene (i nødstilfeller og klassiske tilfeller) for de ansatte og produksjonen må utarbeides. Denne prosessen vil bli brukt:

• hvis en ansatt mistenker at samtalen er et forsøk på bestikkelser og kan komme til å varsle om det
• hvis scenarioet utløser en nød- eller kriseprosedyre
• hvis målpersonen sannsynligvis kommer til å rapportere samtalen, og andre kolleger i nærheten av ham/henne også skal testes
• hvis samtalen utilsiktet kan komme til å påvirke produksjonen eller aktiviteten for øvrig
• hvis en ansatt personlig opplever samtalen som ubehagelig
• hvis det oppdages en risiko som kan få konsekvenser for oppdraget, kunden eller enkeltpersonen

Prosedyren må minst omfatte følgende:

• en kontakt som kan ringes direkte, og om mulig et alternativt nummer
• en måte å spore handlingen på
• en kommunikasjonsmåte for informasjonen som kreves for deaktivering (målpersonens identitet, potensielle konsekvenser osv.)

Beskytte og forbedre seg

Ved å gjennomføre disse ulike oppdragstypene blir vi i stand til å peke på svakheter som må utbedres, samt bedre veilede ansatte som sannsynligvis vil være mål for denne typen angrep. Vi skiller mellom to hovedtyper av beskyttelse som bør implementeres. For det første bør eksisterende prosedyrer styrkes.

Ved å implementere prosedyrer kan vi styre operatørenes reaksjoner og dermed blokkere de tankefellene (kognitiv bias) de normalt ville vært påvirket av. En handlingsplan må deretter implementeres for å utbedre sikkerhetsproblemene eller de svake punktene som er avdekket. Slik kan økt bevissthet om hvilke grupper som er utsatt, og enkle beskyttelsestiltak bidra til å avverge angrep. Konkret kan dette innebære følgende:

• å være på vakt mot hasteforespørsler og ikke gjøre unntak fra de vanlige prosedyrene
• å sjekke identiteten til den man er i kontakt med
• å kun bruke vanlige kommunikasjonskanaler (telefonnumre, e-postadresser)
• å kontrollere tekniske elementer (særlig domenenavn)

Hvem som helst kan bli offer for phishing, i offentlig eller privat sammenheng. Å bli lurt av phishing er ikke et tegn på svakhet, men alle systemer kan angripes bare angriperen er grundig og utholdende nok. Det er derfor viktig at selskapene tar hensyn til denne trusselen som en separat risikofaktor og arbeider for å styrke sikkerheten gjennom regelmessige bevisstgjøringstiltak eller oppdrag som dem som er skissert ovenfor.