Hvad er social engineering?
Hvad er social engineering? Det er en form for cyberangreb, der involverer brug af manipulation og bedrag for at få adgang til data eller oplysninger. Målet med social engineering er at narre folk til at udlevere følsomme oplysninger, f.eks. adgangskoder og netværksoplysninger, ved at få dem til at tro, at de interagerer med en person, de stoler på.
I nogle tilfælde vil social engineers også forsøge at få dig til at downloade malware - software, der kan bruges til skadelige formål - på din computer, uden at du opdager det.
Hvad er social engineering: Definition
Social engineering er at manipulere folk til at udføre handlinger eller udlevere fortrolige oplysninger. Det er en form for hacking, men i stedet for at bryde ind i computere forsøger social engineers at få adgang til dem ved at narre medarbejdere til at opgive oplysninger eller downloade malware.
Teknikker til social engineering: Hvordan virker social engineering?
- Social engineering kan foregå over telefonen, via e-mail eller sms'er. En social engineer kan ringe til en virksomhed og bede om adgang til et begrænset område, eller han kan udgive sig for at være en anden person for at få en anden person til at åbne en e-mail-konto på hans vegne.
- Social engineers bruger mange forskellige taktikker for at nå deres mål. De kan f.eks. hævde, at de ringer fra en virksomheds helpdesk og beder om fjernadgang, så de kan reparere noget på din computer eller dit netværk. Eller de kan hævde, at de har brug for din adgangskode eller andre personlige oplysninger, f.eks. bankoplysninger, så de kan løse et problem med din bankkonto.
- I nogle tilfælde vil social engineers endda udgive sig for at være politibetjente og true med retslige skridt, hvis du nægter at efterkomme deres krav om oplysninger. Selv om det er vigtigt for virksomheder at tage disse trusler alvorligt, skal du huske, at politiet aldrig ringer til nogen og beder dem om deres adgangskoder over telefonen!
Formål med social engineering
Social engineering bruges ofte i phishing-angreb, som er e-mails, der ser ud til at være fra en pålidelig kilde, men som i virkeligheden har til formål at stjæle dine personlige oplysninger. E-mails indeholder normalt en vedhæftet fil med skadelig software (ofte kaldet malware), som inficerer din computer, hvis den åbnes.
Målet med social engineering er altid det samme: at få adgang til noget værdifuldt uden at skulle arbejde for det.
1. Stjæle følsomme oplysninger
Så social engineers kan forsøge at narre dig til at opgive din adgangskode og loginoplysninger (f.eks. dit brugernavn/emailadresse), så de kan få adgang til din e-mail-konto eller profil på sociale medier, hvor de kan stjæle personlige oplysninger som f.eks. kreditkortnumre og bankkontoinformationer fra tidligere transaktioner. Du ved måske, hvordan man sælger på Instagram, men har du nok viden til at beskytte din lille virksomhed og konto mod sociale ingeniører?
2. Identitetstyveri
De kan også bruge disse oplysninger til at påtage sig offerets identitet og udføre ondsindede aktiviteter, hvor de udgiver sig for at være dem, hvis de vælger ikke at destruere dem med det samme.
Lær hvorfor cyberangribere ofte bruger social engineering.
Hvordan identificerer man et social engineering-angreb?
1. Stol på din mavefornemmelse
Hvis du modtager e-mails eller telefonopkald, der lyder mistænkelige, må du ikke give nogen oplysninger, før du har bekræftet din identitet. Det kan du gøre ved at ringe direkte til din virksomhed eller ved at kontakte den person, der angiveligt har sendt e-mailen eller lagt en besked på din telefonsvarer.
2. Du må ikke indsende dine personlige oplysninger
Hvis nogen beder om dit personnummer eller andre private oplysninger, er det et tegn på, at de forsøger at udnytte din tillid og bruge den mod dig senere. Det anbefales, at du ikke giver nogen oplysninger, medmindre det er absolut nødvendigt.
3. Usædvanlige anmodninger uden kontekst
Social engineers fremsætter normalt store anmodninger uden at give nogen sammenhæng. Hvis nogen beder om penge eller andre ressourcer uden at forklare, hvorfor de har brug for dem, er der sandsynligvis noget lusket i gære. Det er bedre at være forsigtig, når nogen fremsætter en stor anmodning som denne - du ved aldrig, hvilken skade der kan ske med adgang til din bankkonto!
Her er nogle måder, hvorpå du kan opdage social engineering-angreb:
- Modtagelse af en e-mail fra en person, der hævder at være fra din it-afdeling, og som beder dig om at nulstille din adgangskode og oplyse den i en e-mail eller sms
- Modtagelse af en e-mail fra en person, der hævder at være fra din bank, og som beder om personlige oplysninger, f.eks. dit kontonummer eller din PIN-kode
- Modtagelse af en e-mail fra en person, der hævder at være fra din bank, og som beder om personlige oplysninger, f.eks. dit kontonummer eller din PIN-kode
- En person, der hævder at være fra virksomhedens HR-afdeling, beder dig om oplysninger om virksomheden
E-mail-baserede social engineering-angreb
Phishing-e-mails - De ser ud, som om de kommer fra en legitim kilde, men forsøger faktisk at narre dig til at åbne en vedhæftet fil eller besøge en ondsindet hjemmeside.
Spear phishing - Spear phishing angreb er mere målrettede end phishing-e-mails og bruger oplysninger om dig for at få dem til at virke mere troværdige
CEO-svindel - CEO-svindel er en form for phishing-svindel, hvor man udgiver sig for at være en administrerende direktør eller en højtstående leder for at få adgang til følsomme oplysninger. Det kan være bankkontonumre, bankoverførselsoplysninger eller endda lønoplysninger for medarbejdere.
Få mere at vide om andre typer af social engineering angreb.
Hvordan forebygger man social engineering?
Vi har nogle tips til, hvordan du kan forhindre social engineering-angreb og beskytte dig mod dem.
- Sørg for, at du har installeret god antivirus-software på dine enheder og computere.
- Åbn ikke mistænkelige e-mails eller vedhæftede filer fra personer, som du ikke har tillid til (dette gælder også e-mails fra personer, der hævder at være din bank eller dit kreditkortfirma).
- Klik ikke på links i e-mails, medmindre du er sikker på, at de er sikre - heller ikke hvis de kommer fra nogen, du kender! Hvis du er i tvivl om, hvorvidt en e-mail er legitim, skal du ringe direkte til afsenderen via telefon eller sms i stedet for først at søge flere oplysninger på nettet.
- Vær på vagt over for uopfordrede telefonopkald eller sms'er, der tilbyder noget, der er "for godt til at være sandt" (det kan være gratis præmier og andre tilbud for at tilmelde sig ting som f.eks. gratis prøveabonnementer).
- Brug to-faktor-autentifikation hvor det er muligt - det betyder, at selv om en person har din adgangskode, skal vedkommende stadig bruge en anden oplysning (f.eks. en engangskode) for at få adgang til din konto.
- Opsætning af protokoller til e-mail-godkendelse som f.eks. DMARC for at sikre dine e-mail-kanaler mod phishing-angreb, social engineering og domænemisbrug.
For at opsummere
Det er vigtigt at beskytte sig mod social engineering, fordi det kan resultere i tab af penge og andre personlige oplysninger samt kompromittering af sikkerhedssystemer og databrud.
Uanset hvor godt dit it-team er til at beskytte din virksomhed mod cyberangreb, kan du aldrig helt eliminere risikoen for, at nogen forsøger at komme ind i dit system via social engineering-metoder. Det er derfor, det er så vigtigt at uddanne medarbejdere om at identificere phishing-e-mails og andre typer af social engineering-angreb.
- Websikkerhed 101 - bedste praksis og løsninger - 29. november 2023
- Hvad er e-mail-kryptering, og hvad er dens forskellige typer? - 29. november 2023
- Hvad er MTA-STS? Opsæt den rigtige MTA STS-politik - 25. november 2023