Hvad vi laver
Social engineering er ofte kompliceret at definere, da det omfatter mange type metoder, tricks og elementer, som tilsammen er med til at kompromittere en virksomheds cybersikkerhed. Her er blot overskrifterne på de områder vi arbejder med, inden for social engineering.
Cyber Reconnaissance
Avanceret indsamling af informationer (Open Source Intelligence), som kan udnyttes til udførelse af cyberangreb.
Deception Tactics
Metoder til at udgive sig for at være en person man ikke er, herunder bl.a. spoofing-metoder som ved phishing og smishing.
Social Engineering 2.0 Angreb
Udførelse af angreb, som udnytter den menneskelige faktor i cybersikkerhed, bl.a. via e-mail, telefon, SMS, USB, m.m.
Awarenesstræning
Intensiv træning af virksomheder, så de bliver bekendte med og mere resiliente over for social engineering angreb.
LÆR MERE OM SOCIAL ENGINEERING 2.0
Download e-bogen Project SAVE og lær mere om, hvordan cyberkriminelle anvender Social Engineering til at kompromittere danske og internationale virksomheder.
Om Project SAVE
Project SAVE – Social Vulnerability & Assessment Framework er resultatet af eksplorativ research udført for Forsvarsakademiet mhp. at demonstrere, hvordan Social Engineering 2.0 kan anvendes til at kompromittere kritisk infrastruktur i Danmark.
Resultaterne fra forskningen i området præsenteres i en gratis e-bog, som indeholder de anvendte metoder samt resultater for 185 udførte cyberangreb, som var målrettet tre virksomheder, som deltog i forskningsstudiet. Metoderne inkluderer forskellige typer client-side angreb, herunder phishing, spear-phishing, smishing, filbaserede angreb og USB-angreb.
Social Engineering 2.0 angrebscyklus
Social Engineering 2.0 anvender typisk følgende angrebscyklus (klik på plus-tegnet til højre for hver boks for at få en beskrivelse af den pågældende fase):
I rekognosceringsfasen efterforskes sine mål gennem metoder som open source intelligence (OSINT), hvor offentligt tilgængelige informationer i cyberspace indsamles og analyseres med henblik på at få en bedre forståelse af sine mål. Målene kan udgøres af organisationer eller enkeltpersoner, og typisk indsamles der informationer om begge. Informationer kan bl.a. være interesser, arbejdsforhold, sprogbrug (herunder jargon), professionelt netværk og adgang til informationer.
Når en organisation eller en gruppe af mennesker har undergået rekognosceringsfasen, så vil en angriber træffe beslutning om en eller flere mål, som skal angribes. Beslutningen beror på de fund der har været i rekognosceringsfasen.
Herefter vil en social engineer typisk tage kontakt til de udvalgte mål. Dette kan enten være ifbm. yderligere indsamling af informationer til brug i et angreb, eller det kan være for at etablere et mere tillidsfuldt forhold.
Når alt er på plads vil en social engineer eksekvere angrebet. Dette sker typisk i cyberspace via phishing emails, som er målrettet den enkelte person (også kendt som spear phishing). Der er en høj grad af deception, som anvendes til at overbevise modtageren om, at den pågældende email stammer fra en legitim og pålidelig afsender. Som led i angrebet vil modtageren af phishing emails få klare instrukser fra angriberen om, hvad der forventes af dem - f.eks. at de åbner den vedlagte fil, eller overfører penge til en bestemt konto.
I visse tilfælde er det muligt for en social engineer at opretholde sin adgang og tillid til et mål. Derfor udvikles en exit strategi for, hvordan man kan holde et angreb kørende, så man kontinuerligt kan etablere adgang til nye informationer. Exit strategien har til formål at sikre, at målene ikke aner mistanke, og at man derfor også på et senere tidspunkt kan vende tilbage til dem med forespørgsler.
Download e-bogen om
Social Engineering 2.0
Download Project SAVE i dag og lær hvordan cyberkriminelle anvender Social Engineering 2.0 til at kompromittere alle typer virksomheder.
Kontakt os
Kontakt Social-Engineering.dk
Har du spørgsmål eller ønsker du at høre mere om Social Engineering kan du kontakte os via kontaktformularen til venstre eller på følgende email:
-
info[@]social-engineering.dk
-
Via LinkedIn
-
Via Twitter