2. A r b e j d s o m r å d e r
Dansk Brand- og sikringsteknisk Institut
S O C I A L
E N G I N E E R I N G
C Y B E R
E F T E R F O R S K N I N G
I T F O R E N S I C S
F Y S I S K &
E L E K T R O N I S K
S I K R I N G
3. Social Engineering
”Social Engineering er kunsten at få nogen til
at gøre noget, de ellers ikke ville gøre, gennem
psykologisk manipulation ,,
DEFINITION
4. Eksempel
Klassisk Social Engineering
• Fra 2012-2015 blev SKAT snydt for 12,3
mia. Kr.
• Falske ansøgninger om aktieejerskab til
refundering af betalt skat for aktiegevinster
• Social engineering kan have indgået i
svindlen
5. Social Engineering Angrebscyklus
Social Engineering Attack Cycle (SEAC)
SE
Cyklus
Eksekver angreb ved at få medarbejder
til at foretage en handling, som kan
kompromittere sikkerheden i en
virksomhed.
3. Angreb
Hvis man har brug for at opretholde
kontakt til sit mål, kan implementere
en exit-strategi, så man kan komme
tilbage til sit mål på et senere
tidspunkt.
4. Exit
Foretage den nødvendige research af
sine mål (virksomheder og ansatte).
1. Rekognoscering
Initier kontakt med målgruppe med
udgangspunkt i resultater fra
rekognosceringsfasen.
2. Kontakt
6. Social Engineering 2.0
Social Engineering har udviklet sig fra det fysiske domæne til at
benytte cyberspace som platform for at elicitere informationer
fra personer. Med nye kommunikationsveje er der opstået nye
angrebsvektorer, som den moderne social engineer udnytter.
NYE METODER
7. P r o j e c t S A V E :
Social Vulnerability &
Assessment Framework
Forskningsprojekt for Forsvarsakademiet
8. P r o j e c t S A V E
Nationalt Projekt
Nationalt projekt afviklet for Forsvarsakademiet (FAK)
med det formål at afdække truslen for Social
Engineering 2.0 angreb mod virksomheder i Danmark.
• Udviklede avancerede open source intelligence
(OSINT) metoder.
• Eksekverede simulerede angreb mod tre
virksomheder, som enten direkte eller indirekte,
udgjorde del af dansk kritisk infrastruktur.
• Formålet var at afdække, og få en generel
forståelse for, hvor sårbare danske virksomheder
er over for SE 2.0.
9. SE 2.0 Angrebscyklus
Project SAVE
Recon-
naissance
Target
Selection
Malware
Attack
Exploit
Weaponi-
zation
Persi-
stence
Priviliege
escalation
Lateral
movement
Data
Collection
Data
exfiltration
Exit
(Optional)
Pre-recon
Email
harvesting
ID &
SMPP
SNA
Systemic
network
Deep web Evaluation
SE 2.0
Attack
10. Udførte SE Angreb
Project SAVE
Tre danske virksomheder deltog i forsknings-
projektet, som vi fik lov at simulere angreb
imod.
Cyberangreb mod tre virksomheder
Der blev udført cyber recon af de tre
virksomheder og udvalgte medarbejdere.
Cyber-rekognoscering
I alt blev der afviklet 185 SE 2.0 angreb mod
de tre deltagende virksomheder.
185 social engineering 2.0 angreb
Vector Target #1 Target #2 Target #3
Spear-
Phishing
3 1 3
Whaling 1 1 3
Conventional
Phishing
2 4 146
Smishing 3 5 9
USB Attack 0 0 3
PDF attack
(follow-up)
1 2 (3) 0
11. Rekognoscering
• Crawling af e-mail adresser og telefonnumre
• Personlighedsanalyse af ansatte via content fra sociale
medier
• Social Network Analysis (SNA)
• Network footprinting (Maltego, metadata)
• Darknet efterforskning af lækkede / solgte
informationer om virksomhederne
12. Rekognoscering
Project SAVE
• Crawlede medarbejderes åbne facebookprofiler
• Python script
• Emulaterede menneskelig browsing-adfærd med
Selenium for at undgå counter-crawling
• Foretog en sentiment analysis (stemningsanalyse) af
posts og kommentarer med en ‘bag of words’ tilgang
• Baseret på stemningsanalysen kategoriserede vi
brugerne ved brug af det psykologiske framework: ‘Big
Five’
Sentiment Analysis & Personality Profiling:
13. Resultater fra Rekognoscering
Project SAVE
• Komplet liste over email adresser og mobilnumre
• ID af kritisk database og hvordan vi kan tilgå den
• Fandt komplet guide over database
• Identificerede hvilke brugere der havde adgang til database
• Fandt design af gæstekort på sociale medier
• Metadataanalyse afslørede, hvilken software var anvendt
Kritiske resultater fra rekognosceringsfasen
-100,00%
0,00%
100,00%
200,00%
300,00%
Agreeableness (A)
Conscientousness (C)
Extraversion (E)Neuroticism (N)
Openness (O)
14. • Phishing e-mails
• Spear-phishing e-mails
• Credential harvesting
• Whaling
• CEO Fraud
• Smishing
• Evil USB
• Malware
Typiske SE 2.0 angreb
17. Oversigt
Project SAVE
47 pct. af alle de eksekverede SE 2.0 angreb var
succesfulde med at overbevise brugeren om gøre en
handling vedkommende ikke burde gøre. Kriterierne
for succes var betinget af en registrering af forsøget på
vores webserver log.
Succesfulde angreb
Lidt over halvdelen af de eksekverede angreb
mislykkede under forskningsprojektet. Fra kvalitative
interviews foretaget med de deltagende virksomheder,
kan vi konkludere at smådetaljer i formuleringen eller
mangel på info ved henvendelse (f.eks. tlf. nummer i
email signaturen) har været årsagen til deres mistillid til
forsøget.
Mislykkede angreb
47%
53%
47%
53%
Succesrate for
SE 2.0 angreb
18. Publikation
• Publikation om SAVE og social engineering 2.0
• Resultater, metoder, erfaringer og anbefalinger præsenteres
• Er tilgængelig i print og digitalt
19. D o g a n a :
Advanced Social Engineering and
Vulnerability Assessment Framework
R&D For The EU Commission
20. Dogana Konsortium
The Dogana Project
18 partnere fra 11 lande i et 3-årigt Horizon 2020 projekt
om next-gen Social Engineering.
Partnere
http://www.dogana-project.eu
21. The Dogana Project
Udvikling af næste-generations platform til social vulnerability
assessment af virksomheder via simulerede angreb.
Næste Generations SE Angreb
Test af nye, innovative awareness metoder, der tager
udgangspunkt i individet og organisationen som helhed.
Innovative Awareness Metoder
Test af angreb mod mere end 1.000 medarbejdere for
at vurdere, hvilke ’markers’ der kan anvendes mod
forskellige typer individer.
Stortest af angreb
http://www.dogana-project.eu
Overblik over Dogana
22. Dogana Platform
The Dogana Project
End2End platform, som indeholder avancerede recon-
metoder til at afdække den ’digitale skygge’, psykologisk
profilering af mål, og identificering af, hvilke individer der
mest modtagelige over for fx phishing-angreb.
Avanceret rekognosceringsmetoder
Holistisk angrebsplatform med mulighed for at teste
mange angrebsvektorer mod sin virksomhed, så man
kan afsøge sårbarheder i sin virksomhed.
Integreret SE 2.0 angrebsplatform
http://www.dogana-project.eu
23. Awareness Metoder
The Dogana Project
Gamification er et koncept om at bruge spil som
indlæringsværktøj til at højne medarbejderes
awareness over for cybertrusler.
Gamification
Spillene kan være interaktive og enten single- eller
multiplayer. De kan vise sig at være mere effektive end
traditionelle indlæringsmetoder.
Interaktiv læring
2 min. spil hver dag kan være mere effektiv end 6
timers awarenesstræning 2 gange om året ift. at
opretholde medarbejderes awareness over for
cybertrusler over tid.
Mindre er mere
http://www.dogana-project.eu
24. F r e m t i d e n s
S o c i a l E n g i n e e r i n g
A n g r e b
25. Automatiserede angreb
Automatiseret Phishing
SNAP_R auto-analyserer og udvælger mål og
genererer relevante kommentarer på tweets med
phishing links.
Aut. E2E Spear Phishing på Twitter
Det bruger deep learning til at vælge de mål, som er
mest modtagelige over for spear phishing.
Neural Network / Deep Learning
26. SNAP_R
Fremtidens angreb
SNAP_R er fem gange så effektiv sammenlignet med andre
bots. Typisk succesrate er 5% til 14%. Men SNAP_R har en
succesrate på 30% and 66%. Manuelt konstruerede spear
phishing angreb har en succesrate på 45%.
5x så effektiv som andre bots
SNAP_R er open source og alle kan tilgå det og bruge
det. Her er link:
https://github.com/getzerofox/SNAP_R
Open Source
Eksempel
27. IoT Ransomware
Fremtidens angreb
IoT ransomware er ikke længere hypotetisk. Vi har set
eksempler på, hvordan IoT enheder kan kompromitteres og det
åbner op for nye typer angreb.
Internet of Things Ransomware
Når alle enheder bliver koblet på Internettet, opstår der nye
måder at angribe, både for private og for virksomheder.
Fra Digital til Fysisk lockdown
• Smart Biler
• Smart Hjem
• Pacemakers
• Hospitalsudstyr
• Konkrete eksempler: Smart Thermostat & Smart TV
Eksempler
28. T a k f o r o p m æ r k s o m h e d e n
Dennis Hansen
Email: deh@dbi-net.dk
Tel.: +45 31 53 43 44