Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Eksempler på social engineering

Vi ser på nogle eksempler på social engineering, så du ved hvad du skal holde øje med, hvis du får en mistænkelig mail eller opringning.

06-12-2023 - 6 minutters læsning. Under kategorien: awareness.

Eksempler på social engineering

Social engineering er den vigtigste metode, som hackere og cyberkriminelle bruger. Det er en strategi, der appellerer til vores følelser, hvad enten det er begejstring, frygt eller angst. Social engineering bruger:

  • Autoritet
  • Intimidering
  • Social accept
  • Mangel på viden
  • Tidspres
  • Positiv evaluering

Med disse seks metoder presser hackerne os alle på en eller anden måde til at reagere på mailen, beskeden eller telefonopkaldet.

Vi reagerer ofte hurtigt på disse beskeder, og det er noget, hackerne ved. Derfor bør vi være på vagt over for denne type mails og stoppe op og tænke over deres indhold og anmodninger, før vi handler på dem.

Phishing er en af de mest brugte metoder til at komme ind i systemer og enheder, og nedenfor vil vi fremhæve nogle eksempler på typer af phishing, men også konsekvenserne af at reagere på disse anmodninger og trykke på vedhæftede filer i beskederne.

Phishing-angreb

Phishing-angreb er en af de mere "traditionelle" måder, hvorpå social engineering anvendes. Cyberkriminelle gemmer sig bag en efterligning af en autoritet, kollega eller bekendt af offeret.

Hackere gør det for at få følsomme oplysninger fra deres ofre, som de så kan bruge til at få adgang til netbanker og andre værdifulde data. Cyberkriminelle udfører ofte phishing-angreb via e-mail, hvor de kan vedhæfte filer og links, som offeret opfordres til at klikke på.

Et eksempel på en sag, hvor phishing lykkedes og fik store konsekvenser, fandt sted i 2016, hvor John Podesta, Hillary Clintons kampagneleder, blev offer for et sådant angreb. Det førte til læk af tusindvis af e-mails med følsomme data.

Pretexting

En ret langvarig proces, som hackerne bruger sammen med social engineering, er pretexting. Her skaber hackeren et scenarie og en persona, hvor de kommunikerer med deres offer i en længere periode. Da det er en langvarig proces, sænker offeret langsomt paraderne og stoler på den person, de kommunikerer med. Det kan være en autoritet, en gammel ven eller en kundeservicemedarbejder.

Et eksempel på dette skete i 2014, hvor en medarbejder hos Verizon (en amerikansk operatør af trådløse netværk) kommunikerede med en hacker, der udgav sig for at være en kollega. Hackeren ringede til kundesupporten og påstod, at de havde problemer med at nulstille en kundes sikkerhedspinkode.

Hackeren fik til sidst nulstillet PIN-koden, hvilket gjorde det muligt for dem at få adgang til kundens konto. Dette viser, hvor lidt arbejde det i grunden kræver for hackeren at få uautoriseret adgang - de skal bare være overbevisende og tålmodige.

Baiting

Baiting (jf. lokkemad) er, som du måske har gættet, en metode, hvor hackeren lokker offeret i phishing-fælden med en eller anden form for lokkemad. Det kan være alt fra et gratis download af noget, så folk fristes til at klikke på et link eller en artikel - med clickbait. Clickbait ses ofte på nyhedssider og f.eks. youtube, hvor en content creator overtaler seeren til at klikke på videoen med en iøjnefaldende titel og thumbnail.

Et andet eksempel på baiting, som er mere ondsindet end en youtube-video, er, hvis hackere f.eks. efterlader et USB-stik et offentligt sted. De kan have forklædt harddisken med et firmalogo og en beskrivelse af, hvad USB'en indeholder. Det kan være en "lønbeskrivelse" eller "planlægningsmodel". Dette vil lokke nysgerrige forbipasserende til, som så vil indsætte USB-drevet i deres enhed. Og på den måde har hackeren lokket et offer til at installere malware på deres enhed.

Noget for noget

I quid pro quo-angrebene (jf. “noget for noget”) tilbyder hackerne noget til gengæld for oplysninger. Det kan f.eks. være, at hackeren ringer til en medarbejder og imiterer IT-supporten. Her vil de tilbyde teknisk support, men medarbejderen skal bare give dem sine loginoplysninger - ellers kan IT-supporten ikke hjælpe dem.

Hackere udnytter altså folks tillid til andre og deres villighed til at hjælpe. Det er en nem måde for hackere at få fat i følsomme oplysninger og omgå sikkerhedsprotokoller.

Tailgating

Social engineering sker ikke kun i den digitale verden. Tailgating indebærer, at en hacker eller kriminel snyder den fysiske sikkerhed i en organisation. Her følger de autoriserede medarbejdere ind i aflukkede områder, simpelthen ved at følge efter dem - enten åbenlyst ved at snige sig rundt, men de kan også udgive sig for at være f.eks. et postbud, der skal have adgang til bygningen, eller bare gå med dem og distrahere dem med en samtale.

Et eksempel på tailgating med en falsk udbringer skete i 2014. En mand, der var klædt ud som udbringer, tailgatede sin vej ind i et medicinalfirma i New Jersey, hvor han stjal medicin til en værdi af 500.000 kroner. Denne hændelse viser, hvor let det kan være at snige sig ind, og hvor vigtigt det er at være forsigtig med udefrakommende.

Vandhulsangreb

Vandhulsangrebet er inspireret af naturens rovdyr, der venter på, at deres bytte samles ved et vandhul - og så angriber de.

Princippet i den digitale verden er, at en hacker kompromitterer en hjemmeside, som de ved, at deres mål bruger meget. Hackeren går målrettet efter en bestemt gruppe mennesker ved dette angreb. De venter så på, at en af personerne i målgruppen besøger den inficerede hjemmeside, og når de har besøgt hjemmesiden, bliver de inficeret med malware.

Et eksempel på et vandhulsangreb skete i 2015, hvor en kinesisk hacker angreb Forbes.com. Hackeren inficerede hjemmesiden og udnyttede en sårbarhed, de fandt i de besøgendes browsere. Når de besøgende klikkede sig ind på hjemmesiden, blev de inficeret.

Imiteringsangreb

Imiteringsangreb er nogle af de sværeste angreb at genkende og spotte. Under dette angreb udgiver hackeren sig for at være en person eller organisation, som offeret stoler på - det kan være en kollega eller supervisor, men det kan også være politiet eller sundhedsvæsenet.

I 2016 blev direktøren for en østrigsk virksomhed, FACC (Fischer Advanced Composite Components), offer for et imiteringsangreb. Han overførte mere end 300 millioner kroner til en svindler, der udgav sig for at være en topchef.

Vi sidder måske og tænker, at det er utroligt, at han ville overføre så mange penge, men hackere kan være meget bedrageriske og overbevisende, og hvis direktøren ikke tænkte to gange over lederens ægthed, så er det ikke så utroligt at han overførte pengene.

I lyset af social engineering

Social engineering fortsætter med at være en trussel mod vores cybersikkerhed. Det udvikler sig og bliver sværere at identificere og opdage. Hackere udnytter den menneskelige psykologi og vores tillid til andre mennesker. Det understreger behovet for vores årvågenhed og for at (for)blive informeret om de trusler, vi står over for hver dag.

Vi foreslår, at du holder dig opdateret om de nyeste trusler og tendenser i cyberlandskabet. Vi kan lære af tidligere fejl, og vi kan bruge den viden til at forbedre vores cybersikkerhed og -forsvar.

Social engineering er en vanskelig og lusket måde at lokke os i fælderne på. Vi ønsker ikke at være de dyr, der samles ved vandhullet eller lokkes til phishing med lokkemad. Så lad os være på forkant og sikre vores filer, enheder og oplysninger, så de ikke ender i de forkerte hænder.

Forfatter Caroline Preisler

Caroline Preisler

Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.

Se alle indlæg af Caroline Preisler

Lignende indlæg

Styrk cybersikkerheden med en hændelses- og responsplan
cybercrime

Styrk cybersikkerheden med en hændelses- og responsplan

Hændelses- og responsplanlægning er en vigtig ressource hos virksomheder, der fokuserer på deres cybersikkerhed.

25-04-2022 · 5 min.
Pop-up-blockere og hvordan man deaktiverer dem
tips

Pop-up-blockere og hvordan man deaktiverer dem

Vi ser nærmere på, hvordan du kan deaktivere pop-up beskeder, så du kan få en god brugeroplevelse - samtidig med at forbedre din cybersikkerhed.

25-09-2023 · 7 min.
MaaS: En ondsindet serviceudbyder
malware

MaaS: En ondsindet serviceudbyder

MaaS er hackerens svar på SaaS. Læs med her og lær hvad dette indebærer, og hvordan du kan beskytte dig bedst muligt mod cyberangrebene forbundet med MaaS.

24-07-2023 · 5 min.