Kursinnehåll
Informationssäkerhet
0/26
Introduktion till informationssäkerhet
Introduktion till informationssäkerhet
Vanliga cyberhot
Vanliga cyberhot
Lösenordssäkerhet
Lösenordssäkerhet
Säker surfning och Molntjänster
Säker surfning och Molntjänster
E-postsäkerhet
E-postsäkerhet
Social Engineering
Social Engineering
Säker USB-användning
Säker USB-användning
Fysisk säkerhetsmedvetenhet
Fysisk säkerhetsmedvetenhet
Informationssäkerhet för distansarbete
Informationssäkerhet för distansarbete
Dataskydd
Dataskydd
Grunderna i GDPR
Grunderna i GDPR
Implementera riklinjer för att minska risker
Implementera riklinjer för att minska risker
IT-incidenthantering och rapporteringsprocedurer
IT-incidenthantering och rapporteringsprocedurer
Informationssäkerhet

Mål

 

  • Vad är social engineering och hur fungerar det?
  • Olika typer av social engineering
  • Hur du skyddar dig mot social engineering

 

Lektion

 

Välkommen till den sjätte lektionen i Kunskapsförbundets informationssäkerhetsserie som handlar om social engineering. Det är en form av manipulation som utnyttjar konsten att övertala för att tvinga människor att avslöja känslig information eller utföra handlingar omedvetet. Social engineering skapar situationer som får deras förfrågningar att verka legitima och utnyttjar ofta en känsla av brådska. Till exempel kan en angripare utge sig för att vara en IT-anställd som akut behöver ditt lösenord för att lösa ett förmodat problem, vilket illustrerar hur dessa taktiker sömlöst kan integreras i vardagliga scenarier.

 

Det är viktigt att förstå de psykologiska principerna bakom social engineering, eftersom dessa angripare utnyttjar grundläggande mänskliga känslor som rädsla, nyfikenhet eller viljan att hjälpa. Låt oss utforska olika taktiker som används av personer som använder olika manipulativa metoder för att påverka andra:

 

Impersonation: Utger sig för att vara någon annan, ofta en auktoritetsperson, för att få tillgång till information eller faciliteter.

Shoulder Surfing: Att observera en person som anger känslig information som en PIN-kod eller ett lösenord.

Hoaxes: Skickar ut falska varningar för att lura människor att utföra onödiga handlingar.

Tailgating: Få tillgång till begränsade områden genom att följa nära efter någon som har legitim tillgång.

Dumpster Diving: Söker i papperskorgen för att hitta värdefull information som konfidentiellt pappersarbete.

Zero-Dag Sårbarheter: Utnyttja okända sårbarheter i programvara innan de korrigeras.

Watering Hole Attacker: Kompromissar ofta besökta webbplatser med skadlig programvara för att rikta in sig på en specifik grupp användare.

Typo Squatting: Skapa bedrägligt stavade webbplatser för att lura människor att besöka dem och eventuellt avslöja känslig information.

Elicitation: Använda konversationsförmåga för att subtilt locka ut information från någon.

Pretexting: Att skapa ett scenario eller förevändning för att engagera någon på ett sätt som leder till att information avslöjas.

Prepending: Lägga till vilseledande information för att manipulera sammanhanget i en kommunikation.

Identitetsstöld och bedrägeri: Använda stulen personlig information för bedrägliga aktiviteter.

Fakturabedrägerier: Skicka falska fakturor till företag eller privatpersoner i ett försök att samla in otillåtna betalningar.

Insamling av inloggningsuppgifter: Använder nätfisketekniker för att samla in användarnamn och lösenord.

 

Dessa metoder visar hur tekniska färdigheter i princip är onödiga eftersom personer som använder dem fokuserar huvudsakligen på psykologisk manipulation. Effektiviteten hos dessa strategier kan ofta relateras till olika psykologiska utlösare:

 

Auktoritet och förtroende: En ingrodd respekt för auktoritet eller ett utvecklat förtroende kan få individer att acceptera förfrågningar utan att ifrågasätta.

Intimidation och brådska: Att skapa ett scenario med överhängande hot eller omedelbart behov kan pressa individer till snabba, ofta överhastade beslut.

Konsensus och förtrogenhet: Tendensen att anpassa sig till majoriteten eller följa förfrågningar från bekanta enheter kan utnyttjas.

Knapphet: Rädslan för att missa något kan driva individer att agera hastigt.

 

För att försvara sig mot denna taktik är det avgörande att upprätthålla skepsis mot oväntade förfrågningar och att verifiera legitimiteten hos alla förfrågningar genom pålitliga, oberoende kanaler. Utbildning och medvetenhet är avgörande för att känna igen dessa tekniker och förhindra säkerhetsintrång. Genom att förstå de varierande metoder som används av individer som manipulerar och de psykologiska principer de utnyttjar, kan individer och organisationer stärka sitt försvar mot sådana subtila men kraftfulla attacker.

 

Sammanfattningsvis utgör social engineering ett betydande hot på grund av dess beroende av psykologisk manipulation. Med kunskap och en hälsosam dos skepsis kan vi skydda oss själva och våra organisationer från dessa manövrar. Verifiera alltid innan du litar på, och kom ihåg, att hålla dig informerad är ditt bästa försvar mot den listiga världen av social engineering.

 

Exempel

 

Filmen ”Catch Me If You Can” visar Leonardo DiCaprio som den skickliga bluff konstnären Frank Abagnale Jr., som skaffar sig invecklade kunskaper om olika yrken genom svek och charm. Hans expertis inom manipulation gör att han kan utge sig för att vara piloter och läkare och ägna sig åt omfattande förfalskningar.

Personer som manipulerar andra använder sig av personligt bedrägeri, liknande tekniker som de som Frank Abagnale Jr. använde sig av, och utnyttjar också andra strategier såsom telefonkommunikation, nätfiske-e-postmeddelanden och webbplatstrick för att installera skadlig programvara.

 

Tänk på ett scenario som involverar telefonbaserad social engineering: Sarah är på jobbet när hon får ett samtal från ”Hacker Alan”, som påstår sig vara från IT-avdelningen.

Hacker Alan: ”Hej, Sarah. Bara en upplysning, vi uppdaterar din dator idag och den kommer att vara offline ett tag.”

Sarah: ”Jag har inte blivit informerad om detta. Jag behöver min dator idag för att slutföra ett projekt.”

Hacker Alan: ”Du borde ha fått ett e-postmeddelande om det. Tyvärr måste jag uppdatera de återstående datorerna idag.”

Sarah: ”Finns det inget annat sätt? Jag kan verkligen inte vara utan min dator.”

Hacker Alan: ”Vi kan faktiskt göra en uppdatering över nätverket. Vi brukar inte erbjuda detta eftersom det kräver ditt lösenord.”

Sarah: ”Om jag kan fortsätta jobba, snälla fortsätt på det sättet.”

Hacker Alan: ”Okej, Sarah. Nämn inte detta, men jag kan göra ett undantag om du anger ditt användarnamn och lösenord.”

Detta scenario återspeglar potentialen för knep, och betonar vikten av att aldrig dela lösenord, en princip som förstärks av program för säkerhetsmedvetenhet.

Angripare kanske inte direkt begär ditt lösenord utan ber istället om information som är användbar för att återställa ditt lösenord, till exempel namnet på ditt första husdjur eller din barndoms bästa vän. Dessa förfrågningar, till synes ofarliga, kan leda till obehörig åtkomst, särskilt när sådan information finns tillgänglig på sociala medier.

 

Föregående
Nästa