Social engineering • Artikel
30 mars, 2021
Social engineering - olika tillvägagångssätt
Social engineering är en form av bedrägeri som går runt alla säkerhetssystem genom att rikta in sig på den enskilda människan. I stället för att försöka knäcka ett lösenord lurar man helt enkelt någon att lämna ut det frivilligt.
Idag är de allra flesta datoranvändare medvetna om vikten av starka lösenord, tvåstegsautentisering vid inloggning och liknande. Allt detta är bra och viktigt men skyddar tyvärr inte mot social engineering. Den ökade användningen av sociala medier ger helt nya möjligheter att få tillgång till personlig information som sedan kan användas till den här sortens manipulation.
Inte ens det säkraste inloggningssystem räcker om det går att övertyga en stressad supporttekniker att lämna ut uppgifter per telefon. Med ett hackat Facebook-konto kan en bedragare lära sig personliga uttryckssätt och vilka diskussionsämnen som är aktuella. Sådana informationsbitar kan användas för att skapa trovärdighet när det gäller att lura till sig uppgifter av personligt slag. Kunskap är därför ett viktigt skydd mot detta växande problem.
Exempel på tillvägagångssätt
Social engineering handlar till stor del om att bygga relationer, att övertyga och dupera för att få någon att göra saker som inte borde göras genom att vilseleda motparten. En social ingenjör kan exempelvis göra följande:
- Låtsas vara kund eller anställd och ringa upp supportavdelningen med låtsade akuta problem av exempelvis teknisk karaktär. Enda lösningen påstås vara att få inloggningsuppgifterna till dator eller företagsnätverket per telefon.
- Uppträda som överordnad eller någon typ av myndighetsperson och be om sekretessbelagda uppgifter från företagsnätverket, skyddade dokument eller inloggningsuppgifter av olika slag.
- Presentera sig som extern teknikkonsult som ska kontrollera företagets säkerhetssystem och därmed måste ha åtkomst till servern.
- Stjäla personliga användaruppgifter via något socialt nätverk och under falskt namn locka kontots kontakter att lämna ifrån sig känslig information.
- Låtsas utföra inspektion av något slag och bereda sig tillgång till alla skrymslen och vrår.
- Bjuda in till chat från ett stulet Facebook-konto och påstå att man exempelvis blivit rånad utomlands och därför omgående behöver hjälp med pengaöverföring.
I samtliga dessa fall handlar det om att genom övertygande argumentation och trovärdiga skäl förmå någon att lita på det som sägs och därför utföra vissa handlingar. Viljan att hjälpa andra i en påstådd nödsituation är mycket stor hos de flesta och bedrägeriet är då lätt ett faktum. De som sysslar med social manipulation kan också bygga upp ett förtroende över tid och själva visa hjälpsamhet för att sedan utnyttja andra för egen vinnings skull.
Varför ökar antalet attacker av den här typen?
I dag används avancerade säkerhetssystem i bank- och företagsvärlden som är komplicerade att ta sig förbi. Vanliga medborgare och teknikanvändare har också fått en ökad medvetenhet vad gäller säkerhet och lösenordshantering. I stället för att försöka knäcka koder och säkerhetsalgoritmer med risk att lämna elektroniska spår så kan kriminella personer genom den här typen av social ingenjörskonst vädja till vanliga människors inbyggda vilja att hjälpa till. Det är ofta människan som är den svagaste länken i de flesta system, med social engineering och manipulation går det att göra ekonomiska vinster eller komma åt information som sedan kan säljas vidare eller utnyttjas på olika sätt.
Hur kan man skydda sig
Bästa sättet att skydda sig är som alltid, att ha kunskap om vilka risker som finns och hur det kan gå till. Ett viktigt och effektivt skydd är att se till att de egna, personliga uppgifterna inte lämnas ut till andra, inte ens en påstådd Facebook-vän eller någon som säger sig vara överordnad eller i ett nödläge av något slag. De personliga användaruppgifterna ska vara, just personliga och hanteras därefter.
Det är dock svårare än det låter att vara konsekvent i detta. Tänk bara på hur lätt det är hänt att en person med stress i blicken som påstår sig ha glömt något viktigt på kontoret blir insläppt i huset av den som just själv dragit sitt passerkort och öppnat entrédörren. De flesta vill automatiskt hjälpa till i en sådan situation och låter bli att dubbelkolla om personen verkligen har rätt att vistas i fastigheten. Det kan alltså vara bra med lite överdriven försiktighet, att inte automatiskt lita på någon som frågar efter personliga eller på annat sätt känsliga uppgifter eller behörighet av något slag. Kontrollera alltid först på lämpligt sätt om frågeställaren verkligen är den person hen utger sig för att vara.
Även små informationsbitar kan alltså användas för att skapa förtroende och utnyttja falska digitala eller verkliga identiteter. Det finns därför även andra aspekter som är viktiga att tänka på för att försvåra för sociala ingenjörer att få tillgång till sådan information. Undvik helst att koppla samman olika onlinetjänster på ett sådant sätt att en attack ger åtkomst till hela det digitala livet. Visst är det enkelt att använda Facebook-inloggning till webbutiken, spelsajten, Instagram och andra ställen. Men om lösenordet till Facebook kommer på avvägar kan alla sammankopplade tjänster bli tillgängliga och utnyttjas för social manipulation eller identitetsstöld. Konsekvensen kan också bli att samtliga tjänster måste stängas ner.
Många internettjänster använder olika typer av säkerhetsfrågor som kan användas som identifikation om lösenordet tappas bort. Ofta är frågorna av så enkel karaktär att den som vill lätt kan hitta svaren på nätet eller exempelvis i sociala medier. Försök därför att välja, eller om möjligt skapa en egen säkerhetsfråga där det inte finns möjlighet att hitta svaret på nätet, eller ljug i svaret och kom ihåg lögnen.
Ta gärna för vana att regelbundet kontrollera kontoaktiviteter på sociala medier eller i molnet. Har det lagts till några nya kontakter, mappar eller grupper som inte borde vara där? Finns det nya applikationer kopplade till kontot? Om någon oönskad aktivitet upptäcks är det viktigt att omedelbart byta lösenord och därefter vid behov meddela andra som kan vara berörda av att kontot blivit hackat.
Social engineering ett allt större hot mot företag
Det har under senare tid skett uppmärksammade attacker där bedragare lurat till sig stora belopp av företag. Amerikanska teknikföretaget Ubiquity drabbades exempelvis väldigt hårt när en bedragare lyckades komma åt 39 miljoner dollar via en väl genomförd attack.
Men det är inte bara utomlands attackerna blir fler och mer kostsamma för företagen. Även här i Sverige dyker det nu upp allt fler fall. Polisens nationella bedrägericentrum rapporterade i september 2015 om hur svenska storbolag blivit avlurade mellan 30-50 miljoner.
Vi vet hur man ska hantera social engineering
Vi på Sentor har gedigen erfarenhet av att hjälpa företag att minimera riskerna för att drabbas av social engineering-attacker. Under åren har vi hjälpt förerag med allt från skräddarsydda utbildningar, till rådgivning och tester av säkerhetsrutiner.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel