Vad är social engineering?

Social engineering, på svenska även känt som social ingenjörs­konst eller social manipulation, innebär att lura eller manipulera oskyldiga användare på nätet. Begreppet är brett och omfattar olika tekniker som bedragare använder för att lura åt sig person­uppgifter, pengar eller inloggnings­uppgifter online. Kärnan i social ingenjörs­konst ligger i utnyttjandet av människors goda avsikter och mänskliga fel. Social engineering-attacker baserar sig därmed på mänsklig inter­aktion och en fram­gångs­rik attack kräver förståelse för mänsklig psykologi.

Både privat­personer och företag är lika lockande mål­tavlor för manipulation och lurande. De anställda i stora företag kan ofta bli offer för för social manipulation efter­som bedragare vill få tag på konfidentiell affärs­information, dator­system eller andra värde­fulla tillgångar. Bara ett litet mänskligt misstag behövs för att utsätta hela organisationer för social engineering-attacker och därför är utbildning av anställda samt skolning om cyber­säkerhet viktigt.

Hur fungerar en social engineering-attack?

Många social engineering-attacker följer ett liknande mönster:

1. Identifiering av offret samt insamling av information om hen.
2. Att närma sig offret med falsk identitet och ett påhittat scenario.
3. Efter att ha fått offrets förtroende utförs attacken och manipulationen.
4. Slut­förning av attacken och förstörelse av spår som kan leda till att åka fast.

Målet med attacken och manipulationen är att få till­gång till konfidentiell information, vägleda offret till skadliga webb­sidor, lura hen till att ladda ner ett virus eller skicka över pengar till bedragaren. Vissa attacker utförs även för att få till­gång till en fysisk enhet eller till exempel ett företags utrymmen. För att få offren att göra som bedragarna vill påstår de sig vara personer eller institutioner som offren litar på, till exempel deras förmän, någon statlig enhet eller en nära vän.

Social ingenjörs­konst baserar sig ofta på en känsla av brådska för att offret inte ska ha tid att tänka rationellt. De kriminella är skickliga på att hota eller utpressa offer. Attackerna är ofta utförligt planerade och kan riktas till flera personer sam­tidigt.

Eftersom alla typer av social engineering bygger på att människor beter sig på ett förut­sägbart sätt eller följer ett visst mönster, har attackerna börjat kallas för human hacking, på svenska mänsklig hackning eller mänskliga data­intrång. Genom att dra i rätt trådar kan online­brottslingar och bedragare få sina offer att göra saker som många skulle anse väldigt osannolika — tills de själva blir offer.

Hur kan social engineering-attacker förhundras?

Eftersom social engineering baserar sig på mänskliga misstag kan attackerna inte förhindras enbart genom att fixa fel i mjuk­varor eller digitala program. Som tur kan både privata konsumenter och företag göra mycket för att stoppa attackerna:

• Använd två­faktors­autentisering för att skydda användar­konton.
• Klicka aldrig på miss­tänkta länkar och ladda inte ned underliga filer.
• Försäkra dig om mottagarens identitet innan du ger ut konfidentiell information.
• Dela aldrig dina inloggnings­uppgifter, såsom lösen­ord eller bekräftelse­koder.
• Anslut inte fysiska externa enheter, till exempel USB-minnen, till din enhet om du är osäker på deras ursprung.
• Ställ dig käll­kritiskt mot oväntade erbjudanden, speciellt om de verkar för bra för att vara sanna.
• Om det finns barn i ditt hushåll, lär dem vad informations­säkerhet innebär och hur de ska agera på internet.
• Var försiktig med vad du avslöjar på sociala medier efter­som dina konton kan användas som informations­källor för att manipulera dig.
• Skydda dina enheter med pålitliga och hel­täckande online­skydd, till exempel anti­virus­program och brand­väggar.
• Använd en säker VPN när du använder allmänna Wi‑Fi-nätverk.
• Begränsa administrations­rättigheter för att kontrollera vem som kan ändra nät­verks­inställningar eller installera nya program. Detta är ett sätt att förhindra att användare installerar skadlig program­vara på egna eller före­tagets enheter.

Olika typer av social engineering

Metoderna och teknikerna för manipulation skräddar­sys utifrån angriparens mål och syfte. Förståelse för hur de olika teknikerna fungerar är en förut­sättning för att kunna identifiera och skydda sig mot social engineering-attacker.

Nät­fiske — phishing

En av de vanligaste typerna av social engineering är nät­fiske eller så kallat phishing. Nät­fisket går ut på att lura offret till att ange personlig eller ekonomisk information som kan utnyttjas i attacken. Målet kan också vara att offret ska ladda ner en fil eller en program­vara som är infekterad med virus eller malware. Även om phishing ofta sker genom e‑post­meddelanden finns det också andra metoder för att utföra det.

• Vishing: Termen vishing är en samman­sättning av de engelska orden voice och phishing. Online­kriminella försöker få tag på värde­full information genom röst-baserade metoder, så som telefon­samtal. Till exempel många kärleks- och romans­bedrägerier sker via telefon­samtal. Bedragaren charmar offret på telefon men är i verkligheten bara ute efter pengar som offret lätt skickar till sin förmodade nyfunna kärlek.
• Smishing: Att använda SMS och snabb­meddelande­tjänster för att lura folk kallas för smishing. De flesta telefoner är idag kopplade till internet och därför kan phishing­meddelanden som skickas via text­meddelanden lätt inne­hålla länkar som leder användaren till skadliga webb­sidor.
• Spear phishing: Social engineering-attacker riktas ofta mot många offer sam­tidigt, men konceptet spear phishing syftar på en cyber­attack där en särskild mål­tavla väljs. Med­delandena som skickas i sam­band med spear phishing är anpassade för det specifika offret och är därför svåra att identifiera. Angriparen kan till exempel påstå sig vara VD för ett företag i syfte att lura de anställda. Bedragaren utnyttjar då en betrodd persons auktoritet för att vinna offrets förtroende.

Pretexting

Den dimension av social engineering som kallas pre­texting innebär att angriparen ljuger om en situation, eller en så kallad pretext, för att lura offret till att uppge sekretess­belagd information eller utföra vissa handlingar. Bedragaren påstår sig vara en representant från någon myndighet, offrets med­arbetare eller någon annan person som offret litar på. När bedragaren fått offrets förtroende kan hen lätt få hen att avslöja konfidentiell information, klicka på en infekterad länk eller skicka pengar. Kärnan i pre­texting ligger i att skapa en över­tygande historia som inte väcker några miss­tankar hos offret.

Baiting

Baiting omfattar någon typs fysiskt medium, till exempel en USB-sticka eller en CD-skiva, som infekterar en enhet med malware eller virus. Bedragare kan till exempel lämna dessa mystiska medier på allmänna platser eller i ett företags utrymmen. Metoden baserar sig på människans nyfikenhet som kan stimuleras ytterligare genom frestande etiketter och märken på mediet.