Både privatpersoner og virksomheder står over for en voksende cybertrussel nu, hvor information flyder frit, og følsomme data ofte kun er et enkelt klik væk. Trussel, vi står over for, er kendt som social engineering; den er ikke afhængig af avanceret software eller sofistikerede hacking-taktikker. Det er en bedragerisk teknik, der bruger psykologisk manipulation til at målrette menneskelig adfærd og følelser i modsætning til computerfejl og sårbarheder.
Social engineering er kernen i phishing, så derfor vil vi grave dybere ned i fænomenet, se på, hvad det er, hvordan det kan se ud, og hvordan du beskytter dig selv og din virksomhed mod at falde for dens lumske tricks.
Vi har et blogindlæg om de seks principper af social engineering her.
Hvad er social engineering?
Grundlæggende set er social engineering en teknik, som hackere bruger, til at få adgang til vigtige data, systemer eller geografiske placeringer ved at udnytte folks psykologiske tendenser. Det er kunsten at bedrage, hvor hackerne bruger en række forskellige strategier for at overtale deres ofre, til bl.a. at:
- Dele følsomme oplysninger.
- Udføre aktiviteter, der er i strid med deres holdning og interesser.
- Give uautoriseret adgang til vigtige filer, fysiske områder og data.
Social engineering udnytter det svageste led i sikkerhedskæden: mennesker. Traditionel hacking koncentrerer sig om at udnytte software- eller hardwarefejl, mens social engineering er rettet mod menneskene, der sidder med teknologien.
Psykologien bag social engineering
For at forstå social engineering er vi nødt til at forstå de grundlæggende psykologiske metoder og strategier, som hackere bruger for at få succes med deres angreb. Nogle vigtige psykologiske elementer, som social engineering er afhængig af, omfatter:
-
Tillid og positiv evaluering: Folk har ofte en tendens til at sætte deres lid til andre mennesker eller andre autoritative personer, som de kan lide og respekterer. Hackere imiterer ofte en troværdig person, for at narre ofre til at opgive private oplysninger.
-
Frygt: Frygt kan sløre offerets dømmekraft og øge sandsynligheden for impulsive og tankeløse beslutninger. Hackerne bruger trusler og intimidering til at skabe en følelse af, at det haster, og tvinge deres offer til at agere, som hackeren ønsker.
-
Nysgerrighed: Mennesker er i sagens natur nysgerrige væsener, og hackerne bruger typisk denne egenskab til at lokke ofre til at klikke på ondsindede links eller downloade inficerede filer, ved at gøre phishingen attraktiv for offeret..
-
Social accept: Folk har en tendens til at følge andre og udføre de handlinger, de ser eller hører andre gøre. Hackere kan udnytte dette ved at henvise til andre personer, som offeret kender, har fulgt de samme instrukser, som der er i mailen som offeret modtager.
-
Mangel på viden: Mange mennesker er ikke klar over de mange social engineering-teknikker, der bliver brugt af hackerne, hvilket efterlader dem åbne for manipulation - de bliver altså mere tilbøjelige til at adlyde phishingen, når de ikke er opmærksomme på truslen.
Typer af social engineering
Der findes mange forskellige former for social engineering, og hver af dem har sine egne strategier og mål. Nogle af de mest typiske metoder, som bliver brugt ved social engineering, er:
-
Phishing: Phishing-angreb er falske e-mails, beskeder eller hjemmesider, der ligner legitime organisationer i et forsøg på at narre modtagere til at dele private oplysninger, såsom loginoplysninger eller bankoplysninger.
-
Pretexting: Ved pretexting opdigter angriberen en situation eller et påskud for at overbevise offeret om at dele deres følsomme data. De kan bruge overbevisende metoder til at få oplysninger, mens de imiterer en officiel person eller organisation.
-
Baiting-angreb handler om at overtale folk ved at tilbyde dem noget, de gerne vil have, f.eks. et gratis program eller softwareopdatering - men det, de i virkeligheden får, er malware. Når offeret accepterer lokkemaden, har angriberen adgang til deres computer.
-
Tailgating, ofte kaldet piggybacking, går ud på, at en kriminel fysisk følger efter en person, der har adgang til et bestemt aflukket sted. Gerningsmændene udnytter folks naturlige høflighed til at holde døren for andre - eller ikke stille spørgsmål til dem, der følger efter, når de går ind i sikre områder og kontorer. Dette er tilfældet selv med folk, de ikke ved, om de har lov til at være der eller ej.
-
Noget for noget: I denne type angreb giver hackeren noget af værdi, som teknisk assistance eller en gave, i bytte for adgang til eller viden om følsomme oplysninger. For at påvirke målet bruger de princippet om gensidighed; du får noget, og så får jeg også noget.
-
Efterligning: Hackere kan efterligne medarbejdere, tjenesteudbydere eller andre personer for at få oplysninger eller adgang til aflukkede områder.
Eksempler på social engineering
For at give dig en bedre forståelse af, hvordan social engineering kan se ud, har vi samlet et par eksempler på de lumske metoder nedenfor:
Udnytter en sikker hjemmeside
I dette tilfælde vælger angriberne en hjemmeside, som deres målgruppe ofte besøger, og bryder så ind på den ved at installere malware på hjemmesiden - eller de laver en falsk hjemmeside, der enten ligner den ægte på en prik eller er afhængig af slåfejl (jf. typos), hvilket også er kendt som typosquatting. Brugernes enheder bliver altså hacket, når de går ind på den ondsindede hjemmeside uden at være særligt opmærksomme på hjemmesiden de tilgår.
CEO-svindel
Angribere udgiver sig for at være højtstående ledere i en virksomhed, og bruger som regel mails til at bede medarbejdere om hasteoverførsler eller følsomme data. Medarbejderne er derfor under indtryk af, at de gør det på opfordring af deres overordnede.
Svindel med teknisk support
Svindlere ringer til folk og fortæller dem, at deres computer er inficeret med malware, mens de udgiver sig for at være en repræsentant fra en kendt teknikvirksomhed. Derefter bliver ofrene bedt om at downloade software, der skal "hjælpe" med at løse deres problem - denne software er ondsindet software, som derfor enten installerer virus eller inficerer enheden.
Pharming
De IT-kriminelle hacker routere eller ændrer DNS-indstillingerne (Domain Name System) for at omdirigere brugere til falske hjemmesider, der ser legitime ud. Uden at vide det, giver ofrene disse falske hjemmesider personlige oplysninger, som hackerne derefter kan sælge på the dark web eller udnytte til en økonomisk gevinst.
Fælles for dem alle er, at hackerne udgiver sig for at være mennesker eller organisationer, vi stoler på. Derfor er social engineering endnu mere udspekuleret end så mange andre former for cyberkriminalitet.
Beskyt dig selv og din virksomhed
I betragtning af, hvor almindelige social engineering-angreb er, er det afgørende at være opmærksom og opdateret på tendenser, når man bekæmper dem. Følgende taktikker kan hjælpe dig og din virksomhed med at forbedre jeres cybersikkerhed.
Først og fremmest er awareness-træning nøglen til at være et skridt foran hackerne. Med awareness-træning lærer du at spotte phishing og social engineering og dermed omgå de ondsindede filer og links, som hackerne sender til dig. For det andet er det vigtigt at holde sine systemer opdateret. Selvom social engineering er rettet mod mennesket og udnytter menneskelige fejl, skal vi have et sikkerhedsnet, hvis vi ikke skulle opdage phishing. Så vores teknologi skal være så sikker som muligt - det sikrer du ved at opdatere din software og dine enheder, så de har alle de seneste patches og sikkerhedsopdateringer.
- Du bør også være forsigtig med uopfordrede beskeder og opkald - især hvis de beder om personlige og følsomme oplysninger. En god tommelfingerregel er at verificere den person, du kommunikerer med, før du giver nogen oplysninger.
Dernæst anbefales det, at du bruger MFA (multi-faktor godkendelse). Det tilføjer et ekstra lag af sikkerhed til dine konti og enheder. Det gør det sværere for hackere at tvinge sig adgang til din konto, da de har brug for denne ekstra godkendelse.
Endelig er din fysiske sikkerhed også vigtig. Du kan implementere forskellige sikkerhedsforanstaltninger på din arbejdsplads, f.eks. nøglekort, sikkerhedsbadges og adgangskontrolsystemer. På den måde sikrer du, at ingen uautoriserede personer kan få adgang til din arbejdsplads og dine kontorer. Du bør derfor rapportere enhver mistænkelig aktivitet - både fysisk og online. Ved at skabe bevidsthed om denne mistanke minimerer man risikoen for at blive ramt af cyberangreb. Når virksomheder ved, at dette er en risiko, implementerer de typisk sikkerhedsrevisioner for at blive opdateret om sikkerhedsrisici og fejl - som kan rettes, før de bliver udnyttet af ondsindede aktører.
I en cyberverden
En farlig trussel, som social engineering, udnytter folks følelser til at lykkes cyberkriminalitet. Hackerne fortsætter med at udvikle deres strategier i takt med den teknologiske udvikling, hvilket gør det nødvendigt for mennesker og organisationer at forblive årvågne og trænede i de forskellige typer af social engineering og cybertrusler.
Vi kan alle beskytte os mod det evigt udviklende trusselslandskab ved at forstå hackernes tankegang bag disse angreb og implementere stærke (cyber)sikkerhedsforanstaltninger i vores liv. Husk på, at viden er dit stærkeste våben i cyberverden, og at forsigtighed kan hjælpe dig med at forhindre selv de mest geniale angribere i at få dig, som deres næste offer.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler