The Defense and Popularity of Social Engineering in Norway

Abstract

ENGLISH: Social Engineers attack the weakest link in an organization’s barrier - it’s human users. They do this by manipulating the users into performing actions they wouldn’t normally perform. This can have devastating consequences for an organization. The goal may be to get unauthorized access to sensitive information, or gain access to restricted areas, like server rooms. While crackers use their technical skills to break into a computer system and retrieve a password, the Social Engineer use his social skills to make an individual reveal the password themselves. While there has been written books and papers on different attack vectors, and even some methods for defending against this threat, they are not considered scientific - they are in many cases the experience and views of one particular individual. The amount of scientific work on Social Engineering do not appear to be comprehensive. This Thesis has gathered the essence of what different authors has conveyed about Social Engineering attacks and defenses, as well as why it actually works. Further it has investigated how popular Social Engineering is in Norway, what vector of attacks are most common and effective, as well as what defense mechanisms one should implement to stand strong against these threats. This has primarily been done by the development of a Questionnaire targeting Norwegian Organizations, a review of existing literature and research, as well as some preliminary interviews with Information Security Professionals. The results suggest that: (i) Social Engineering by E-Mail is by far the most heavily used vector of attack, followed by attacks originating from websites (ii) most Organizations have mechanisms to defend against Social Engineering, (iii) Organizations conceived Security Risk of Social Engineering is leaning towards medium-high and (iv) the ultimate economic consequences due to Social Engineering attacks are loss of millions of NOK. Further, not surprising, the review of earlier literature and research, as well as data gathered from our Questionnaire, suggest that Security Awareness is a very important factor for defending against Social Engineering. We end the Thesis by discussing important steps when developing Security Awareness programs.

NORSK: Sosiale Manipulatorer angriper det svakeste leddet i en organisasjon’s barriere - brukerne. De gjør dette ved å manipulere brukerne til å utføre handlinger de normalt ikke ville utført. Dette kan ha katastrofale konsekvenser for en organisasjon. Målet kan være å få uautorisert tilgang til sensitiv informasjon, eller tilgang til begrensede områder, som serverrom. Crackere bruker sine tekniske ferdigheter til å bryte seg inn i datasystem for å hente ut passord. Sosiale Manipulatorer derimot, bruker sine sosiale ferdigheter til å få en bruker til å avsløre passordet selv. Mens det har blitt skrevet bøker og artikler om ulike angrepsvektorer, såvel om hvordan å forsvare seg mot denne trusselen, er de ikke ansett som å være vitenskapelige - de er i mange tilfeller erfaringer og synspunkter til en bestemt person. Mengden av vitenskapelig arbeid på Sosial Manipulasjon virker ikke til å være tilstrekkelig. Denne oppgaven har samlet essensen av hva ulike forfattere har formidlet om angrep og forsvar innen Sosial Manipulasjon, samt hvorfor angrepsformen faktisk fungerer. Videre har oppgaven undersøkt hvor populær Sosial Manipulasjon er i Norge, hvilke angrepsvektorer som er de mest vanlige og effektive, samt hvilke forsvarsmekanismer en bør iverksette for å stå imot disse truslene. Dette har først og fremst blitt gjort ved utvikling av et spørreskjema rettet mot norske organisasjoner, en gjennomgang av eksisterende litteratur og forskning, samt noen forberedende intervju med fagfolk innen informasjonssikkerhet. Resultatene tyder på at: (i) Sosial Manipulasjon via e-post er den desidert mest brukte angrepsvektoren, etterfulgt av angrep gjennom websider (ii) De fleste organisasjoner har mekanismer for å forsvare seg mot Sosial Manipulasjon, (iii) Organisasjoners oppfattede risiko av Sosial Manipulasjon lener seg mot middels til høy og (iv) Den ultimate økonomiske konsekvensen som følge av Sosial Manipulasjon er tap av millioner av kroner. Videre, ikke overraskende, tyder gjennomgangen av tidligere litteratur og forskning, samt analyse av data fra spørreskjema, på at bevissthet innen sikkerhet er en svært viktig faktor for å forsvare seg mot Sosial Manipulasjon. Oppgaven avsluttes med en diskusjon rundt viktige punkt en bør tenke på når en lager kampanjer for å øke bevissthet rundt sikkerhet.