Hackarens guide för att säkra din organisation

När någon berättar information om sig själv, vad brukar du göra? Återgälda! Det är den mänskliga naturen. Hackare erbjuder något av värde för andra, oavsett om det är information, hjälp eller en tjänst, och detta kan öka sannolikheten för att deras mål kommer att vara ömsesidiga till deras förfrågningar och berätta information om sig själva eller sin organisation, till exempel. Om jag behöver veta vilket operativsystem (OS) du använder för att skräddarsy min skadliga programvara för din maskin, kan jag erbjuda det operativsystem jag "använder" för att uppmuntra dig att avslöja detaljerna jag behöver när jag hackar.

Vi tenderar att se till andra för vägledning när vi fattar beslut. I grunden betyder detta att vi är mer benägna att vidta vissa åtgärder om vi ser andra, särskilt människor som vi, göra detsamma.

Genom att utge sig för att vara ansedda individer eller organisationer ingjuter hackare en falsk känsla av förtroende, vilket gör socialt bevis till en effektiv teknik för att manipulera mål till att dela känslig information eller delta i riskfyllda handlingar.

Hackare som lyckas övertyga oss om att "alla gör det" använder sociala bevis för att påverka vårt beslutsfattande.

Människor gillar att vara konsekventa och hålla sina åtaganden, särskilt om vi har gjort dem offentligt eller delat dem med andra. Människor är i grunden "allergiska mot att vara besvärliga" - om vi har gett ett åtagande till någon eller gjort ett val att lita på någon, är det mer troligt att vi än inte håller fast vid det tidigare valet.

Hackare kommer att försöka övertyga sina mål att engagera sig i små handlingar eller uttalanden som är i linje med deras slutliga mål, för att öka sannolikheten för att offret följer upp begäran. När en bedragare ser engagemang kommer de ofta att eskalera sina förfrågningar, vilket leder till mer betydande kompromisser.

Människor är mer benägna att säga "ja" till dem de gillar eller känner sig liknade. Hackare kommer att försöka bygga relationer, hitta gemensamma grunder och visa genuint intresse för sina mål. Att utveckla positiva relationer och verka söka genuina kontakter med andra kan förbättra en hackers övertalningsförmåga.

I sin bok, Influence, The Psychology of Persuasion, illustrerar Cialdini denna princip med idén om Tupperware Party. "The Tupperware Home Parties Corporation ordnar så att sina kunder köper från och åt en vän snarare än en okänd säljare. På så sätt kommer attraktionen, värmen, tryggheten och vänskapsplikten att påverka försäljningsmiljön”, skriver Cialdini.

Människor är mer benägna att följa förfrågningar från auktoritativa personer eller de som uppfattas ha expertis inom en viss domän. Hackare kommer att låtsas trovärdighet, expertis eller auktoritet inom ett relevant område för att öka deras övertygande effekt.

Goda sociala ingenjörer utnyttjar auktoritetsprincipen genom att skickligt skapa nätfiske-e-postmeddelanden för att efterlikna kommunikation som kommer från pålitliga och auktoritativa enheter. De kan försöka vinna ditt förtroende genom att utge sig för dina medarbetare, din chef, din chefs chef eller teknisk support. Genom att ta på sig en auktoritativ roll ökar hackare chanserna för offren att följa deras instruktioner, som att tillhandahålla inloggningsuppgifter eller ge fjärråtkomst till sina system.

Principen om knapphet antyder att vi värdesätter saker som är begränsade i tillgänglighet. När vi uppfattar något som sällsynt, exklusivt eller efterfrågat är vi mer motiverade att skaffa det. När en hacker lyfter fram de unika funktionerna, begränsade kvantiteter eller tidsbegränsade erbjudanden som är förknippade med deras förslag, kan de skapa en känsla av brådska och öka erbjudandets upplevda värde.

Knapphetsprincipen gäller även för tid. Vem av oss har inte påverkats av ”Akta nu! Den här affären kommer inte att vara länge!” e-post?

Enhet är den sjunde principen som Cialdini lade till i sitt senare verk. Det betonar kraften i delade identiteter och en känsla av tillhörighet. Genom att betona gemensamma drag och anpassa individer till en delad gruppidentitet eller sak, ökar hackare vår motivation att samarbeta med dem och följa deras önskemål. När jag till exempel hackar chefer tenderar jag att låtsas tillhöra samma gym, styrelse, samhällsgrupp osv.

Att skapa en stark försvarslinje mot hacking är avgörande för både individer och organisationer. Organisationer bör prioritera en omfattande cybersäkerhetsstrategi som omfattar mänskliga baserade sociala ingenjörsåtgärder, detektionssystem, tekniska verktyg och protokoll för incidentrespons.

Nu är det inte enbart CSO:s ansvar att få säkerhetskulturen rätt. Alla i C-suiten spelar en viktig roll när det gäller att betona vikten av en robust försvarslinje mot hackare, minska risken för framgångsrika intrång och skydda ditt företags kritiska tillgångar och rykte.

Trots vår övergripande upptagenhet och tendens att göra flera saker (även om vi vet att det inte är bra för fokus), måste vi vara försiktigt skeptiska i alla våra onlineinteraktioner för att försvara oss mot illvilliga aktörer. Jag kallar detta för "att vara artigt paranoid" och det betyder att använda två kommunikationsmetoder för att bekräfta att någon är den de säger att de är innan de uppfyller deras begäran - lite som mänskligt baserad MFA! Om du är osäker, välj multifaktorkommunikation. Till exempel, om någon skickar e-post till dig från en ny e-postadress och begär känsliga uppgifter, ring dem med det nummer du redan har lagrat.

Ett proaktivt tillvägagångssätt för att skydda känslig information kan räcka långt för att upprätthålla säkerheten i din organisation.

Genom att vara "arttigt paranoid" om känsliga förfrågningar som förfrågningar om banköverföringar, tillgång till företagsdata, bankbyten, administratörskontoändringar etc., kan vi fånga cyberattacker i ögonblicket.

Öppen källkodsintelligens eller OSINT är ett spaningssteg vi tar innan hacket påbörjas. Vi försöker hitta så mycket allmänt tillgänglig information om ett mål som möjligt, såsom deras kontaktinformation, tekniska verktyg som används, gillar/ogillar, etc.

Hackare använder OSINT för att söka efter sökmotorer, utforska massiva offentliga forum eller söka igenom mängder av offentliga register online för att hitta de detaljer som behövs för att starta en attack.

Ditt företag kan bli offer för nätfiske genom olika vilseledande tekniker. Nätfiske utförs vanligtvis via e-post, meddelanden eller bedrägliga webbplatser som är utformade för att lura anställda eller individer inom en organisation att avslöja känslig information eller utföra skadliga handlingar.

Angripare kan utge sig för att vara betrodda enheter som banker, tjänsteleverantörer eller företagsledare, vilket skapar en känsla av brådska eller betydelse för att manipulera mottagare.

(Kommer du ihåg dessa principer för övertalning?)

Hackare hittar ofta lösenord online i vad som vanligtvis kallas en "lösenordsdump". Detta är helt enkelt ett enormt antal lösenord som samlats in från hackade webbplatser, dataintrång eller underjordiska forum där cyberbrottslingar handlar med stulen information. Dessa dumpar innehåller ofta vanlig text eller hashade lösenord tillsammans med tillhörande användarnamn eller e-postadresser. Lösenordsdumpar utgör betydande risker eftersom de ofta är den första källan till OSINT som angripare utnyttjar för att se om de lätt kan bryta mot en organisations system. När ett lösenord väl hittats i en lösenordsdump kan illvilliga personer använda det för att försöka få obehörig åtkomst till användarkonton, delta i identitetsstöld eller starta andra cyberattacker.

Hackare använder ofta taktik som social ingenjörskonst, där de utnyttjar psykologiska faktorer för att övertyga mål att klicka på skadliga länkar, ladda ner skadliga bilagor eller tillhandahålla inloggningsuppgifter. Genom att efterlikna legitima kommunikationskanaler kan nätfiske-bedrägerier framgångsrikt lura anställda att avslöja konfidentiell data, äventyra nätverkssäkerheten eller möjliggöra obehörig åtkomst.