Vad är social ingenjörskonst? Det är en form av cyberattack som innebär att man använder manipulation och bedrägeri för att få tillgång till data eller information. Målet med social ingenjörskonst är att lura människor att lämna ut känslig information, t.ex. lösenord och nätverksuppgifter, genom att få dem att tro att de interagerar med någon de litar på. 

I vissa fall försöker sociala ingenjörer också få dig att ladda ner skadlig kod - programvara som kan användas för skadliga syften - till din dator utan att du märker det.

Vad är social ingenjörskonst: Definition

Social ingenjörskonst är att manipulera människor så att de utför åtgärder eller lämnar ut konfidentiell information. Det är en form av hackning, men i stället för att bryta sig in i datorer försöker sociala ingenjörer få tillgång till dem genom att lura anställda att lämna ut information eller ladda ner skadlig kod.

Tekniker för social ingenjörskonst: Hur fungerar social ingenjörskonst?

• Social ingenjörskonst kan utföras via telefon, e-post eller textmeddelanden. En social ingenjör kan ringa ett företag och be om tillgång till ett begränsat område, eller så kan han eller hon utge sig för att få någon annan att öppna ett e-postkonto för hans eller hennes räkning.
• Sociala ingenjörer använder många olika taktiker för att uppnå sina mål. De kan till exempel hävda att de ringer från företagets helpdesk och begära fjärråtkomst så att de kan åtgärda något på din dator eller ditt nätverk. De kan också hävda att de behöver ditt lösenord eller andra personliga uppgifter, t.ex. bankuppgifter, så att de kan lösa ett problem med ditt bankkonto.
• I vissa fall låtsas social ingenjörer till och med vara brottsbekämpare och hotar med rättsliga åtgärder om du vägrar att följa deras krav på information. Även om det är viktigt för företag att ta dessa hot på allvar ska du komma ihåg att polisen aldrig ringer upp någon och ber om lösenord via telefon!

Syftet med social ingenjörskonst

Social ingenjörskonst används ofta i phishing-attacker, dvs. e-postmeddelanden som ser ut att komma från en pålitlig källa men som i själva verket syftar till att stjäla din personliga information. E-postmeddelandena innehåller vanligtvis en bilaga med skadlig programvara (ofta kallad skadlig kod) som infekterar din dator om den öppnas.

Målet med social ingenjörskonst är alltid detsamma: att få tillgång till något värdefullt utan att behöva arbeta för det. 

1. Stöld av känslig information

Sociala ingenjörer kan försöka lura dig att lämna ut ditt lösenord och dina inloggningsuppgifter (t.ex. ditt användarnamn och din e-postadress) så att de kan få tillgång till ditt e-postkonto eller din profil i sociala medier där de kan stjäla personlig information, t.ex. kreditkortsnummer och bankkontouppgifter från tidigare transaktioner. Du kanske vet hur man säljer på Instagram, men har du tillräckligt med kunskap för att skydda ditt lilla företag och ditt konto från sociala ingenjörer?

2. Identitetsstöld

De kan också använda denna information för att anta offrets identitet och utföra skadlig verksamhet genom att låtsas vara dem om de inte väljer att förstöra informationen omedelbart.

Lär dig varför cyberattackerare ofta använder sig av social ingenjörskonst.

Hur identifierar man en social ingenjörsattack?

1. Lita på din magkänsla

Om du får e-post eller telefonsamtal som låter misstänkt, lämna inte ut någon information förrän du har verifierat din identitet. Det kan du göra genom att ringa företaget direkt eller genom att höra av dig till den person som förmodligen skickade e-postmeddelandet eller lämnade ett meddelande på din röstbrevlåda.

2. Lämna inte in dina personuppgifter

Om någon ber om ditt personnummer eller andra privata uppgifter är det ett tecken på att personen försöker utnyttja ditt förtroende och använda det mot dig senare. Det rekommenderas att inte lämna ut någon information om det inte är absolut nödvändigt. 

3. Ovanliga framställningar utan sammanhang

Sociala ingenjörer gör vanligtvis stora förfrågningar utan att ge något sammanhang. Om någon ber om pengar eller andra resurser utan att förklara varför de behöver dem är det förmodligen något skumt på gång. Det är bättre att vara försiktig när någon gör en stor förfrågan av det här slaget - du vet aldrig vilken skada du kan göra med tillgång till ditt bankkonto!

Här är några sätt att upptäcka sociala ingenjörsattacker:

• Du får ett e-postmeddelande från någon som påstår sig komma från IT-avdelningen och ber dig att återställa ditt lösenord och ange det i ett e-postmeddelande eller sms.
• Du får ett e-postmeddelande från någon som påstår sig vara från din bank och ber om personlig information, t.ex. ditt kontonummer eller din PIN-kod.
• Du får ett e-postmeddelande från någon som påstår sig vara från din bank och ber om personlig information, t.ex. ditt kontonummer eller din PIN-kod.
• Om du blir tillfrågad om information om företaget av någon som påstår sig komma från företagets personalavdelning.

E-postbaserade sociala ingenjörsattacker

Phishing-e-post - Det ser ut att komma från en legitim källa, men försöker i själva verket lura dig att öppna en bilaga eller besöka en skadlig webbplats.

Spear phishing - Spjutfiske är mer målinriktade än nätfiske och använder information om dig för att få dem att verka mer trovärdiga.

Bedrägeri av VD - Bedrägeri av VD är en typ av nätfiskebedrägeri som innebär att man utger sig för att vara en VD eller en hög chef för att få tillgång till känslig information. Det kan handla om bankkontonummer, uppgifter om banköverföringar eller till och med uppgifter om anställdas löner.

Lär dig mer om andra typer av social ingenjörskonst attacker.

Hur förhindrar man social ingenjörskonst?

Vi har några tips om hur du kan förebygga sociala ingenjörsattacker och skydda dig mot dem.

1. Se till att du har ett bra antivirusprogram installerat på dina enheter och datorer.
2. Öppna inte misstänkta e-postmeddelanden eller bilagor från personer som du inte litar på (detta gäller även e-postmeddelanden från personer som påstår sig vara din bank eller ditt kreditkortsföretag).
3. Klicka inte på länkar i e-postmeddelanden om du inte är säker på att de är säkra, även om de kommer från någon du känner! Om du någonsin tvivlar på om ett e-postmeddelande är legitimt, ring upp avsändaren direkt via telefon eller sms i stället för att först söka mer information på nätet.
4. Var försiktig med oönskade telefonsamtal eller sms som erbjuder något som är "för bra för att vara sant" (detta kan vara gratis priser och andra erbjudanden för att registrera sig för saker som gratis provningar). 
5. Använd tvåfaktorsautentisering Detta innebär att även om någon har ditt lösenord behöver han eller hon ytterligare information (t.ex. en engångskod) för att få tillgång till ditt konto.
6. Konfigurera autentiseringsprotokoll för e-post, t.ex. DMARC för att skydda dina e-postkanaler mot nätfiskeattacker, social ingenjörskonst och domänmissbruk.

För att sammanfatta

Det är viktigt att skydda sig mot social ingenjörskonst eftersom det kan leda till att man förlorar pengar och annan personlig information, äventyrar säkerhetssystem och dataintrång. 

Oavsett hur bra ditt IT-team är på att skydda ditt företag från cyberattacker kan du aldrig helt eliminera risken för att någon försöker ta sig in i ditt system med hjälp av social ingenjörskonst. Därför är det så viktigt att utbilda anställda om hur man identifierar nätfiske och andra typer av social engineering-attacker.