Hvordan kan du beskytte dig mod social engineering-angreb?
I social engineering-angreb forsøger en angriber at få adgang til data eller tjenester ved at skabe relationer til mennesker, hvis tillid de kan udnytte. Den første forsvarslinje er at være på vagt. Angriberen kan lokke dig ind i en samtale, der udvikler sig til et forhør. Men den bedste måde at beskytte sig mod social engineering på er at vide, hvem man kan stole på, og selv være troværdig. Du skal identificere alle, der kan få adgang til din konto eller kan påvirke den, og sikre dig, at de har en god grund til at gøre det.
Hvad er et social engineering-angreb?
Social engineering-angreb er en form for hacking, hvor en angriber forsøger at få adgang til eller oplysninger ved at udnytte tillid. Det er et meget effektivt angreb, fordi det udnytter dit ønske om at hjælpe andre, din nysgerrighed og naivitet. En social engineer kan gøre dig til en uvidende medskyldig ved at bruge manipulation på højt niveau til at få det, angriberen ønsker. Det er en form for hacking, men i stedet for at bryde ind i computere forsøger social engineers at få adgang til dem ved at narre medarbejdere til at afgive oplysninger eller downloade malware.
Teknikker til social engineering
Social engineering-angreb kan udføres over telefonen, via e-mail eller via sms-beskeder. En social engineer kan ringe til en virksomhed og bede om adgang til et begrænset område, eller de kan udgive sig for at være en anden person for at få en anden til at åbne en e-mailkonto på deres vegne.
Social engineers bruger mange forskellige taktikker for at nå deres mål. De kan f.eks. hævde, at de ringer fra en virksomheds helpdesk og beder om fjernadgang, så de kan reparere noget på din computer eller dit netværk. Eller de kan hævde, at de har brug for din adgangskode eller andre personlige oplysninger, f.eks. bankoplysninger, så de kan løse et problem med din bankkonto.
I nogle tilfælde vil social engineers endda udgive sig for at være politibetjente og true med retssager, hvis du nægter at efterkomme deres krav om oplysninger. Selvom det er vigtigt for virksomheder at tage disse trusler alvorligt, så husk, at politiet aldrig vil ringe til nogen og bede dem om deres adgangskoder over telefonen!
Formål med social engineering
Social engineering bruges ofte i phishing-angreb, som er e-mails, der ser ud til at være fra en pålidelig kilde, men som i virkeligheden har til formål at stjæle dine personlige oplysninger. E-mails indeholder normalt en vedhæftet fil med skadelig software (ofte kaldet malware), som inficerer din computer, hvis den åbnes.
Målet med social engineering er altid det samme: at få adgang til noget værdifuldt uden at skulle arbejde for det.
1. Stjæle følsomme oplysninger
Så sociale ingeniører kan forsøge at narre dig til at opgive din adgangskode og loginoplysninger (såsom dit brugernavn/mailadresse), så de kan få adgang til din e-mailkonto eller sociale medieprofil, hvor de kan stjæle personlige oplysninger som kreditkortnumre og bankkontooplysninger fra tidligere transaktioner.
2. Identitetstyveri
De kan også bruge disse oplysninger til at påtage sig offerets identitet og udføre ondsindede aktiviteter, hvor de udgiver sig for at være dem, hvis de vælger ikke at destruere dem med det samme.
Eksempel på et social engineering-angreb
Brugen af bedrag og snyd for at opnå en fordel har eksisteret længe før den udbredte adgang til pc'er og World Wide Web. Men vi kan kigge længere tilbage i historien for at se nogle af de mest grusomme tilfælde af social engineering-angreb.
I den seneste hændelse, som fandt sted i februar 2020, blev en phishing forsøg med en falsk renoveringsfaktura, hvor Barbara Corcoran fra ABC's "Shark Tank" ud af næsten 400.000 dollars.
Hvis du er offer for social engineering-angreb, er det vigtigt at vide, hvordan du kan beskytte dig mod at blive offer. Lær advarselstegnene på en potentiel trussel, og hvordan du kan beskytte dig selv.
Hvordan identificerer man et social engineering-angreb?
1. Stol på din mavefornemmelse
Hvis du modtager e-mails eller telefonopkald, der lyder mistænkelige, må du ikke give nogen oplysninger, før du har bekræftet din identitet. Det kan du gøre ved at ringe direkte til din virksomhed eller ved at kontakte den person, der angiveligt har sendt e-mailen eller lagt en besked på din telefonsvarer.
2. Du må ikke indsende dine personlige oplysninger
Hvis nogen beder om dit CPR-nummer eller andre private oplysninger, er det et tegn på, at de forsøger at udnytte din tillid og bruge den imod dig senere. Det tilrådes ikke at give nogen oplysninger, medmindre det er nødvendigt.
3. Usædvanlige anmodninger uden kontekst
Social engineers fremsætter normalt store anmodninger uden at give nogen sammenhæng. Hvis nogen beder om penge eller andre ressourcer uden at forklare, hvorfor de har brug for dem, er der sandsynligvis noget lusket i gære. Det er bedre at være forsigtig, når nogen fremsætter en stor anmodning som denne - du ved aldrig, hvilken skade der kan ske med adgang til din bankkonto!
Her er nogle måder, hvorpå du kan opdage social engineering-angreb:
- Modtagelse af en e-mail fra en person, der hævder at være fra din it-afdeling, og som beder dig om at nulstille din adgangskode og oplyse den i en e-mail eller sms
- Modtagelse af en e-mail fra en person, der hævder at være fra din bank, og som beder om personlige oplysninger, f.eks. dit kontonummer eller din PIN-kode
- Modtagelse af en e-mail fra en person, der hævder at være fra din bank, og som beder om personlige oplysninger, f.eks. dit kontonummer eller din PIN-kode
- En person, der hævder at være fra virksomhedens HR-afdeling, beder dig om oplysninger om virksomheden
Typer af social engineering-angreb
At gøre folk til ofre gennem social engineering-angreb er en god måde at begå svindel på. Det kan foregå på flere måder.
Få adgang: Hackere kan få adgang til din bankkonto ved at ansøge om kredit i en anden persons navn. Dette bedrageri involverer ofte et telefonopkald eller en e-mail sendt til venner og familie, som derefter bliver bedt om at foretage en bankoverførsel for hurtigt at godtgøre hackeren for deres vejafgift på offerets liv.
Stjæle personlige oplysninger: En anden almindelig måde, folk bliver narret til at udlevere deres personlige oplysninger på, er ved at tro, at de har vundet en præmie eller konkurrence, de aldrig har deltaget i, men som de har tilmeldt sig. Og når de modtager sådanne opkald for at sikre sig, at de vil få præmien, når de giver deres oplysninger, er det her, ofrene kommer op til angriberens fælde.
Phishing: I dette angreb sender angriberne e-mails, der ser ud, som om de kommer fra legitime virksomheder eller organisationer, men som indeholder ondsindede links eller vedhæftede filer. Det er desuden et af de mest almindelige social engineering-angreb på verdensplan.
Pretexting: Et andet massivt social engineering-angreb involverer at skabe en falsk identitet eller et falsk scenarie for at få adgang til personlige oplysninger. Et af de mest fremtrædende eksempler på social engineering er ,hvor angribere får adgang til at manipulere folk gennem sms' er.
Skuldersurfing: Det er et angreb, hvor angriberen kigger nogen over skulderen for at få adgang til fortrolige oplysninger. Nogle gange er angriberen intet andet end dine nære venner eller kære, som vil afpresse dig, når de får de oplysninger, de altid har ønsket at have. Så det er vigtigt at holde øje med sådanne personer og aldrig udlevere personlige detaljer.
Forfølgelse: Tailgating er, når en angriber følger efter en person, der er autoriseret til at komme ind i en bygning eller et sikkert område uden faktisk at være autoriseret. Det er ikke så almindeligt som andre social engineering-angreb, men det er stadig farligt og kan efterlade skadelige spor.
5 måder at beskytte dig mod social engineering-angreb på
Her har vi samlet nogle nyttige tips eller idéer, som hjælper dig med at beskytte dig mod sociale angreb eller forhindre social engineering-angreb:
1. Ukendte afsendere (e-mails vs. sms'er)
Vær meget opmærksom på afsenderens e-mailadresse og indholdet af meddelelsen. Det er vigtigt at vide, at du ikke behøver at klikke på mistænkelige dokumentlinks.
2. Stop med at dele personlige oplysninger
Tænk dig om, før du deler personlige oplysninger som f.eks. adgangskoder og kreditkortnumre. Ingen lovlig virksomhed eller person bør nogensinde bede om denne type følsomme oplysninger. Brug altid stærke adgangskoder, og skift dem regelmæssigt. Undgå at bruge de samme adgangskoder til flere konti, så du undgår at blive offer for social engineering-angreb.
3. Lag af sikkerhed
Brug to-faktor-autentifikation, når det er muligt. Det kan tilføje et ekstra sikkerhedslag ved at kræve, at brugerne indtaster en kode, der sendes til deres mobiltelefon, samt deres brugernavn og adgangskode. Opsæt altid autentificeringskoder med din e-mail og dit telefonnummer, så hvis nogen skulle få adgang til et af systemerne, kan de ikke bruge din konto direkte.
4. Anti-virus software
Installer anti-malware og antivirusprogrammer på alle dine enheder. Hold disse programmer opdateret, så de kan beskytte dig mod de nyeste trusler. Men når du har et antivirusprogram installeret på dine enheder, kan det give et fremragende skjold mod social engineering-angreb.
5. Vær altid opmærksom på eventuelle risici
Det ville hjælpe, hvis du altid overvejede risici. Sørg for, at alle anmodninger om oplysninger er nøjagtige ved at dobbelt- og trippeltjekke. Hold øje med nyheder om cybersikkerhed, når du er berørt af et nyligt brud.
Konklusion
For at beskytte dig mod social engineering-angreb, skal du lære at tage forholdsregler mod dem. Da vi allerede har givet dig nogle standardmetoder til social engineering-angreb, som har været brugt i flere årtier i verden, skal du sørge for at begynde at implementere disse forholdsregler nu. Social engineering-angreb kan skade en persons plus, professionelle liv inden for få sekunder. Beskyt altid dine enheder, adgangskoder og andre log-ins med to opsætningsbekræftelsesbekræftelseskoder til autentificering for at opnå et ydre beskyttelseslag.
Før du gør noget andet, skal du tale med en betroet it-professionel eller sikkerhedsekspert som f.eks. PowerDMARC. De kan hjælpe dig med at forstå risiciene ved social engineering-angreb, og hvordan du kan minimere dem.
- Websikkerhed 101 - bedste praksis og løsninger - 29. november 2023
- Hvad er e-mail-kryptering, og hvad er dens forskellige typer? - 29. november 2023
- DMARC Black Friday: Forstærk dine e-mails i denne feriesæson - 23. november 2023
