De senaste decenniernas stora dataläckor i världen går inte enbart att skylla på tekniken – många gånger har de berott på den mänskliga faktorn.
Social engineering, eller social manipulation, är olika sorters metoder för att manipulera personer till att avslöja känslig information eller utföra vissa handlingar. Ska vi minimera risker och skapa tryggare arbetsplatser måste vi först sätta oss in i förövarnas perspektiv. Här reder vi ut grunderna.
Vad är informationssäkerhet?
Steg ett: Gå på djupet med vad informationssäkerhet egentligen innebär. Studera CIA-triangeln, ett verktyg som står för Confidentiality, Integrity, Availability.
Triangeln visar att det inte går att uppnå 100 procent säkerhet. Snarare handlar det om att minimera risker genom att kompromissa mellan de tre delarna. Att sträva efter balans i att bevara informationen konfidentiell, försäkra att integriteten är intakt och att informationen är lättillgänglig.
Vad bygger social engineering på?
Nästa steg ligger i att förstå kopplingen mellan social engineering och CIA-triangeln för att kunna basera säkerhetspolicyn på potentiella risker.
Social engineering relaterar till triangeln och handlar om att använda olika tekniker för att manipulera människor och därigenom få dem att begå fel eller avslöja hemligheter. Teknikerna utgår från psykologi. Genom antaganden om beteenden är förövarens avsikt att utnyttja vår mänskliga natur.
Håller du upp dörren för andra av ren artighet? Redan där har vi ett exempel på mänskligt beteende som kan utnyttjas av en förövare som lurar sig in på obehörig mark, med avsikt att förstöra. Det bästa sättet för att försvara sig är att lära sig förövarnas strategier och därigenom upptäcka dem innan det är för sent. Här är några av huvudprinciperna som social engineering bygger på:
- Människor tenderar att lyssna till auktoriteter.
- Vi tenderar att härma andra eftersom vi finner trygghet i det.
- Om vi känner en person, ser likheter mellan oss, tycker om någon eller känner oss attraherade är det vanligt att vi gör som personen säger.
- Vi vill oftast fullfölja en uppgift och känner skyldighet i att ge tillbaka till människor som hjälpt oss.
- Vi har lätt att bli distraherade eftersom vi vill fokusera på en sak åt gången.
Det finns många mänskliga egenskaper att utnyttja. Ofta trycker förövaren på flera antaganden samtidigt för att göra det svårare för offret att misstänka något.
Hur går attacken till?
I många riktade fall lägger förövaren ordentligt med tid på spaning. Det kan ske genom att personen tittar över din axel för att se vad som försiggår på skärmen eller letar i sopor efter dokument som inte strimlats. Det kan även röra sig om det just nu högaktuella OSINT – Open Source Intelligence – som handlar om att via öppna källor, exempelvis hemsidor och sociala medier, snoka efter personlig information, klienter eller samarbetspartners.
Idag är det därför viktigare än någonsin att ta beslut kring vad som ska visas upp genom våra kanaler. En större mängd information ger förövaren mer att gå på, då denne ämnar att lära känna oss. En viktig aspekt att ha i åtanke är att den sociala ingenjören kan rikta in sig på privatpersoner, som ett steg mot att senare komma åt organisationens hemligheter.
När informationen om måltavlan samlats riktar förövaren in sig på att skapa tillit, exempelvis genom att låtsas vara trevlig och be om råd. När relationen byggts upp är det dags att utnyttja en situation och utföra attacken.
Social engineering är komplext. Attacker kan röra sig om alltifrån att personen utger sig för att arbeta på IT-supporten och be om ditt lösenord; till att be om att få visa presentationen på din dator under ett föredrag och föra in en USB-sticka som kan innehålla skadlig kod.
Bakgrundskontroller är ett av flera verktyg för att motverka social engineering, genom att granska de som rekryteras till företaget och säkra fortlöpande regelefterlevnad. I nästa del av vår artikelserie om social engineering kommer vi att gå närmare in på hur ni anpassar ert försvar.