Social Engineering 2.0 - når hacking bliver social og virksomhedsorienteret

Organiserede kriminelle, og for den sags skyld danske og udenlandske efterretningstjenester, udviser i øjeblikket stor interesse for at rekruttere kvalificerede hackere, som er i stand til at suge data ud af organisationer og virksomheder. Værktøjskassen spænder efterhånden vidt: Fra sociale tricks, som har været kendt i årtier, til avancerede netværksanalyser af ansattes Facebook-aktiviteter med mange indsamlede data.

En mand i arbejdstøj med en kost i hånden eller en luftkaptajn i fuld uniform kan få adgang til mere end de fleste. En webserver kan indeholde adresselister på de ansatte og give adgang til en skybaseret printservice til firmaadgangskort. Et gammelt psykologisk profileringsværktøj til jobansættelser kan genbruges til at udføre avancerede netværksanalyser på sociale medier, så det bliver nemmere at udpege de ansatte i organisationen, som er de letteste ofre for phishing-angreb.

Den brede og multidisciplinære tendens har selvfølgelig fået prædikatet Social Engineering 2.0. Og der var mange indblik i emnet på en nylig konference hos DBI, Dansk Brand- og Sikringsteknisk Institut, arrangeret af CFIR, Copenhagen Fintech Innovation and Research.

Den ansatte får skylden

Hos TDC, en af landets største it-funderede virksomheder, ser man med bekymring på de økonomiske omkostninger, der er forbundet med at passe godt på virksomhedsdata, men også på det nødvendige i at have dokumentationen i orden, så ansatte i hackerramte virksomheder ikke uforvarende kommer under mistanke:

– Vi kommer til at se en sag i de kommende år, hvor en virksomhed eller en organisation vil placere skylden på en medarbejder og kræve kompensation, advarede strategichef Mathias Lysholm Faaborg fra TDC.

Han efterlyste politisk interesse for problemstillingen og konstaterede, at samfundet og virksomheder er langt tilbage, når det handler om at kunne håndtere den slags sårbarheder.

– I 2014 blev der udnyttet sårbarheder, som allerede var offentliggjort i 2007. I Kastrup Lufthavn findes der systemer, som stadig kører under Windows XP, sagde han med henvisning til den it-sikkerhedsmæssige langsommelighed, som er karakteristisk for især mindre danske virksomheder i Danmark.  

Ansattes data mangler sikkerhed

Og når det gælder virksomheder og organisationer, der arbejder med kritisk infrastruktur i Danmark, står det heller ikke imponerende godt til. Også her er teknikkerne fra Social Engineering 2.0 ofte brugbare til at kompromittere ansatte og deres data og personlige informationer.

Det dokumenterede Dennis Hansen, konsulent og forsker hos DBI, der i 2015 gennemførte et otte måneder langt eksplorativt projekt, som omfattede 185 forskellige og ofte vellykkede angreb på tre udvalgte virksomheder, der arbejder inden for kritisk infrastruktur.

Dennis Hansen har specialiseret sig i Open Source Intelligence (OSINT) - informationsindhentning, som baserer sig på åbne kilder, og han er selv overrasket over dagens muligheder via internettet:

– Mens jeg børstede tænder i morges, satte jeg et lille script i gang med at finde e-mailadresser på NATOs internetdomæne. På fem minutter crawlede det 400 websites og fandt 130 e-mailadresser. 90 procent af e-mailadresserne var personlige og dermed velvalgte mål for phishing-angreb, konstaterede han under konferencen.

At udpege de ansatte i de tre angrebne virksomheder var ifølge forskeren den nemmeste del af projektet.

– De var lette at finde, og så lavede vi en profilering af medarbejdernes sociale medieprofiler. Det lyder komplekst, men vi anvendte en quick and dirty approach, vi imiterede hackere med få ressourcer, sagde Dennis Hansen.

Det skete ved at se på indholdet af de indlæg, som ansatte lagde på Facebook og andre sociale medier.

Neurotikere i farezonen

Forskerne identificerede ansatte med åbne konti og kategoriserede indholdet efter den såkaldte fem-faktor-model, som ofte anvendes til at undersøge ansattes psykologiske profil ved ansættelsesforløb.

– Nogle mennesker falder nemmere for phishing attacks, og det hænger blandt andet sammen med, hvilke personlighedstræk de har. Eksempelvis har mennesker med neurotiske tilbøjeligheder en tendens til at klikke på mere af det materiale, de modtager, end andre. Vi så også på, i hvilket omfang brugerne delte links og andet materiale ud fra den viden, at jo mere du selv deler, jo mere er du tilbøjelig til at klikke på noget, du får tilsendt, sagde Dennis Hansen under konferencen.

Projektet anvendte en blanding af en række teknikker til at identificere og udvælge medarbejdere som angrebsmål. Man så på barrierer for accept, man analyserede relationerne mellem de ansatte ved at se på, hvem der kommunikere med hvem, og anvendte to stykker software (Maltego og Foca) til analyse af de metadata, som knyttede sig til de tre virksomheder.

Data blev indsamlet. E-mailadresser, telefonnumre, sociale medie-konti, de ansattes status i organisationen, popularitet, den enkelte ansattes forbindelse til kolleger, særlige roller og funktioner i organisationen.

Selvom projektet foregik med eksplicitte etiske regler, som indebar begrænsninger i angrebsmulighederne - eksempelvis måtte medarbejdernes egne devices som smartphones ikke angribes, og malware-angreb var også no go - var der mange åbne døre.

– På en af virksomhederne identificerede vi et vigtigt databasesystem. Vi fandt en guide til det og en webformular i virksomheden, som vi kunne anvende. Vi sendte en e-mail til ansatte og bad dem om at logge på via webformularen. På den måde skaffede vi os adgang til brugernavne og password, konstaterede Dennis Hansen.


Læs også...

Millioner af udviklere verden over bruger hver dag JavaScript – men hvorfor er programmeringssproget blevet så populært? PROSAbladet har talt med…

Et nyt projekt indsamler danske stemmer for at sikre, at AI-løsninger fremover også kan tale med dialekter. Du kan også donere din stemme, skriver DR.…

I dag lever Andreas Green Rasmussen af at finde dygtige iværksættere, han kan investere i. Men han har også selv flere startups på CV'et – og han ved,…

Ugly Duckling Ventures er en dansk venturefond, der håber at finde de startups, som bliver store milliardforretninger. Men hvad er en venturefond…

Der findes et hav af muligheder, når du som iværksætter skal finde finansiering til din startup. PROSAbladet guider dig til otte steder, hvor du kan…

Tech-giganterne er stadig i front, når it-studerende skal rangere populære arbejdspladser. Til gengæld har de store konsulenthuse taget et stort dyk…

Nye løsninger, en fælles dataplatform og et digitalt innovationscenter. Det er tre af hovedpunkterne i regeringens nye udspil, der skal sætte skub…

I den lille, amerikanske by Granbury i Texas summer en bitcoin-mine så meget, at borgerne i byen bliver syge.

Aktivisme er et vanvittigt godt ord til at beskrive rigtigt meget af det, der sker i underskoven af it og tech. Aktivisme er aktivt at deltage. At…

Når teknologien ikke virker, eller vi mennesker skal lære nye systemer at kende, kan det skabe stress. En gruppe forskere fra Roskilde Universitet har…