Hvad er social engineering?
Den gængse forståelse af en hacker er en person, der tiltvinger sig uretmæssig adgang til andres data ved hjælp af sin computer. Den gængse forståelse af hvordan man bedst beskytter sig mod hackere, er med Firewalls, stærke passwords, virusprogrammer og VPN-tjenester.
Intet af dette er forkert, men moderne hackere forsøger ikke bare at finde svagheder i din software. Gennem såkaldt social engineering afsøger kriminelle svagheder hos dig og dine ansatte - svagheder som intet virusprogram kan beskytte dig imod.
Hvad er social engineering, og hvordan undgår du det? Læs mere herunder.
Målrettet manipulation
Social engineering er en strategi, hvor svindlere manipulerer med deres ofre med henblik på at få adgang til fortrolige data. Hvis traditionel hacking kan sammenlignes med et indbrud i computeren, har social engineering mere tilfælles med tricktyveri; i stedet for at dirke låsen op, manipulerer hackeren her billedligt talt sit offer til at åbne døren for dem eller efterlade nøglen under måtten.
Centralt i strategien er, at man målrettet går efter at udnytte offerets følelser. Det kan f.eks. være ved at vække følelser af nysgerrighed, frygt, eller tillid. Ofte vil denne manipulation have et element af hastværk, så man som offer ikke føler, at man har tid til at dobbelttjekke.
Den mest kendte type af angreb er såkaldt phishing, hvor offeret kontaktes og opfordres til at dele de fortrolige data. Denne form for angreb foregår både via email, telefonopkald og SMS-beskeder, hvor afsenderen hævder at være en troværdig autoritetsfigur, som har brug for at offeret deler data med dem eller overfører penge. Du kan læse mere om phishing her.
Nogle gange kaster hackeren et bredt net med enslydende meddelelser til mange modtagere. Den slags går heldigvis ofte at gennemskue for de fleste, men det er vigtigt alligevel at være opmærksom, da angrebene bliver mere sofistikerede hele tiden. Endnu sværere bliver det, når hackeren går målrettet efter enkeltpersoner bevæbnet med grundig research.
Vi er alle sammen meget mere online end tidligere – både privat og på arbejde. Der er masser af oplysninger om os alle sammen online, og det meste af det er ikke svært at finde. Med simple værktøjer som Google, Facebook, Instagram, LinkedIn og sågar din egen virksomheds hjemmeside vil en målrettet hacker kunne lære rigtigt meget om dig og dine ansatte. Og med disse oplysninger vil angreb kunne målrettes meget skarpere, da en dygtig hacker vil kunne indarbejde detaljer i både sprog og indhold, som gør angrebet mere troværdigt:
"Jeg ved godt, at du er i Frankrig lige nu, og jeg vil ikke forstyrre mere end højst nødvendigt på din ferie, men jeg har brug for, at du sender mig koden til..."
"... og det skal gå stærkt!"
Du får en SMS fra PostNord: Du skal betale told, for ellers bliver din pakke sendt retur. Din chef ringer dig op: Han har brug for passwordet til jeres økonomisystem lige nu! Du får en mail fra Skat: Du skal klikke på et link for at opdatere dine oplysninger. It-afdelingegn kontakter dig: Du skal installere en opdatering på din computer med det samme. Din kollega skriver til dig sent på aftenen: Han har glemt noget vigtigt på arbejdspladsen, og nu kan han ikke huske koden til døren.
Selvfølgelig vil du gerne være hjælpsom. Selvfølgelig vil du gerne gøre de ting, du bliver bedt om.
Men ved du reelt, hvem der er i den anden ende?
Mere end bare phishing
Phishing-angreb er ikke den eneste måde at manipulere følelser for at få adgang til data.
Af sikkerhedsmæssige årsager kræver mange firmaer nøglekort og koder for at bevæge sig frit rundt i virksomhedens lokaler. Et udbredt fænomen indenfor social engineering er såkaldt tailgating, hvor uvedkommende personer sniger sig ind, samtidigt med autoriseret personale. Det opnås ofte ved at appellere til medarbejderens tillid eller dårlige samvittighed - ingen har lyst til at lukke døren i ansigtet på en person, man tror, har ret til at være der.
På samme måde føles det måske harmløst at give gæster adgang til virksomhedens primære Wi-Fi, men for en dygtig hacker vil dette faktisk betyde, at vedkommende kan overvåge andre brugeres aktivitet på nettet.
Et andet snedigt trick der spiller på medarbejderes nysgerrig, er at efterlade en interessant udseende USB-pind på virksomhedens præmisser. Hackerens håb her vil typisk være, at USB-pinden forbindes med én af virksomhedens computere, så computeren inficeres med såkaldt malware.
Gør dig mindre sårbar overfor social engineering
Social engineering-angreb er snedige, men du kan tage en række skridt for at gøre dig mindre sårbar overfor dem.
- Træk vejret en ekstra gang: Hvis du får en besked, som kræver hurtig handling, så træk vejret en ekstra gang, før du klikker på noget, og før du deler nogen oplysninger. Sørg for, at du er helt sikker på, hvem der er i den anden ende.
- Anvend stærke passwords og ændr dem regelmæssigt: Det er grundlæggende it-sikkerhed at udskifte sine passwords løbende. Hvis det er muligt, anvend da multifaktorgodkendelse (MFA) på virksomhedens systemer.
- Undgå sjove tests på sociale medier: Tests der beder dig kombinere din yndlingsfarve, din livret, navnet på din folkeskole og din mors pigenavn, kan være sjove, og de spreder sig hurtigt via sociale medier. De er værd at undgå, da hackere ofte bruger disse målrettet til at opsnappe personlige oplysninger, som f.eks. kan være nøglen til sikkerhedsspørgsmål.
- Hold ikke yderdøren åben for folk, du ikke kender, og lån ikke dine nøgler ud: Det føles ikke rart, men kun hvis alle bruger deres egne nøgler, kan man være sikker på, at ingen færdes, hvor de ikke har lov til.
- Luk din computer og telefon, når du forlader dem – også på jobbet: Ved at efterlade din computer eller telefon ulåst, giver du uvedkommende muligheden for at få adgang til dine filer. Dette er ekstra vigtigt, hvis du er logget ind på programmer, hvor der findes fortrolige oplysninger.
- Konfronter venligt personer, du ikke kender på arbejdspladsen: Hvis du ser en person på arbejdspladsen, som du ikke har set før, spørg da vedkommende – venligt – om du kan hjælpe med noget. Hvis gæsten hævder at lede efter en navngiven kollega, følg da gæsten hele vejen til kollegaen.
- Hav en klar politik i forhold til fremmede USB-pinde: Sørg for, at de ansatte ved, at fundne USB-pinde skal indleveres, og at de ikke skal i kontakt med virksomhedens maskiner. Undgå derudover at gæster eller kunder bruger deres egne USB-pinde på virksomhedens maskiner.
- Sørg for at have et gæstenetværk: Du ønsker ikke, at uvedkommende skal have adgang til dit primære netværk, da dette gør dig sårbar overfor både overbelastning og overvågning af netværket. Tilbyd gæster adgang til et gæstenetværk, og sørg for at koden til dette udskiftes regelmæssigt.
- Gør brug af en VPN-tjeneste: Selv hvis du bruger gæstenetværk, er det en god idé at sikre dit netværk med en VPN-tjeneste. Det krypterer dine data og gør det sværere at spore aktivitet på virksomhedens computere.
3 konkrete måder at opgradere din it-sikkerhed
I takt med at it-kriminalitet bliver mere sofistikeret, bliver it-sikkerhed mere kompliceret. Her er 3 konkrete skridt, du kan tage for at gøre it-sikkerhed lidt lettere.
Snak med os om cyberforsikringRelevante it-forsikringer
Du kan tage mange skridt for at undgå social engineering og anden it-kriminalitet, men nogle gange er uheldet alligevel ude. I de tilfælde er det vigtigt, at du har en relevant it-forsikring, der dækker dine behov. Læs mere her, eller bestil et uforpligtende og skræddersyet tilbud.