Social engineering, på svenska även kallat social ingenjörskonst eller social manipulation, är ett samlingsnamn för all typ av bedrägeri där man går runt säkerhetssystem genom att lura människan snarare än det tekniska systemet. Säkerhetssystem har blivit säkrare och därmed mer komplicerade att ta sig förbi, så istället för att knäcka ett lösenord försöker man få någon att frivilligt uppge det. Ett system är inte säkrare än den svagaste länken vilket gör att kriminella idag i flera fall väljer att gå på användaren.
Hur en social engineering-attack går till
En social engineering-attack kan se ut på många olika sätt men gemensamt är att man försöker lura av offret information som ska vara hemlig. Det varierar mellan allt ifrån lösenord till att man avslöjar vem som innehar information om något.
Det här är en katt-och-råtta-lek mellan hackarna och offren. Attackerna är under ständig utveckling och det är svårt att peka ut vilka specifika tecken användaren ska hålla uppsikt över. Istället är det en övergripande förståelse och ökat säkerhetsmedvetande som vi anser är det bästa skyddet mot de s.k. social engineering-attackerna.
Fem viktiga saker att tänka på för att undvika att luras
Nedan följer ett antal riktlinjer vi på Detectify har tagit fram för att hjälpa dig att stå emot en social engineering-attack. Det handlar slutligen om att alltid ha ett säkerhetstänk i beaktning, men det kan vara skönt att ha något att gå efter till en början:
1. Bekräfta informationen själv
Se till att i den mån det går bekräfta information själv innan du blint litar på den. Ringer banken upp och varnar om en misstänkt korttransaktion så lägger du på och ringer upp själv, på så vis vet du att det faktiskt är banken du pratar med. Får du ett mail från din bank skriver du själv adressen till banken än klickar på en länk i mailet.
Samma tanke går att applicera på det mesta, det gäller inte bara scenarier som innefattar information från banken.
Kom också ihåg att information inte nödvändigtvis är korrekt för att en nära vän skickar den till dig över t.ex. Facebook. Det är möjligt att vännen har blivit hackad, och att förövaren nu försöker lura dig genom dennes konto. Samma sak gäller här, försök att själv bekräfta viktig information innan du agerar på den.
Slutsats: Se till att i den mån det går att bekräfta information själv innan du blint litar på den.
2. Inse att du inte alltid är slutmålet
Inse att du inte alltid är slutmålet. Informationen som förövaren försöker få av dig kanske inte uppfattas som så viktig vid första anblicken, men kan komma att användas i en längre kedja.
Kanske försöker hackaren komma över ditt mailkonto för att därifrån lura en av dina kollegor. Annars kanske målet är att du ska uppge vem som sitter på en viss typ av information för att de därefter ska kontakta denne och fortsätta attacken.
Slutsats: Inse att du inte alltid är slutmålet utan kan vara en del av en längre kedja.
3. Fundera över förfrågans rimlighet
Banker och andra liknande institutioner frågar aldrig efter privat information över mail vilket gör det möjligt att avslöja ett bedrägeriförsök omedelbart. Samma policy borde gälla även internt på företag. Ni får aldrig fråga era anställda efter lösenord över mail eller telefon. Om ni gör det, hur ska en anställd kunna veta när en sådan förfrågan är legitim eller inte? Nolltolerans måste råda om detta ska ha effekt.
Om ni har en klar policy om att aldrig fråga över sådan information över mail eller telefon blir det tydligt för den anställde att den inte heller ska uppge detta när en hackare hör av sig. Här är det fördelaktigt att ha en skriftlig policy som den anställde kan luta sig tillbaka på och inte behöva uppfattas som otrevlig när den väljer att inte besvara en fråga.
Slutsats: Ifrågasätt förfrågans rimlighet och inför nolltolerans av lösenord över mail.
4. Agera inte i panik
Det ligger i människans natur att inte agera rationellt vid panik eller hög stress. Detta är något kriminella vet om och gärna utnyttjar.
De som utnyttjar detta brukar ofta försöka skapa en känsla av att man måste agera nu. En allvarlig bankman som ringer dig och säger att du snabbt måste uppge dina kontokortsuppgifter för att stoppa ett pågående kontokortsbedrägeri eller en uppstressad IT-tekniker som väldigt snabbt måste ha ditt lösenord för att förhindra en stor IT-krasch.
Här är det viktigt att inse sina egna brister och förmåga att tänka under panik. Det är sällan så bråttom att man inte kan ta några sekunder extra och tänka igenom förfrågan. Är det man frågar efter rimligt? Kan du själv bekräfta det först?
Postnord-viruset som fick stor spridning skickades ofta precis innan de anställda lämnade jobbet. Man var på väg hem, skulle precis avsluta det sista, och tänkte inte igenom sina handlingar innan man gick vidare för att tillslut ladda ner viruset.
Slutsats: Inse dina egna brister vid en stressad situation. Om du själv är medveten om att risken är förhöjd är chansen större att du inte blir lurad.
5. Skuldbelägg aldrig dina anställda
Driver du ett småföretag med ett mindre antal anställda är det av yttersta vikt att inte skuldbelägga dem för att de går på vad som i efterhand känns som en uppenbar bluff. Som tidigare nämnt är de som sysslar med detta väldigt duktiga på att anpassa attacken så att den känns relevant i sammanhanget och vad som låter dumt i efterhand kan mycket väl verkat rimligt i en stressad situation.
Skuldbelägger man de anställda uppstår också en farlig situation där de inte vågar rapportera när de misstänker att de har blivit utsatta för ett bedrägeri. Man mörkar det och hoppas att inget mer kommer hända för att man skäms.
– Nej, det här är nog ganska pinsamt att berätta om. Att man inte känner igen sin egen chef på rösten känns inte så kul att berätta, men det har förekommit, säger Per Geijer, säkerhetschef på branschorganisationen Svensk Handel, till SVT Nyheter.
Källa: SVT
När de anställda inte vågar vara ärliga mot sina chefer så ger man hackaren möjlighet att jobba vidare i fred istället för att attacken hade kunnat förhindrats.
Slutsats: Skuldbelägg aldrig de anställda, de måste vara bekväma i att rapportera misstankar för att ett bedrägeri ska hinna stoppas i tid.
Avslutningsvis rekommenderas följande två minuter långa Youtube-klipp…
…som tydligt demonstrerar hur snabbt en duktig utövare av Social Engineering kan arbeta för att ta över någons hela telefonabonnemang. Attacken i sig är inte det intressanta, men nu har du förhoppningsvis lite större förståelse för metoden som används och kommer kunna låta bli att bli lurad om du själv drabbas!
Nästa månad är vi tillbaka med del 3 av Säkerhetsskolan för småföretagare som kommer att handla om betydelsen av HTTPS, dvs att ha en krypterad sajt. Finns det något särskilt du vill att vi ska ta upp eller som du undrar över? Maila dina önskemål eller frågor till linus@detectify.com.
Läs övriga delar av Säkerhetsskolan för småföretagare:
- Del 1: 7 vanliga säkerhetsrisker inom e-handel – och hur du undviker dem
- Del 3: Syns bättre på Google – och 3 andra anledningar att använda SSL
Inlägget är skrivet av Linus Särud (Twitter: @_zulln), 17, som redan som 13-åring började intressera sig för it-säkerhet. Han har bland annat hittat allvarliga säkerhetsbrister i Google’s system, skrivit om it-säkerhet för IDG Sverige och jobbar som Security Researcher på it-säkerhetsbolaget Detectify vid sidan av sin skolgång på gymnasiet. På Detectify ansvarar han både för att leda omfattande säkerhetsundersökningar, skriva artiklar och guida kunder i supporten.
Fler tips om säkerhet från Loopia-bloggen
» Virus via e-postbilagor ökar – Så här skyddar du dig
» Skydda dig mot spammare och domänpirater med Loopia Domänskydd
» 8 myter om säkerhet online – så här ligger det till egentligen
2 svar på “Så undviker du som företagare att luras av social engineering-bedrägerier – 5 tips”