Pas på social engineering, når du sidder ved computeren

Pas på social engineering, når du sidder ved computeren

oktober 22, 2022 Slået fra Af admini

Ved du, hvornår nogen prøver at manipulere dig? Læs dette blogindlæg om social engineering og undgå at blive narret i fremtiden.

 

Hvad er social engineering?

 

Social engineering er en angrebsvektor, der er stærkt afhængig af menneskelig interaktion og ofte involverer at manipulere folk til at bryde normale sikkerhedsprocedurer for at få uautoriseret adgang til systemer, netværk, data eller fysiske lokationer. 

 

Cyberkriminelle bruger social engineering-teknikker til at skjule deres sande identiteter og motiver og præsenterer sig selv som betroede personer eller organisationer. Målet er at påvirke, manipulere eller narre brugere til at frigive deres følsomme oplysninger eller give adgang til en organisation.

 

Mange social engineering-angreb, f.eks. phishing, er afhængige af folks villighed til at være hjælpsomme eller frygt for negative konsekvenser. For eksempel kan en hacker udgiver sig for at være en kollega, der har en form for presserende problem, der kræver adgang til nogle netværksressourcer.

 

Social engineering er en populær taktik blandt cyberkriminelle, fordi det ofte er lettere at udnytte folk, end det er at finde en sårbarhed i et netværk eller i noget software. Hackere vil ofte bruge social engineering som det første skridt i en større proces for at infiltrere et system eller netværk og stjæle følsomme data eller sprede malware.

 

Hvordan fungerer social engineering?

 

Cyberkriminelle bruger en række forskellige taktikker til at udføre deres angreb.

 

Det første trin i et social engineering-angreb kan være, at hackeren laver research på deres ofre. Hvis målet for eksempel er en virksomhed, kan hackeren blandt andet indsamle oplysninger om organisationsstrukturen, interne operationer, fælles sprogbrug i branchen og mulige forretningspartnere.

 

De kan indsamle informationer gennem Google-søgninger og sociale medier, der ofte indeholder personlige informationer.

 

Derfra kan hackeren designe et angreb baseret på den indsamlede information og inkorporere en række principper fra social engineering for at gøre angrebet så manipulerende som muligt

 

Hvis angrebet lykkes, kan hackeren få adgang til fortrolige oplysninger, såsom CPR-numre og kreditkort- eller bankkontooplysninger, de kan få adgang til virksomhedssystemer eller inficere digitale enheder med malware.

 

Principper i social engineering

 

Der findes en række principper i social engineering, som cyberkriminelle kan gøre brug af. Disse principper handler for det meste om at fremprovokere bestemte følelser i ofrene, der får dem til at reagere på cyberangrebet.

 

Cyberkriminelle kan bl.a. udnytte/bruge følgende principper/følelser:

 

  Autoritet

  Tidspres

  Hast

  Social accept

  Intimidering

  Nysgerrighed

  Grådighed

  Positiv evaluering

 

Forebyggelse af social engineering

 

Der er en række metoder til at forhindre social engineering-angreb for virksomheder, herunder:

 

  Sørg for, at IT-afdelinger regelmæssigt udfører penetrationstest, der anvender social engineering-teknikker. Dette vil hjælpe administratorer med at lære, hvilke typer brugere, der udgør den største risiko for specifikke typer angreb.

  Brug awareness-træning til at undervise medarbejdere i cybersikkerhed og cyberangreb, herunder social engineering-angreb.

  Implementer sikre e-mail- og web-gateways for at scanne e-mails for ondsindede links og filtrere dem fra, hvilket reducerer sandsynligheden for, at en medarbejder klikker på phishing-mail.

  Hold antimalware- og antivirussoftware opdateret for at forhindre malware i phishing-mails i at blive installeret.

  Hold dig opdateret med software- og firmware-patches i end-points.