Baiting: Hoe Cybercriminelen de menselijke natuur uitbuiten

Baiting verwijst naar een social engineering-tactiek waarbij iets verleidelijks wordt beloofd om een werknemer in een val te lokken die uiteindelijk het netwerk van het bedrijf zou kunnen infecteren of gevoelige informatie zou kunnen stelen. Baiting kan worden gebruikt als een tactiek voor een verscheidenheid van aanvallen, zowel online als offline.

Online berust een groot deel van phishing en het compromitteren van zakelijke e-mail op baiting, waarbij volgens recente schattingen 50% van de werknemers op niet-geverifieerde links in e-mails klikt.[1] Offline staat een van de schadelijkste vormen van baiting bekend als de "USB drop", waarbij flashdrives met kwaadaardige payloads in de handen van nietsvermoedende werknemers worden gebracht. Uit een goed gedocumenteerde studie bleek dat ongeveer de helft van de mensen die een achtergelaten USB-drive ontdekten, die drive later in een apparaat plugden.[2]

De verschuiving naar werken op afstand in de afgelopen paar jaar heeft ertoe geleid dat de beveiligingsgemeenschap zich meer is gaan richten op de verdediging tegen online social engineering-aanvallen. Het zou echter een vergissing zijn om de fysieke beveiliging te negeren.

Criminelen zijn behendig en passen hun tactiek aan aan wat hun de beste kansen op succes biedt. Naarmate de beveiligingsgemeenschap zich meer gaat richten op het versterken van de verdediging tegen online aanvallen, zullen fysieke aanvallen waarschijnlijk een aantrekkelijker aanvalsvector worden. In een recent rapport van de FBI wordt er zelfs voor gewaarschuwd dat "malware by mail"-exploits weer in opkomst zijn, waarbij kwaadaardige USB-drives via de post worden verstuurd.[3]

Baiting Trap # 1: Uitoefenen van autoriteit

Als je wilt begrijpen waarom social engineering tactieken zo effectief zijn, lees dan Dr. Robert Cialdini's boek Influence.[4] Daarin schetst hij zes principes van invloed die van toepassing zijn op verkoop, religieuze sektes en social engineering. Een van de krachtigere beïnvloedingstactieken is het vertrouwen op autoriteit. Autoriteit kan worden gebruikt door macht (zoals in wettelijke autoriteit), door deskundigheid (zoals in technische ondersteuning) of door legitimiteit te vestigen (door een "officieel" voorkomen te projecteren).

Het voorwendsel van autoriteit is te zien in phishing-e-mails die zich voordoen als overheidsinstanties, zoals de belastingdienst of de FBI. Een crimineel kan ook in de fysieke wereld zijn legitimiteit vestigen door een sticker met een bedrijfslogo op een USB-apparaat te plakken en die vervolgens op een plaats te droppen waar de kans groot is dat werknemers hem ontdekken, bijvoorbeeld op een parkeerplaats van het bedrijf. Als die crimineel een paar extra dollars uitgeeft voor een duur uitziende lasergravure, zullen de kansen op succes enorm toenemen.

Lokaasval #2: Goodwill jacht

In de eerder genoemde studie plugden de meeste mensen die USB-drives vonden, deze in omdat ze ze wilden teruggeven aan de eigenaars. Wanneer een set sleutels aan de USB-drives werd bevestigd, nam het aantal plugins aanzienlijk toe. Het meest geopende bestand had als label "Resume", dat de respondenten vermoedelijk openden om contactinformatie voor de eigenaar te vinden.

Helaas maakt deze social engineering-tactiek misbruik van de altruïstische wens om te helpen door er een aanvalsvector van te maken. Dit verlangen om anderen te helpen kan op andere manieren worden gebruikt, zoals het vasthouden van verschillende grote pakketten en hulp vragen aan een werknemer om een deur te openen als een techniek om een beperkt gebied binnen te dringen. De online parallel hiermee zou kunnen zijn dat men zich voordoet als een online liefdadigheidsinstelling om donaties van nietsvermoedende mensen te ontvangen.[5]

Lokaasval #3: De verleiding van Mysterie

Een goed mysterie is moeilijk te negeren. In een ander boek bespreekt Dr. Cialdini drie "magnetiseurs" die sociale beïnvloedingstactieken versterken: het mysterieuze, het onvoltooide en het zelf-relevante.[6] Deze magnetiseurs kunnen de waarschijnlijkheid dat een social engineering poging succesvol zal zijn aanzienlijk verhogen, ongeacht de gebruikte tactiek.

Mijn eigen onderzoek naar phishing-gevoeligheid heeft uitgewezen dat het opnemen van een mysterieuze component in gesimuleerde phishing-berichten het aantal kliks aanzienlijk verhoogt.[7] Uit het onderzoek naar weggegooide USB's bleek dat een map met het label "Winter Break Photos" het vaakst werd geopend, na "Resume". Hoewel mensen de eigenaar wilden identificeren om de USB terug te geven, waren ze ook nieuwsgierig en wilden ze snuffelen. Een label met de titel "Employee Payroll" op een weggegooide USB zal zelfs de meest veiligheidsbewuste werknemer in de verleiding brengen.

Werknemers leren om zwendel te vermijden

Door gebruik te maken van sociale beïnvloedingstactieken om legitimiteit te vestigen, een beroep te doen op de wens om te helpen, of de nieuwsgierigheid van een werknemer te wekken, kan een kwaadwillende zijn kansen op succes drastisch verhogen. Volgens recent Mimecast-onderzoek is er de afgelopen jaren een trend in de richting van minder in-person training. Beveiligingspersoneel zou (indien mogelijk) een aantal in-person trainingen moeten opnemen met discussie over de risico's die niet alleen verbonden zijn aan phishing, maar ook aan het aansluiten van USB-apparaten op machines die eigendom zijn van de organisatie. Deze trainingen zijn het meest nuttig als ze voorbeelden bevatten van tactieken die door criminelen worden gebruikt (bedrijfslogo's, verleidelijke labels, autosleutels bevestigd aan de drive) om werknemers te verleiden USB drives aan te sluiten op bedrijfsmachines.

Een ander belangrijk punt van de bewustmakingstraining moet zijn werknemers te informeren over wat ze moeten doen als ze een USB-apparaat of een soortgelijk apparaat vinden. Moeten ze het aan de afdeling informatiebeveiliging geven? Moeten ze het inleveren bij Gevonden Voorwerpen? Als een USB-stick moet worden ingeleverd bij een niet-informatiebeveiligingsafdeling, dan moeten extra voorzorgsmaatregelen worden genomen om ervoor te zorgen dat de ontvangende afdeling het gevonden apparaat niet aansluit op een werkmachine.

Technologie gebruiken om baiting-aanvallen te voorkomen

Technologie kan ook helpen om online en offline baiting te voorkomen, en de stappen omvatten:

• Online: Gebruik impersonatiebeveiliging om kwaadwillende actoren van buiten uw organisatie te blokkeren die zich proberen voor te doen als werknemers. Het is ook belangrijk om medewerkers te beschermen tegen schadelijke acties wanneer ze te maken krijgen met online baiting-aanvallen zoals phishing.
• Offline: Schakel waar mogelijk USB-poorten uit op productiemachines. Schakel als alternatief de autorun-functie uit, waarmee Windows automatisch programma's vanaf media-apparaten kan starten.[8]

De kern van de zaak

Werknemers helpen criminelen vaak onbewust bij het verkrijgen van toegang tot bedrijfsmiddelen door zich meegaand, behulpzaam of nieuwsgierig op te stellen. Leer werknemers hoe ze kunnen voorkomen dat ze worden misleid. Naast het uitvoeren van phishing simulaties als training, kunt u overwegen om "USB drops" op te nemen in uw bewustwordings trainingsprogramma. Als uw bedrijf externe werknemers in dienst heeft, kunt u overwegen hen nep-USB-drives per post te sturen, om te leren hoe ze worden behandeld. De tactieken van criminelen veranderen voortdurend. De beste tegenmaatregel is het behouden van een open communicatiekanaal tussen werknemers en beveiligingsafdelingen.

[1] "Phishing for Long Tails," Organizational Cybersecurity

[2] "Gebruikers pluggen echt USB-sticks in die ze vinden," IEEE Symposium on Security and Privacy

[3] "FBI Warns Cybercriminals Have Try to Hack U.S. Firms by Mailing Malicious USB Drives," CNN

[4] Invloed , Harper Business

[5] "Liefdadigheidsfraude: Hoe oplichting te voorkomen en verstandig te geven," Security Boulevard

[6] Pre-Suasion , Simon & Schuster

[7] Canham, Dawkins en Jacobs (manuscript wordt momenteel herzien)

[8] "Hoe kan ik autorun uitschakelen," Microsoft