Alt hvad du skal vide om social engineering

Du får her en introduktion til social engineering, hvordan det fungerer, og hvordan det kan komme til udtryk i cyberangreb.

03-03-2022 - 7 minutters læsning. Under kategorien: phishing.

Alt hvad du skal vide om social engineering

Mange mennesker tror måske, at cyberangreb kun er rettet mod it-systemer, men det er langt fra sandt. En del cyberkriminalitet er rettet mod mennesker, og det er faktisk menneskerne, som de it-kriminelle prøver at hacke. Den slags cyberkriminalitet kaldes for social engineering-angreb.

Manipulation af mennesker

Social engineering er en proces eller strategi, hvor it-kriminelle, også kaldet sociale ingeniører, ved at manipulere enkeltpersoner, får dem til at udføre bestemte handlinger, med henblik på at få adgang til ofrenes fortrolige oplysninger eller computer. De private oplysninger kan være kontooplysninger, adgangskoder eller CPR-nummer.

Strategien ved et social engineering-angreb er at opbygge tillid til ofrene gennem kommunikation, der er troværdig og overbevisende. Kommunikationen består oftest af falske e-mails, men det kan også ske over SMS-beskeder, sociale medier eller telefon.

Social engineering er en udnyttelse af de menneskelige fejl, der kan opstå, når vi mennesker bearbejder information. De it-kriminelle bruger målrettet manipulation til at svække menneskers dømmekraft, når de befinder sig i en situation og skal tage et valg. Social engineering er altså stærkt afhængig af menneskelige fejl.

Socialtekniske teknikker i social engineering

It-kriminelle udnytter typisk seks socialtekniske teknikker til at påvirke deres ofre; nemlig autoritet, intimidering, social accept, tidspres, knaphed og positiv evaluering. Gennem de teknikker kan de vække bestemte følelser i deres ofre, som kan svække deres dømmekraft - hvilket gør dem mere tilbøjelige til at foretage de it-kriminelles ønskede handlinger.

Autoritet

It-kriminelle vil ofte gerne fremstå som en autoritet, f.eks. en velkendt organisation eller ofrenes egen organisations højtstående medarbejdere. Her udnytter de, at de fleste personer følger deres overordnede, enten fordi de stoler på dem, eller fordi de ikke vil sige fra over for en autoritet.

Intimidering

I mange social engineering-angreb indgår der advarsler eller trusler om negative konsekvenser, hvis offeret ikke følger hackernes anvisninger. Konsekvenserne kan være en lukning af personens konto eller ekstra gebyrer.

Social accept

Mennesker har en tendens til at følge mennesker og vil derfor gøre ting, som de ser eller hører, at andre mennesker gør. Dette kan hackere udnytte ved at nævne andre personer, måske nogen som offeret kender, i deres social engineering-angreb.

Tidspres

Ved at inkorporere hastværk, f.eks. korte tidsfrister, i social engineering-angreb vil de fleste personer føle, at de ikke har tid til at dobbelttjekke og derfor skal reagere med det samme.

Knaphed

Hvis en vare er i et begrænset antal eller kun er tilgængelig i kort tid, vil det skabe efterspørgsel. Derfor vil hackere ofte nævne, at der kun er et begrænset antal af en bestemt vare i deres social engineering-angreb.

Positiv evaluering

Mennesker vil i højere grad hjælpe nogen, de kan lide eller de tror, at de kan lide. Derfor vil hackere ofte fremstå som høflige og venlige, eller de vil måske udgive sig for at være nogen, offeret kender.

Andre menneskelige fejl

Udover at hackere gennem disse teknikker kan udnytte menneskers manglende evne til at tænke kritisk, kan de også udnytte andre normale menneskelige træk, som nysgerrighed eller ønsket om at være hjælpsom.

Ved at henvise til et spændende jobopslag kan hackeren gøre modtageren så nysgerrig, at vedkommende ikke kan lade være med at klikke på linket til det falske jobopslag. Og ved at udgive sig for at være modtagerens ven, der akut står og mangler penge, kan modtagerens medlidenhed og ønske om at hjælpe gøre, at vedkommende overfører penge til hackeren.

Social engineering indenfor phishing angreb

Den mest almindelige type social engineering-angreb er phishing-angreb, hvor it-kriminelle gennem e-mail, SMS-beskeder, telefon eller sociale medier udgiver sig for at være en kendt virksomhed eller offentlig myndighed.

Phishing-angreb

Et eksempel på et typisk phishing-angreb er en e-mail, der gør modtageren opmærksom på, at de skal udføre en handling, der involverer værdifulde oplysninger, med det samme ved at klikke på et link. Når vedkommende klikker på linket, bliver de sendt til en falsk phishing-hjemmeside, der ligner en legitim virksomheds hjemmeside. Her skal vedkommende så indtaste nogle fortrolige oplysninger og en adgangskode. Disse informationer sendes derefter til de it-kriminelle.

Spear phishing-angreb

Social engineering inden for phishing ses særligt meget i spear phishing, også kaldet spyd-phishing. Her er social engineering processen målrettet bestemte medarbejdere i organisationer, og den slags phishing er derfor endnu mere tilpasset til at opbygge tillid til medarbejderne. De it-kriminelle kan indhente personlige oplysninger om modtageren gennem internettet og offentligt tilgængelige netværk.

Eksempler på social engineering-angreb

Udover phishing-angreb findes der en række andre social engineering-angreb, der er vigtige at kende til.

Baiting

Baiting er en måde at vække modtagerens interesse på, og det kan foregå både online og offline. En fysisk måde at baite på er ved at efterlade noget hardware, f.eks. et USB-stik, et offentligt sted, hvor hackeren ved, at der færdes mange mennesker. Det kan være elevatorer, offentlige toiletter eller parkeringspladser. USB-stikket har typisk en label med et firmalogo og en beskrivelse af indholdet. Af ren nysgerrighed tager modtageren USB-stikket med hjem og indsætter det i vedkommendes computer, som derefter inficeres med malware.

Online baiting kan f.eks. være reklamer, der lokker med interessante tilbud. Når offeret klikker på reklamen, ledes vedkommende til en falsk hjemmeside eller til at downloade noget malware.

Vishing og smishing - phishing via telefon

Begge slags angreb er variationer af phishing. Vishing, eller “voice-phishing”, er angreb der udføres gennem telefonopkald. De it-kriminelle ringer modtageren op og udgiver sig for at komme fra en velkendt virksomhed, som har brug for nogle informationer. Ved smishing bruger hackerne SMS’er som medie til at lokke oplysninger ud af offeret.

Mailhacking

Mailhacking er en type af angreb, hvor de it-kriminelle tvinger sig adgang til modtagerens e-mailkonto eller social mediekonto, hvorefter de kan få adgang til offerets kontaktpersoner. Hackerne sender falske beskeder til kontaktpersonerne, som f.eks. kan indeholde “sjove videoer” fra deres ven, som linker til en falsk hjemmeside eller indeholder malware.

Scareware

Gennem scareware kan it-kriminelle bombardere deres modtagere med falske trusler, både i e-mails og internet browsere. Et almindeligt scareware-angreb sker gennem falske pop-up bannere, der dukker op i offerets internetbrowser. I banneret står der f.eks., at offerets computer er blevet inficeret med malware eller spyware. Modtagerene skal derfor downloade et værktøj, som kan hjælpe dem. Dette værktøj består af malware, som den it-kriminelle bruger til at få adgang til modtagerens data.

Pretexting

Modsat de tidligere nævnte social engineering-angreb er pretexting ikke et enkeltstående angreb. Pretexting er en længere proces, hvor den it-kriminelle udgiver sig for at være en autoritet eller en bekendt. Gennem processen etablerer den it-kriminelle en tillid til modtageren og bliver en betroet kilde. De it-kriminelle kan derefter langsomt indsamle personlige oplysninger fra offeret. Ofte forsøger de it-kriminelle også at overbevise modtageren om, at de skal overføre penge til dem.

Social engineering på sociale medier

Social engineering-angreb har også fundet vej til sociale medier, f.eks. Facebook og Instagram. De it-kriminelle opretter falske sociale mediekonti, som de sender phishing-beskeder fra. De kan enten oprette falske opslag, sende beskeder over chatfunktionen eller kommentere i kommentarspor på andre opslag.

Beskyt dig selv mod social engineering-angreb

Den bedste beskyttelse mod hackere og social engineering er at øge sin personlige cybersikkerhed og informationssikkerhed. Det gør man ved at være opmærksom på alle sine e-mails, SMS'er og beskeder på sine sociale mediekonti. Man skal aldrig videregive oplysninger, som kan kategoriseres som følsomme oplysninger, over e-mail eller SMS, særligt ikke gennem et link.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg