Moderna sociala manipuleringsangrepp : En kvalitativ intervjustudie med penetrationstestare / Modern social engineering attacks : A qualitative interview study of penetration testers

Ödman, Alina

January 2019

Dagens samhälle präglas av den växande digitaliseringen. Information flödar på alla håll och kanter, den bearbetas, lagras och kommuniceras konstant. Nuförtiden kan systemen byggas ganska säkra, men så fort man sätter en människa bakom tangentbordet introducerar man en rejäl sårbarhet och äventyrar att vår information hamnar i fel händer. SE (social engineering, social manipulering) är konsten att nyttja social interaktion som ett medel oavsett om det kräver ett tekniskt system eller övertygelse för att få tillgång till känslig information. Detta är en kvalitativ intervjustudie som försöker skildra hur penetrationstestare ser och arbetar med/mot SE (social engineering, social manipulering) sker. Studien tolkar penetrationstestares perspektiv på dagens sociala manipulerings angrepp, hur de arbetar med det och vad vi som individer kan göra för att skydda oss. Slutsatserna från studiens delfrågor hjälper att besvara studiens forskningsfråga “Hur ser penetrationstestare på dagens SE?” Studien visar på att majoriteten av respondenterna är överens om hur SE ser ut idag. Konklusionen visar på att angreppet “phishing” är en av de vanligaste angreppsformerna idag både trendmässigt och arbetsrelaterat just nu. Vidare skildrades även “varför sociala manipulatörer ofta lyckas med sina angrepp” vilket resulterade i att den psykologiska aspekten är ett av de viktigaste förbättringsområdena inom SE. Slutligen, redogjorde respondenterna viktiga skyddsåtgärder som kan tillämpas av både organisationer och privatpersoner. / Our modern World is filled with information everywhere. Information isconstantly processed, stored and communicated. However,we all know that information usuallyhas some value;therefore,we build secure and complex systems, whichare packed with data. Valuable data. Then we put humans behind those systems and introduce ahuge vulnerability and by that,we are risking our data falling into the wrong hands. Social engineering –it is used to deceive people and letting themgive up sensitive information. This qualitative interview study will attempt to disclose the perception of social engineering from people who perform penetration-testingservices. The results of the study are showing that participators are partially decided of their view of social engineering. They almost all agree that “phishing” is a common attack in bothinternet occurrences and in work-related matters. Furthermore, the conclusion shows that the psychological aspect of social engineering is an important improvement area. Lastly, the participants explain several preventative actions, whichcan be used by organizations and by individuals to minimize the risk of exposure to social engineering.

Social engineering

social engineer

social engineering attack

penetration testers.

Social manipulering

social manipulatör

sociala manipuleringsangrepp

penetrationstestare

Engineering and Technology

Teknik och teknologier

Utvecklingen utav social manipulering : En kartläggande granskning av säkerhetsåtgärder 2008 kontra 2018 / Development of social engineering : A mapping review of security measures in 2008 versus 2018

Johansson, Stina

January 2019

Sociala manipulatörer besitter förmågan att använda social interaktion som medel för att övertyga en individ eller organisation till samtycke för en specifik förfrågan. Syftet är att uppnå ett mål i form av exempelvis ekonomisk vinning, obehörig åtkomst eller serviceavbrott. En social manipuleringsattack föranleds utav bakomliggande processer och innefattar en datorrelaterad enhet för antingen den sociala interaktionen, för övertalningen till samtycke eller för manipulatörens förfrågan. Syftet med arbetet var att kartlägga säkerhetsåtgärder mot sociala manipuleringsattacker och på så vis ge uttryck för en utveckling av området över tid. Resultatet förväntades med andra ord att ge uttryck för en mognad inom området och bidra med ökade insikter i hur attacker på ett tidstroget vis kan tacklas inom administrativ- och teknisk säkerhet. En kartläggande granskning genomfördes utifrån ett urval utifrån de tre databaserna; IEEE Xplore Digital Library, Springer Link och DBLP Computer Science Bibliography. Studier primär- och sekundärkategoriserades utifrån en kodningsprocess i syfte att understödja en narrativ analys. Fyra primärkategorier utav säkerhetsåtgärder uppstod; modellering, sårbarhetsbedömning, datasystem och (in)direkt utbildning. Sökstrategi och bedömningsprocess gav en inkluderad datamängd av totalt 28 studier. Säkerhetsåtgärder mot social manipulering från 2008 representerades av fem studier; en föreslog modellering, tre föreslog datasystem och en föreslog (in)direkt utbildning. Säkerhetsåtgärder från 2018 representerades av 23 studier; fyra föreslog modellering, två föreslog sårbarhetsbedömning; nio föreslog datasystem och åtta föreslog (in)direkt utbildning. Kodningsprocessen gav även upphov till sekundära kategorier – samtliga kategorier återgavs en dynamisk återspegling utav säkerhetsåtgärder mot social manipulering 2008 kontra 2018. Fyra av fem studier från 2008 definierade social manipulering med avsaknad av teoretiska förklaringar till bakomliggande processer för en attack – respektive 13 av 23 studier från 2018. Analysen mynnade ut i insikter om att framtida forskning behöver eftersträva ett holistiskt synsätt för de bakomliggande processer som föranleder en social manipuleringsattack – på så vis kan en ökad säkerhetsmedvetenhet och motståndskraft mot social manipulering uppnås. / Social engineers possess the ability to use social interaction as a means of convincing an individual or organization to consent to a specific request. The purpose is to achieve a goal in the form of, for example, financial gain, unauthorized access or service interruption. A social engineering attack is caused by underlying processes and includes a computer-related device for either the social interaction, for the persuasion to consent or for the social engineer's request. The purpose of the thesis was to map security measures against social engineering attacks and thus express the development of the area over time. In other words, the result was expected to express a maturity in the area and contribute with increased insights into how attacks in a timely manner can be tackled in administrative and technical security. A survey was conducted based on a selection based on the three databases; IEEE Xplore Digital Library, Springer Link and DBLP Computer Science Bibliography. Studies were primary and secondary categorized based on a coding process in order to support a narrative analysis. Four primary categories of security measures occurred; modelling, vulnerability assessment, computer systems and (in)direct education. Search strategy and assessment process provided an included data set of a total of 28 studies. Security measures against social manipulation from 2008 were represented by five studies; one proposed modeling, three suggested computer systems and one suggested (in)direct education. Security measures from 2018 were represented by 23 studies; four proposed modeling, two suggested vulnerability assessment; nine proposed computer systems and eight suggested (in)direct education. The coding process also gave rise to secondary categories - all categories were given a dynamic reflection of security measures against social manipulation 2008 versus 2018. Four out of five studies from 2008 defined social manipulation with the absence of theoretical explanations for underlying processes for an attack - and 13 of 23 studies from 2018. The analysis resulted in insights that future research needs to strive for a holistic approach to the underlying processes that cause a social manipulation attack - in this way increased security awareness and resistance to social engineering can be achieved.

Social engineering

social engineering attack

social engineering technique

security measure

information security

Social manipulering

social manipuleringsattack

social manipuleringsteknik

säkerhetsåtgärd

informationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap