Social engineering – manipulation på et højere plan

[fa icon="calendar"] 07-08-17 13:01 / Skrevet af GlobalConnect A/S

cybertrusler-2.png

For ikke så mange år siden var det ganske udbredt, at medarbejdere såvel som privatpersoner modtog e-mails fra vildfremmede mennesker, der bare lige skulle have et password eller et kontonummer. Så kunne de ellers love modtageren at diske op med en enorm sum penge, fjerne slægtninge havde efterladt sig. Eller et helt unikt og utroligt værdifuldt forretningstilbud. De skulle bare lige have et eller andet fra dig, før lykken kunne ske fyldest.

Download e-bog: De fem største cybertrusler: Hvordan medarbejderne kan forsvare virksomheden imod dem

De her e-mails var selvfølgelig svindelnumre. Ofte udfærdiget i et så hjælpeløst sprog, at det var svært at læse dem til ende uden at trække på smilebåndet. Og næsten altid baseret på helt ulogiske præmisser, så modtageren med et halvt øje kunne se, at noget var galt. Disse forsøg på svindel afslørede sig selv, men sådan er det ikke længere. I dag foregår manipulationen på et niveau, hvor selv de mest kvikke medarbejdere kan falde i.

Legitimt på overfladen

Inden for it-sikkerhed går de nye og avancerede forsøg på manipulation under fællesbetegnelsen ‘social engineering’. Det er en metode, hvor angriberen vil have medarbejderen til at videregive klassificerede informationer eller udføre en bestemt handling. Det kan være noget med en pengeoverførsel. Men ofte er et password endnu mere værd. Især hvis det giver adgang til systemer, der indeholder forretningsplaner og følsomme oplysninger om virksomhedens aktiviteter.

Imens manipulationen foregår, handler medarbejderen i den tro, at alt er i skønneste orden. Social engineering går nemlig ud på, at den it-kriminelle udformer noget, der umiddelbart ser helt legitimt ud. Det kan være en e-mail, hjemmeside eller falske men vellignende login-sider, som medarbejderen skal udfylde. Det kan også være en SMS-besked. I ekstreme tilfælde har it-kriminelle oprettet hele falske callcentre, som har kontaktet en medarbejder under påskud af at skulle hjælpe med en eller anden teknisk problemstilling. For de it-kriminelle er social engineering en succes, når det lykkedes at vinde medarbejderens tillid.

Kendskab til offeret

For at det kan lade sig gøre, skal den it-kriminelle opføre sig på en måde, der af offeret opfattes som både naturlig og troværdig. Derfor bruger it-kriminelle en rum tid på research, før medarbejderen kontaktes. Google og sociale medier spiller en nøglerolle i denne fase, for det åbne internet er propfyldt med informationer om vores uddannelsesbaggrund,  erhvervserfaringer og adfærdsmønstre. Det er velkendt, at it-kriminelle organisationer har specialister ansat, der udelukkende koncentrerer sig om profilering af medarbejdere for at finde ud af, hvem der har de værdifulde adgange til virksomhedens it-systemer og vil være mest tilbøjelige til at tro på en falsk e-mail. Specialisterne er også velbevandrede i passende sprogbrug. De skriver ikke længere ‘Kærlig hilsen, SKAT’, som de ville have gjort for fem år siden.

Eksempelvis kan it-kriminelle have udset sig en virksomhed, som de ved får leveret deres it-support af en ekstern leverandør. De kriminelle har identificeret en sekretær i virksomheden, som de ved fra LinkedIn er relativt nyansat. De ved også fra LinkedIn, at sekretæren har begrænset erfaring fra den type virksomheder, hvor hun sidder lige nu. Fra et andet socialt medie, eksempelvis Facebook, kan de it-kriminelle se, at en af sekretærens kollegaer er på ferie lige nu. De ringer til sekretæren og forklarer, at de leverer it-support til virksomheden og under normale omstændigheder henvender sig til en anden navngiven kollega, men han er på ferie lige nu. Så er der mulighed for, at sekretæren kan give dem et password til det interne system? De skal bare lige ind og rette noget.

For det utrænede øre lyder opkaldet uskadeligt og selve samtalen varer ikke meget mere end 30 sekunder. Men det kan gøre enorm skade, hvis medarbejderen falder for bedrageriet.

Hvad virksomheden skal gøre:

  • Alle virksomheder og medarbejdere kan blive udsat for forsøg på social engineering. Det vigtige er, at medarbejderne har de rigtige sikkerhedsprocedure på rygraden, så den enkelte ikke bliver overrumplet, selvom manipulationen kan være meget overbevisende.
  • Aldrig udlevér klassificerede oplysninger uden at have undersøgt, hvem vedkommende i den anden ende er. Spørg en kollega, om de kender vedkommende.
  • Altid ‘ring tilbage’ hvis nogen vil have et kodeord udleveret over telefonen. Så har medarbejderen mulighed for at undersøge vedkommendes identitet.

Download e-bog om cybertrusler


Vurder indlæg:


Handler om: Cybertrusler, Social Engineering, Cybersikkerhed


GlobalConnect A/S

Skrevet af GlobalConnect A/S

GlobalConnect er Danmarks førende udbyder af fibernet, datacentre og cloud-løsninger. Virksomheden dækker Danmark, Nordtyskland og dele af Sverige med et 15.000 km langt netværk af optisk fiber og 13.000 m2 datacentre. GlobalConnect er grundlagt i 1998 og har i dag mere end 280 medarbejdere og hovedkontor i Taastrup. Virksomheden havde i 2016 en omsætning på 607 mio. kr. Læs mere på www.globalconnect.dk.