Social engineering driver cyberkriminalitet mod virksomheder

Den cyberkriminelle, der stjæler information eller penge fra en lille virksomhed, er sandsynligvis en mester i bedrag og manipulation såvel som en techno-ekspert.

Da Nancy Butler blev ringet op af en, der hævdede at være fra hendes informationsteknologitjeneste for to år siden, hun antog, at det var et rutinetjek af en lovlig medarbejder. Så, som hun havde gjort mange gange under sådanne opkald, Butler bad opkalderen om at bekræfte hendes kontonummer og andre oplysninger, så "jeg kunne være sikker på, at de var, som de sagde, de var."

"Efter at alt var bekræftet, lod jeg dem komme ind på computeren kun for at opdage, at de straks låste mig ude af min computer, tilgået og stjålet fra en bankkonto, kreditkort og flere online konti, " siger Butler, en forretningscoach og motiverende foredragsholder baseret i Waterford, Connecticut. Tyvene krævede også betaling, før de lukkede hende tilbage til hendes computer - hun betalte ikke, og hun fandt et informationsteknologifirma, der kunne låse det op.

Efterhånden som cyberkriminelle optrapper deres angreb på virksomheder såvel som individuelle computerbrugere, de er mere afhængige af social engineering, praksis med at bedrage eller manipulere nogen, ofte med e-mail, men også med telefonopkald, for at få personlige eller økonomiske oplysninger. Når en virksomhed bliver angrebet, kunde- og leverandørdata er i fare. Cybersikkerhedseksperter siger, at små virksomheder i stigende grad bliver målrettet.

Phishing-svindel bruger ofte social engineering. Svindelerne er normalt forklædt i realistisk udseende e-mails, der opfordrer modtageren til at klikke på et link eller en vedhæftet fil; det klik downloader ondsindet software kendt som malware, der kan fange oplysninger og sende dem tilbage til den kriminelle. E-mails kan se ud som om de kommer fra en virksomheds bank eller en anden virksomhed. Phishing er også en måde for ransomware, ondsindet software, der låser computere, skal plantes på en enhed. Mens nogle cyberkriminelle målretter mod små virksomheder, malware kan også plantes, når en medarbejder klikker på en personlig e-mail på en virksomheds maskine.

Når det kommer til at hacke ind på hjemmesider, cyberkriminelle leder stadig efter sårbarheder, som de kan udnytte, men det er deres evne til at snyde virksomheder, der forårsager mange af problemerne, siger Terry Kasdan, ejer af atCommunications, et webstedsudviklingsfirma med base i Northbrook, Illinois.

Den slags oplevelse, Butler havde, bliver mere almindelig med webstedsangreb.

"En hacker kan ringe til en virksomhed, sige noget om, 'Jeg arbejder for din webhost, ' og tilføj den rigtige værts navn for at give opkaldet troværdighed, " siger Kasdan. Hackere kan få information om et websted og dets hostingfirma fra online kataloger; derefter, hvis de er i stand til at manipulere en medarbejder til at opgive en adgangskode, de kan komme ind på siden, stjæle oplysninger og beskadige eller deaktivere dem.

En virksomhed kan blive et offer indirekte – dets egne systemer behøver ikke at blive angrebet, for at en cybertyv kan stjæle information eller penge.

Tjernlund Products mailede en genbestilling hos en af ​​sine leverandører i Kina og fik en e-mail tilbage om, at virksomheden havde en ny bank, som Tjernlund Products skulle foretage sine betalinger til. Dette var ikke en usædvanlig situation; virksomhedens leverandører i Kina skifter ofte bank, sagde Andrew Tjernlund, marketingdirektør for White Bear Lake, Minnesota-baseret producent af producenten af ​​komponenter til ventilationssystemer.

Måneder senere, efter at forsendelsen aldrig ankom, Tjernlund Products kontaktede leverandøren, som undersøgte og fandt ud af, at dens e-mail var blevet hacket. Tjernlund Products var ude omkring $20, 000, selv om dets leverandør gav virksomheden en betydelig pause på sin næste ordre for at kompensere for noget af tabet.

Andrew Tjernlund siger, at han og hans medledere indså, at de var indirekte ofre for et hacking, og at de havde for tillid til, at bankskiftet var lovligt. De er mere forsigtige nu.

"Vi tester vores leverandører, når de skifter bank, spørg dem om, hvilken farve hår vi har, eller hvornår vi sidst mødtes personligt – sådan noget, " Tjernlund says.

The government and some private companies like insurers keep count of the number of reported cyberattacks including those that use social engineering, but many companies don't tell authorities when they've been attacked. Business owners don't want to publicize the fact that their systems or websites have been hacked; they worry about losing customers and being shunned by vendors who fear their systems could also be compromised. Cybercriminals are able to hack into one company's system through another's—when discount retailer Target had a data breach in 2013 hackers first invaded the system of a Target supplier.

The more employees and devices a company has, the more vulnerable it is, says Tyler Olson, owner of Shyld, a cybersecurity startup based in Minneapolis.

"There's an unlimited offensive capability and defense is really hard, " Olson says. "It takes only one entry point in the organization."

The entry point could be the employee who clicks on an email. "Once they're inside the network, they can potentially find additional vulnerabilities. They can sit and wait or they can do some destruction immediately, " Olson says

Olson, who also owns an information technology company, got the inspiration for his cybersecurity firm from his experience working on the technology team for the 2008 re-election campaign of then-Sen. Norm Coleman (R-Minn.). A video posted on YouTube showed how to hack into the campaign database; a hacker did that and the personal and credit card information of thousands of contributors to Coleman's campaign were posted on the internet, with Wikileaks claiming responsibility for disseminating the data.

© 2019 The Associated Press. Alle rettigheder forbeholdes.