content/da-dk/images/repository/isc/2020/how-social-engineering-attacks-work.jpg

Hvad er social engineering?

Når vi tænker på cybersikkerhed, tænker de fleste af os på at forsvare os mod hackere, der bruger teknologiske svagheder til at angribe datanetværk. Men der er en anden vej ind i organisationer og netværk, og den udnytter menneskelig svaghed. Dette kaldes social engineering, som involverer at narre nogen til at videregive oplysninger eller muliggøre adgang til datanetværk.

F.eks. kan en ubuden gæst fremstå som IT-helpdeskpersonale og bede brugerne om at give oplysninger, såsom deres brugernavne og adgangskoder. Og det er overraskende, hvor mange mennesker ikke tænker nærmere over at afgive disse oplysninger, især hvis det ser ud som om, det bliver anmodet om af en legitim repræsentant.

Kort sagt er social engineering brugen af bedrag til at manipulere enkeltpersoner til at muliggøre adgang til eller videregivelse af oplysninger eller data.

Typer af social engineering-angreb

Der er forskellige typer social engineering-angreb. Derfor er det vigtigt at forstå definitionen af social engineering, såvel som hvordan det fungerer. Når den grundlæggende modus operandi er forstået, er det meget nemmere at få øje på social engineering-angreb.

Madding

Madding involverer oprettelse af en fælde, f.eks. et USB-drev, der er fyldt med malware. En person, der er nysgerrig efter at se, hvad der er på drevet, sætter det i deres USB-stik, hvilket resulterer i, at systemet kompromitteres. Der er faktisk et USB-drev, der kan ødelægge computere ved at oplade sig selv med energi fra USB-drevet og derefter frigive det i et voldsomt strømstød, hvormed det beskadiger enheden, hvori det er blevet indsat (USB-drevet koster kun 54 $).

Pretexting

Dette angreb bruger et påskud for at få opmærksomhed og få offeret til at give oplysninger. F.eks. kan en internetundersøgelse til at begynde med se ganske uskyldig ud, men derefter bede om bankkontooplysninger. Eller en person med en clipboard dukker op og siger, at de foretager en revision af interne systemer. De er måske ikke dem, de siger, de er, og de kan være ude på at stjæle værdifulde oplysninger fra dig.

Phishing

Phishingangreb involverer en e-mail eller tekstbesked, som foregiver at være fra en betroet kilde – og som beder om oplysninger. En velkendt type er den e-mail, der hævdes at være fra en bank, der ønsker, at deres kunder skal "bekræfte" deres sikkerhedsoplysninger og dirigerer dem til et falskt sted, hvor deres legitimationsoplysninger til login vil blive registreret. "Spydphishing" er rettet mod en enkelt person inden for en virksomhed og sender en e-mail, der hævder at komme fra en person på et højere niveau i virksomheden, som beder om fortrolig oplysninger.

how to protect yourself from social engineering attacks

Vishing og smishing

Disse typer social engineering-angreb er varianter af phishing – "stemmephishing", som betyder blot at ringe op og bede om data. Den kriminelle kan udgive sig for at være en medarbejder – f.eks. foregive at være fra IT-helpdesk og bede om loginoplysninger. Smishing bruger i stedet SMS-beskeder til at prøve at få disse oplysninger.

Noget for noget

De siger, at "en fair udveksling er ikke et røveri", men i dette tilfælde er det. Mange social engineering-angreb får ofrene til at tro, at de får noget til gengæld for de data eller den adgang, de giver. "Scareware" fungerer på denne måde og lover computerbrugere en opdatering til at håndtere et presserende sikkerhedsproblem, når det faktisk er selve scarewaren, der er den ondsindede sikkerhedstrussel.

Kontaktspamming og mailhacking

Denne type angreb involverer hacking af en persons e-mail eller sociale mediekonti for at få adgang til kontaktpersoner. Kontaktpersoner kan få at vide, at personen er blevet slået ned og har mistet alle sine kreditkort og derefter blive bedt om at overføre penge til en pengeoverførselskonto. Eller "vennen" kan muligvis videresende en "must see"-video, der linker til malware eller til en keylogging trojaner.

Farming kontra jagt

Endelig skal du være opmærksom på, at nogle social engineering-angreb er langt mere udviklede. De fleste af de enkle tilgange, vi har beskrevet, er en form for "jagt". Grundlæggende skal du få adgang, få fat i oplysningerne og slippe ud.

Nogle typer af social engineering-angreb involverer imidlertid at udvikle et forhold til målet for at udtrække flere oplysninger over en længere tidsperiode. Dette kaldes "farming" og er mere risikabelt for angriberen: Der er større chance for, at de bliver opdaget. Men hvis deres infiltration er vellykket, kan det levere langt flere oplysninger.

Sådan undgår man social engineering-angreb

Social engineering-angreb er især vanskelige at imødegå, fordi de udtrykkeligt er designet til at spille på naturlige menneskelige egenskaber, såsom nysgerrighed, respekt for autoritet og ønsket om at hjælpe ens venner. Der er en række tips, der kan hjælpe med at opdage social engineering-angreb …

Kontrollér kilden

Brug et øjeblik på at tænke over, hvor kommunikationen kommer fra – stol ikke blindt på det. Et USB-drev dukker op på dit skrivebord, og du ved ikke, hvad det er? Et telefonopkald ud af det blå siger, at du har arvet 5 millioner dollar? En e-mail fra din administrerende direktør, der beder om en masse oplysninger om individuelle medarbejdere? Alt dette lyder mistænkeligt og bør behandles som sådan.

Det er ikke vanskeligt at kontrollere kilden. Med en e-mail skal du f.eks. se på e-mailoverskriften og kontrollere mod gyldige e-mails fra den samme afsender. Se på, hvor linkene fører hen – forfalskede hyperlinks er lette at se ved blot at holde musen over dem (klik dog ikke på linket!). Kontrollér stavemåden: Bankerne har hele hold af kvalificerede mennesker dedikeret til at producere kundekommunikation, så en e-mail med tydelige fejl er sandsynligvis falsk.

Hvis du er i tvivl, skal du gå til det officielle websted og kontakte en officiel repræsentant, da de vil være i stand til at bekræfte, om e-mailen/beskeden er officiel eller falsk.

Hvad ved de? 

Har kilden ikke oplysninger, som du ville forvente, at de skulle have, såsom dit fulde navn osv.? Husk, at hvis en bank ringer til dig, skal de have alle disse data foran sig, og de vil altid stille spørgsmål om sikkerhed, før de giver dig mulighed for at foretage ændringer på din konto. Hvis de ikke gør det, er chancerne for, at det er en falsk e-mail/opkald/besked, væsentligt højere, og du skal være på vagt.

Knæk løkken

Social engineering afhænger ofte af en følelse af, at det haster. Angribere håber, at deres mål ikke tænker for meget over, hvad der foregår. Så bare det at tage et øjeblik til at tænke kan afskrække disse angreb eller afsløre, hvad de er – forfalskninger.

Ring det officielle nummer, eller gå via den officielle webadresse i stedet for at give data ud over telefonen eller klikke på et link. Brug en anden kommunikationsmetode til at kontrollere kildens troværdighed. Hvis du f.eks. får en e-mail fra en ven, der beder dig om at sende penge, skal du sende en sms eller ringe til vedkommende for at kontrollere, at det virkelig er denne.

Spørg efter ID

Ét af de nemmeste social engineering-angreb er at omgå sikkerheden for at komme ind i en bygning ved at bære en stor kasse eller en stor bunke papirer. En hjælpsom person vil jo holde døren åben. Lad være med at falde for det. Spørg altid efter ID.

Det samme gælder for andre tilgange. Kontrol af navn og nummer på den, der ringer, eller spørgsmålet "Hvem rapporterer du til?" bør være et grundlæggende svar på anmodninger om oplysninger. Kontrollér derefter simpelthen organisationens diagram eller telefonkatalog, før du udleverer private oplysninger eller personlige data. Hvis du ikke kender den person, der anmoder om oplysningerne, og stadig ikke føler dig godt tilpas ved at videregive oplysningerne, skal du fortælle dem, at du skal dobbeltkontrollere med en anden, og så vender du tilbage til dem. 

social engineering dangers and threats to your privacy

Brug et godt spamfilter

Hvis dit e-mailprogram ikke filtrerer nok spam eller markerer e-mails som mistænkelige, skal du muligvis ændre indstillingerne. Gode spamfiltre bruger forskellige former for oplysninger til at bestemme, hvilke e-mails der sandsynligvis vil være spam. Måske opdager de mistænkelige filer eller links, de kan have en sortliste over mistænkelige IP-adresser eller afsender-id'er, eller de kan analysere indholdet af meddelelser for at afgøre, hvilke der sandsynligvis er falske.

Er det realistisk?

Nogle social engineering-angreb fungerer ved at prøve at narre dig til ikke at være analytisk, og det at tage dig tid til at vurdere, om situationen er realistisk, kan hjælpe med at opdage mange angreb. F.eks.:

  • Hvis din ven virkelig sidder fast i Kina uden anden udvej, ville vedkommende sende dig en e-mail, eller ville han/hun også ringe til dig/sende en sms?
  • Er det sandsynligt, at en nigeriansk prins efterlod dig en million dollar i sit testamente?
  • Ville banken ringe op og bede om dine kontooplysninger? Faktisk noterer mange banker, når de sender e-mails til deres kunder eller snakker med dem i telefonen. Kontrollér derfor, hvis du ikke er sikker.

Gå ikke for hurtigt frem

Vær særlig på vagt, når du mærker, at der sniger sig en følelse af uopsættelighed ind i en samtale. Dette er en standardmåde for ondsindede aktører for at forhindre deres mål i at tænke problemet igennem. Hvis du føler dig presset, skal du bremse det hele. Sig, at du har brug for tid til at få oplysningerne, du skal spørge din chef, at du ikke har de rigtige detaljer med dig lige nu – hvad som helst for at bremse tingene og give dig selv tid til at tænke.

Det meste af tiden prøver social engineers ikke deres held, hvis de er klar over, at de har mistet fordelen ved overraskelse.

Beskyt dine enheder

Det er også vigtigt at sikre enheder, så det er begrænset, hvad et social engineering-angreb kan opnå, selvom det er vellykket. De grundlæggende principper er de samme, uanset om det er en smartphone, et enkelt hjemmenetværk eller et større virksomhedssystem.

  • Hold din antimalware- og antivirussoftware opdateret. Det kan hjælpe med at forhindre malware, der kommer via phishingmails, i at installere sig selv. Brug en pakke som f.eks. Kasperskys Antivirus til at beskytte dit netværk og dine data.
  • Hold software og firmware regelmæssigt opdateret – især sikkerhedsrettelser.
  • Kør ikke din telefon i rooted tilstand eller dit netværk eller din pc i administratortilstand. Selv hvis et social engineering-angreb får din brugeradgangskode til din "bruger"-konto, lader det dem ikke konfigurere dit system eller installere software på det.
  • Brug ikke den samme adgangskode til forskellige konti. Hvis et social engineering-angreb får adgangskoden til din sociale mediekonto, er du ikke interesseret i, at de også skal kunne oplåse alle dine andre konti.
  • Ved meget vigtige konti skal du bruge tofaktorautentificering, så det ikke er nok bare at have din adgangskode til at få adgang til kontoen. Det kan involvere stemmegenkendelse, brug af en sikkerhedsenhed, fingeraftryk eller SMS-bekræftelseskoder.
  • Hvis du lige har afgivet din adgangskode til en konto og tror, at du måske er blevet "konstrueret", skal du straks ændre adgangskoden.
  • Hold dig informeret om nye cybersikkerhedsrisici ved at læse vores ressourcecenter regelmæssigt. Så vil du vide alt om nye angrebsmetoder, når de dukker op, hvilket gør dig meget mindre tilbøjelig til at blive et offer.

Tænk på dit digitale fodaftryk

Det kan også være en god idé at tænke over dit digitale fodaftryk. Overdeling af personlige oplysninger online, såsom via sociale medier, kan hjælpe angribere. F.eks. har mange banker "navnet på dit første kæledyr" som et muligt sikkerhedsspørgsmål – delte du det på Facebook? I så fald kan du være sårbar! Derudover vil nogle social engineering-angreb forsøge at opnå troværdighed ved at henvise til de nylige begivenheder, du måtte have delt på sociale netværk.

Vi anbefaler, at du ændrer dine sociale medieindstillinger til "kun venner" og er forsigtig med, hvad du deler. Du behøver ikke være paranoid, bare vær forsigtig.

Tænk på andre aspekter af dit liv, som du deler online. Hvis du f.eks. har et cv online, skal du overveje at skjule din adresse, dit telefonnummer og din fødselsdato – alt sammen nyttige oplysninger for alle, der planlægger et social engineering-angreb. Mens nogle social engineering-angreb ikke involverer offeret meget, er andre omhyggeligt forberedt – giv disse kriminelle færre oplysninger at arbejde med.

Social engineering er meget farlig, fordi det tager helt normale situationer og manipulerer dem til ondsindede formål. Ved at være fuldstændig opmærksom på, hvordan det fungerer og tage grundlæggende forholdsregler, er du langt mindre tilbøjelig til at blive et offer for social engineering.

Relaterede links

Social engineering – definition

Sådan trænger malware ind i computere og IT-systemer

Teknisk support-svindel

Sådan kan du undgå social engineering-angreb

Hvad er social engineering-angreb? Vi besvarer dette spørgsmål og forklarer, hvordan man undgår at blive et offer. Læs denne artikel for at finde ud af, hvordan du beskytter dig selv.
Kaspersky Logo