Blogg

Fagblogg

Som del to av vårt bidrag til Cyber Security month skal vi som lovet snakke om social engineering, eller sosial manipulering, denne gangen.

Så, hva er egentlig sosial manipulering?

Du har kanskje ikke hørt begrepet “sosial manipulering” før, men det er nok mer kjent enn du tror. I korte trekk handler det om at kriminelle manipulerer sine offere for å få tak på det de ønsker – det være seg sensitiv informasjon, kontoopplysninger, passord o.l. Sosial manipulering er med andre ord en måte hvor kriminelle utnytter menneskelige feil, svakheter og tillit for å få tilgang til det de ønsker. Og dette skjer også på nett.

Du har kanskje hørt om folk som har mottatt en e-post om at de har vunnet flere millioner kroner, alt de trenger å gjøre er å trykke på “denne linken” eller sende noen kroner i retur. Du har til og med kanskje mottatt en slik e-post selv? “Det er lett å gjennomskue” tenker kanskje du, men de kriminelle har blitt smartere og metodene de bruker blir stadig mer utspekulert.

Nå ser e-postene som nettkriminelle sender ut troverdig ut og har ofte dagsaktuelle temaer eller temaer som angår akkurat deg. Kanskje den til og med er designet for å ligne en mail du vanligvis mottar fra et system du bruker eller banken din. Uansett utseende er målet som regel å få deg som mottaker til å utføre visse handlinger de ber deg om – om det så er å trykke på en link, sende penger eller oppgi ulik informasjon – alt for å få tilgang til din persondata.

Eksempelet over er bare en av mange ulike teknikker og metoder for sosial manipulering, men et fellestrekk som går igjen er menneskelige svakheter.

De vanlige formene for sosial manipulering

Phishing
falske eposter, websider og meldinger sendt til tusenvis av mennesker med hensikt å stjele informasjon

Spear Phishing
samme som Phishing, men mot enkeltpersoner som sjef eller leder

Baiting
et angrep som lurer bruker inn i en felle med falske premisser

Malware
bruker blir lurt til å tro at et virus er oppdaget på PC’en, og blir bedt om å betale for å få det fjernet

Pretexting
falsk identitet eller scenarioer blir brukt for å lure offeret til å gi fra seg privat informasjon, som personnummer, kontoopplysninger og passord
 
Vishing
talemeldinger/oppringinger hvor oppringer utgir seg for å være noen andre og overtaler mottaker til å agere raskt. Det samme som Phishing, men skjer over telefon

Hvordan kan du unngå eller motarbeide sosial manipulering?

Som bedrift er det viktig å tenke på at de ansatte kan være en portal inn for mange nettkriminelle. Derfor er det viktig at kunnskap deles med de ansatte og at de selv er bevisst. Med kunnskap om hvor enkelt det er å bli lurt av slike angrep, vil ansatte være med obs og vite hva de skal se etter eller være skeptisk til. De vil være mer på vakt når det kommer til åpning av linker, e-poster, telefoner og ved utgivelse av sensitiv informasjon. 

Som ansatt og enkeltperson kan du gjøre ditt beste for å forsikre deg om og verifisere avsender identitet på både e-post og telefonsamtaler, samt være kritisk til hvilke linker du trykker på. 

En tommelfingerregel bør være å aldri oppgi personlige opplysninger og tilganger, verken på e-post eller telefon – selv ikke banker vil be deg oppgi slik informasjon over telefon eller på e-post. Og husk: får det deg til å trekke på nesa – ta heller en ekstra runde for å dobbeltsjekke at det faktisk er ekte.

Men hva gjør du om du har blitt utsatt for sosial manipulering?

De kriminelle på nett blir stadig smartere og finner alltids nye måter å angripe oss på. Er du så uheldig å være en av de som har blitt utsatt for sosial manipulering er det ingenting å skamme seg over. Det kan virkelig skje med hvem som helst!

Kontakt din kontaktperson for nettsikkerhet i bedriften du jobber i så fort som overhode mulig, og gi dem alle detaljer du har. Jo fortere de får begynt arbeidet med å stoppe angrepet, desto mindre skade kan bli gjort.