Du har hørt det så mange gange før. Hackere kan gennem deres computer tvinge sig adgang til andres data eller computersystemer. Det er derfor vigtigt at beskytte sig mod hackere med firewalls, antivirus-programmer og andre tekniske foranstaltninger. Men hackere har i de seneste år udviklet deres strategier - og det er ikke længere kun software, de finder brister i. Gennem social engineering, også kaldet human hacking, udnytter hackere menneskers måde at bearbejde information på og påvirker den til deres egen fordel.
Når mennesker bliver hacket
Social engineering er målrettet manipulation. Det er en proces eller strategi, hvor hackere manipulerer deres ofre til at opgive fortrolige oplysninger eller give adgang til deres computersystem. Social engineering kan foregå både online og offline, men langt de fleste ofre rammes af digitale social engineering-angreb.
Hackere udnytter typisk seks nøgleprincipper til at påvirke deres ofre, nemlig autoritet, intimidering, social accept, knaphed, tidspres og positiv evaluering. Gennem de principper kan de vække bestemte følelser i deres ofre, som kan svække ofrenes dømmekraft - hvilket gør dem mere tilbøjelige til at foretage hackernes ønskede handlinger.
Autoritet: Hackere vil ofte fremstå som en autoritet, f.eks. en velkendt virksomhed eller ofrenes egen virksomheds direktør. Her udnytter de, at de fleste mennesker følger deres overordnede, enten fordi de stoler på dem, eller fordi de ikke vil sige fra overfor en autoritet.
Intimidering: I mange social engineering-angreb indgår der advarsler eller trusler om negative konsekvenser, hvis offeret ikke følger hackernes anvisninger.
Social accept: Mennesker følger mennesker og har tendens til at gøre ting, som de ser eller hører, at andre mennesker gør. Dette kan hackere udnytte ved at nævne andre personer, måske nogen som offeret kender, i deres angreb.
Knaphed: Hvis noget opfattes som en mangelvare eller kun er tilgængeligt i kort tid, vil det skabe efterspørgsel. Derfor vil hackere ofte nævne, at der kun er et begrænset antal af en bestemt vare.
Tidspres: Ved at inkorporere hastværk, f.eks. korte deadlines, vil de fleste mennesker føle, at de ikke har tid til at dobbelttjekke og derfor skal reagere med det samme.
Positiv evaluering: Mennesker vil i højere grad hjælpe nogen, de kan lide - eller de tror, at de kan lide. Derfor vil hackere ofte fremstå som høflige og venlige, eller de vil måske udgive sig for at være nogen, offeret kender.
Udover at hackere gennem disse principper kan udnytte menneskers manglende evne til at tænke kritisk, kan de også udnytte andre gængse menneskelige træk, såsom nysgerrighed eller ønsket om at være hjælpsom. Ved at tilbyde et spændende og lukrativt job kan hackere gøre offeret så nysgerrig, at vedkommende ikke kan lade være med at klikke på det falske jobopslag. Og ved at udgive sig for at være offerets kollega, der ikke kan færdiggøre en opgave grundet en familiekrise, kan offerets medlidenhed og ønske om at hjælpe sin kollega lede offeret til at downloade en falsk rapport.
Social engineering-angreb
Der er forskellige måder, hvorpå social engineering processer kan foregå. Social engineering-angreb kan udføres stort set alle steder, hvor der forekommer menneskelige interaktioner, og det er derfor ekstra vigtigt at forstå, hvad social engineering er, og hvordan det kan udføres.
Vil du med på fisketur?
Phishing-angreb er det mest anvendte cyberangreb i verden. Et eksempel på et typisk phishingangreb er en e-mail, der gør offeret opmærksom på, at deres adgangskode til et program eller tjeneste udløber, og at de skal ændre den med det samme gennem et link. Når offeret klikker på linket, bliver de sendt til en falsk phishing-hjemmeside, der ligner en legitim virksomheds hjemmeside. Her skal offeret indtaste nogle fortrolige oplysninger og den nye adgangskode. Disse informationer sendes derefter til hackerne.
Madding på krogen - det er ikke altid godt at være nysgerrig
Baiting er en måde at vække offerets interesse på, og det kan foregå både online og offline. En fysisk måde at baite på er ved at efterlade noget hardware, f.eks. et USB-stik, et offentligt sted, hvor hackeren ved, at der færdes mange mennesker. Det kan være lobbyer, elevatorer, toiletter eller parkeringspladser. USB-stikket kan have en label med et firmalogo og en beskrivelse af indholdet, f.eks. en lønoversigt. Af ren nysgerrighed tager offeret USB-stikket med hjem og indsætter det i vedkommendes computer, som derefter inficeres med malware.
Vishing og smishing - phishing gennem telefonen
Begge slags angreb er variationer af phishing. Vishing, eller “voice-phishing”, er angreb gennem telefonopkald. Hackerne ringer offeret op og udgiver sig for at komme fra en velkendt virksomhed, som har brug for nogle informationer. Ved smishing bruger hackerne SMS’er som medie til at lokke oplysninger ud af offeret. Online baiting kan f.eks. være reklamer, der lokker med interessante tilbud. Når offeret klikker på reklamen, ledes vedkommende til en falsk hjemmeside eller til at downloade noget malware.
Indsamling af informationer gennem pretexting
Modsat de tidligere nævnte social engineering-angreb er pretexting ikke et enkeltstående angreb. Pretexting er en længere proces, hvor hackeren udgiver sig for at være en autoritet eller en bekendt. Gennem processen etablerer hackeren et tillidsforhold til offeret og indsamler langsomt personlige informationer fra offeret. Offeret er i den tro, at vedkommende hjælper “autoriteten” eller “den bekendte” med at udføre en vigtig opgave.
Den irriterende ven i gruppen
Mailhacking er en type af angreb, hvor hackere tvinger sig adgang til offerets e-mailkonto eller social mediekonto, hvorefter de kan få adgang til offerets kontaktpersoner. Hackerne sender falske beskeder til kontaktpersonerne, som f.eks. kan indeholde “sjove videoer” fra deres ven, som linker til en falsk hjemmeside eller indeholder malware. Det kan også være en besked om, at vennen er i problemer og har brug for penge.
Skræmme teknikker der virker
Gennem angreb kaldet scareware kan hackere bombardere offeret med falske trusler, både i e-mails og internet browsere. Et almindeligt scareware-angreb sker gennem falske pop-up bannere, der dukker op i offerets internet-browser. I banneret står der, at offerets computer er blevet inficeret med malware eller spyware. Offeret skal derfor downloade et værktøj, som kan hjælpe dem. Dette værktøj består af malware, som hackerne bruger til at få adgang til offerets data.
Vær opmærksom og overlist hackerne
Selvom hackere er blevet gode til at manipulere deres ofre, så er der flere måder, du kan beskytte dig selv eller din arbejdsplads på.
Træk vejret og tænk dig om. I en travl hverdag føler man måske ikke, at der er tid til at nærlæse e-mails. Men det er vigtigt, at man altid læser e-mails og forstår indholdet. Derefter kan man spørge sig selv; Giver indholdet mening? Er det relevant for mig? Kan det passe, at jeg pludselig skal reagere med det samme?
Tjek informationer. Hvis du ikke venter på en e-mail fra en bestemt person eller virksomhed, er det altid en god idé at undersøge de informationer, der fremgår i e-mailen. Ofte vil de indeholde navne eller telefonnumre, som du kan tjekke ved at finde virksomhedens legitime hjemmeside.
Udenlandske tilbud er ikke til at stole på. Hvis du nogensinde modtager e-mails fra udenlandske kilder, der tilbyder lotterigevinster, pengepræmier eller penge fra ukendte onkler, så er det stort set altid et svindelnummer.
Brug søgemaskine i stedet for links. I digitale social engineering-angreb fremgår der oftest links, du skal klikke på. Hvis du er i tvivl, så brug en søgemaskine til at finde frem til den hjemmeside, som linket angiveligt leder dig hen til.
Pas altid på med at downloade filer. Du skal som udgangspunkt altid passe på med at downloade filer. Dette gælder især, hvis du ikke forventer at modtage en fil, eller hvis du ikke kender afsenderen.
Kend oprindelsen. Dette gælder især fysisk hardware, såsom USB-stiks og flashdrives. Hvis du ikke er helt sikker på, hvor et stykke hardware kommer fra, og hvad det indeholder, så skal du aldrig sætte det til din computer.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer