I den här artikeln ska vi förklara vad en social engineering-attack är för något. Vi går igenom hur du kan förebygga och skydda dig mot en social engineering-attack – en attack där hackers utnyttjar mänskligt beteende.
Vad är social engineering?
Social engineering är en teknik där hackers använder sig av manipulation för att nå information de vill åt. Det spelar på mänskligt beteende och utnyttjar mänskliga misstag. Det kallas ibland “human hacking” som betyder “mänsklig hackning”, som alltså innebär att hacka människor.
Målet för hackern är ofta att få personer att, utan misstanke, dela med sig av känslig data, sprida malware eller ge hackern åtkomst till system. Hackaren kan slå till online, personligen och via andra interaktioner.
Bedrägerier baserade på social engineering är skapade utifrån hur folk tänker och agerar. Det ligger mycket psykologi bakom, och de som utför dessa attacker är smarta. Attackerna är oftast väl genomtänkta och planerade.
Angriparen studerar och lär sig förstå användarens beteende och vad som motiverar användarens handlingar. Social engineering-attacker blir särskilt användbara för att manipulera en användares beteende. Med social engineering-attacker kan de lura och manipulera användarna effektivt.
Exempel:
En vänlig främling (angriparen) tar kontakt med en person över internet. Angriparen blir, under en lång period, vän med offret. Angriparen bygger upp ett förtroende hos offret för att sedan utnyttja detta för att få värdefull information eller pengar – oftast utan att offret förstår att den blir utnyttjad.
Målet med en social engineering-attack
Det finns vanligtvis två olika mål med en social engineering-attack: att sabotera eller att stjäla.
Vid en social engineering-attack där målet är att sabotera kan det vara genom att störa eller förstöra data för att orsaka skada eller besvär.
När syftet bakom attacken är att stjäla kan vara allt från information om personer eller företag, åtkomst och pengar. Informationen eller åtkomsten som stjäls kan sedan utnyttjas mot personen eller företaget, eller säljas vidare.
Hur fungerar en social engineering-attack?
De flesta social engineering-attackerna går ut på att angriparen lurar offret till att göra ett misstag som orsakar följderna av attacken. Det är alltså inget tvång eller malware som utför attacken, utan oftast har hackern direkt kommunikation med offret.
Hur en attack kan gå till:
Först måste angriparen samla information om offret eller gruppen (såsom företaget) offret tillhör. Angriparen skapar sig en så tydlig bild som möjligt av vad som får offret att utföra handlingar.
Sedan tar angriparen kontakt med offret på något sätt. De börjar bygga en relation till varandra och offret börjar att mer och mer lita på angriparen.
Angriparen hittar offrets svagheter och offret har byggt ett förtroende för angriparen. Då går angriparen till attack och utnyttjar offret.
När offret har utfört handlingen som angriparen haft som mål distanserar sig angriparen från offret. Från offrets sida är det inte alltid tydligt varför, men så småningom kommer offret märka följderna av attacken.
Antingen sker den här processen i ett enda mail. Men ofta byggs förtroendet till angriparen över tid. Det kan handla om månader av chatt-kommunikation på sociala medier.
Social engineering spelar på folks känslor och ett sätt att göra det på, är att skapa förvirring hos offret.
I vissa fall är det till exempel affärshemligheter eller tillgång till företags data som har läckt. Då är det ofta anställda som inte insett att den lilla biten information de gett ut kan vara den lilla bit som saknas för hackern för att bygga en helhetsbild.
Egenskaper hos social engineering-attacker
Den här typen av attacker är helt beroende av hur väl angriparen byggt upp ett förtroende till dig och hur övertygande angriparen är. Då slutar det med att du utför en handling du annars inte skulle gjort.
För att övertala dig får angriparen dig att agera på starka känslor. Om du befinner dig i ett förstärkt emotionellt tillstånd är det mer troligt att du faller för trick du annars hade genomskådat.
Sådana känslor kan vara stress och ilska för att skynda på handlingen. Det kan vara nyfikenhet och spänning för att få dig att falla offer. Men att attackera vid känslotillstånd som ledsamhet och skuldkänslor gör också att du lättare utför ogenomtänkta handlingar.
Vanliga tekniker och exempel
Angriparen kan få dig agera förhastat om du tror att det är något allvarligt, eller akut, som sker. Något som behöver omedelbar uppmärksamhet. Eller att du kommer få någon form av belöning, men att belöningen är tidsbegränsad.
Personerna som utför de här attackerna är proffs. De vet så pass mycket om dig redan från början för att kunna skapa en berättelse.
Bilden som angriparen skapar om sig själv måste vara lätt för dig att tro på, och så trovärdig att den inte väcker misstankar. Deras viktigaste redskap är trovärdighet och då de i slutändan ljuger för dig är förtroendet nödvändigt.
Det här är det vanligaste sättet en social engineering-attack utförs på, men det finns undantag. Angriparen kan slå till i verkligheten, helt utan att ta kontakt med offret också. Det sker ofta vid större allmänna platser, som en cafeteria på en arbetsplats.
Det görs via så kallad “shoulder surf” vilket innebär att angriparen tittar över axeln på någon som surfar för att snappa upp information som exempelvis inloggningsuppgifter.
Vem är mest utsatt för social engineering-attacker?
De som drabbas av social engineering-attacker kan vara allt från högstadieelever till utbildad IT-personal. Det handlar inte så mycket om vem du är – utan hur du agerar under visst känslotillstånd.
Det kan handla om att du i stunden är arg eller sårad och agerar förhastat. Men angriparen kan även spela på bland annat dessa känslor:
- Ömsesidighet: Vi har en viss strävan för att alltid åtgärda en tjänst.
- Engagemang: När vi förbinder oss till en idé eller ett mål är vi mer benägna att följa engagemanget även om målet ändras. Det handlar om vår självbild – vad vi tror om oss själva och vad vi står för.
- Socialt bevis: Vi gör likadant som andra gör, medvetet eller inte.
- Auktoritet: Vi tenderar att göra som människor med auktoritet gör. Även om dessa uppmanar oss att utföra handlingar vi annars kanske inte gjort.
Så blir du ett svårare offer och skyddar dig mot social engineering-attacker
Det finns saker du kan göra som skyddar mot social engineering-attacker, både mot dig som privatperson och för att skydda ditt företag.
Då de som utför attackerna förlitar sig på mänsklig beteende är det bästa sättet att skydda dig mot social engineering-attacker att ha ytterligare säkerhetsfunktioner än de funktioner som kan påverkas av mänskliga faktorer (som ditt lösenord).
Så förebygger du social engineering-attacker
- Utbilda dig själv och din personal. Var påläst och informera din personal om teknikerna bakom social engineering-attacker. Ha bra säkerhetspolicys och riktlinjer i ditt företag för att se till att ingen missar viktig information.
- Testa dina anställda. När du har informerat om de säkerhetspolicys som finns rörande social engineering-attacker kan du testa hur dina anställda reagerar om de utsätts för en attack. Dels för att hålla dina anställda uppmärksamma och för att kunna anpassa era policys utifrån hur de anställda agerar.
- Multifaktorautentisering. Förstärk säkerheten för sättet du själv och dina anställda har tillgång till information. Med multifaktorautentisering läggs ett extra lager av säkerhet på all er data.
- Uppdatera antivirus- och anti-malwareprogram. Med uppdateringarna följer viktiga korrigeringar i säkerhetssystemen. Håll era program uppdaterade för att förhindra skadliga länkar och nedladdningar.
Sammanfattning
Social engineering är en teknik hackers använder sig av för att manipulera sina offer till att själva dela med sig av den information hackern vill komma åt. Det kan vara allt från bankuppgifter till affärshemligheter.
Oftast utnyttjar hacken starka känslor som rädsla och ilska, eller stress och nyfikenhet för att få offret att agera förhastat. Målet är att offret ska utföra en handling den annars inte hade gjort.
För att skydda dig själv och ditt företag mot social engineering-attacker är det finns vissa saker du kan göra för att lägga till ett extra lager av säkerhet av din data förutom de som de mänskliga faktorerna kan påverka. Det kan vara att:
- Utbilda dig själv och din personal.
- Testa dina anställda.
- Aktivera multifaktorautentisering.
- Uppdatera antivirus och anti-malware.