Social engineering (social manipulation)

Den svagaste länken i alla säkerhetssystem är alltid den mänskliga

Social manipulation handlar om att påverka människor genom att cyniskt utnyttja deras hjälpsamhet och svagheter. De flesta människor är vänliga och vill gärna hjälpa till om någon vill ha hjälp med att lösa ett problem. 

Sociala manipulatörer har alltid funnits och de har varit skickliga på att utnyttja människors godtrogenhet. Klassiska exempel är lurendrejare, bondfångare och sol- och vårare. 

Inom it-världen innebär social manipulation att man lurar användare att begå olika typer av ogenomtänkta handlingar på datorn, som till exempel att uppge kontouppgifter, lösenord eller annat som en bedragare kan ha nytta av. 

Phishing eller nätfiske är exempel på en vanlig bedrägerimetod som handlar om att skicka falska e-postmeddelanden eller sms för att lura mottagaren att lämna ifrån sig känsliga uppgifter som angriparen kan använda i syfte att begå brott.  

Mycket viktigt att alla medarbetare i en organisation är medvetna om risker med social manipulation

Alla måste vara på sin vakt mot försök till social manipulation. Detta gäller inte minst organisationens ledning och andra höga chefer, som kanske sitter på åtkomst till den mest åtråvärda informationen och som också kan ha befogenheter att göra utbetalningar. Det är viktigt att alla känner igen varningstecknen och förstår varför organisationen måste ha regler och policys som ibland kan verka onödigt krångliga och stelbenta.

Bedragarnas knep

Kriminella angripare använder sig av många olika knep för att lura till sig information eller få tillgång till en organisations datasystem. De bygger ofta upp falska identiteter, kanske låtsas vara presumtiva kunder. De är ofta vänliga och förtroendeingivande, delar kanske dina åsikter som de har tagit reda på i förväg och låtsas ha mycket gemensamt med dig.

Att utge sig för att vara en myndighet eller känd organisation med legitimt syfte att ta kontakt och inhämta information är också en vanlig metod. Mottagaren sänker kanske garden och lockas att svara på intrikata frågor.

De kan också påskina att det är bråttom att svara innan en möjlighet försvinner eller skrämmas med att något obehagligt kan inträffa

om man inte svarar eller klickar på en länk tillräckligt snabbt.

Attacker är ofta uppdelade i flera steg

Första steget kan vara att samla information om dig och din verksamhet. Du kan få falska telefonsamtal eller e-postmeddelanden med syfte att du ska lämna information som kan vara användbar för angriparen.

Andra steget brukar vara att bedragaren försöker bygga upp ett förtroende hos sitt offer genom att låtsas vara intresserad av vad organisationen har att erbjuda och att kanske anlita verksamheten

Tredje steget, slutattacken kan utföras genom att bedragaren försöker få dig att klicka på en länk eller öppna en fil som innehåller skadlig kod som till exempel ett spionprogram. Bedragaren kan då få ut känslig information och sedan få dig att göra en utbetalning eller utföra någon annan handling som kan skada din organisation.

Hur kan man skydda sig?

Här kommer några tips om hur man kan skydda sig från social engineering-attacker.

  • Det är viktigt med utbildning i säkerhetsmedvetande i organisationen. Det gäller alla medarbetare, inte minst höga befattningshavare och organisationens ledning.

  • Om en persons identitet inte kan verifieras, måste man på ett korrekt sätt vägra att lämna ut information. Detta bör stödjas av ledningens uttryckliga föreskrifter.

  • Uppmana medarbetare att inte svara på märkliga frågor från okända personer och ställa kontrollfrågor och be att få återkomma om något känns oklart.

  • Organisationen behöver även identifiera känslig information och upprätta säkerhetsrutiner och procedurer för hantering av denna.

  • Gör återkommande tester av organisationens säkerhetsrutiner och öva motstånd mot manipulationsförsök.

Behöver du hjälp med din organisations cybersäkerhet? Läs mer om våra tjänster!