Vid socialtekniska attacker försöker en angripare få tillgång till data eller tjänster genom att skapa relationer med personer vars förtroende de kan utnyttja. Den första försvarslinjen är att vara uppmärksam. Angriparen kan locka in dig i en konversation som mer liknar ett förhör. Det bästa sättet att skydda sig mot social ingenjörskonst är dock att veta vem man kan lita på och själv vara pålitlig. Du måste identifiera alla som kan få tillgång till ditt konto eller kan påverka det och se till att de har en bra anledning att göra det.
Vad är en socialteknisk attack?
Socialteknisk attack är en form av hackning där en angripare försöker få åtkomst till eller information genom att utnyttja förtroende. Det är en mycket effektiv attack eftersom den utnyttjar din vilja att hjälpa människor, nyfikenhet och naivitet. En social ingenjör kan göra dig till en ovetande medbrottsling genom att använda manipulation på hög nivå för att få vad angriparen vill. Det är en form av hackning, men istället för att bryta sig in i datorer försöker sociala ingenjörer få tillgång till dem genom att lura anställda att lämna ifrån sig information eller ladda ner skadlig kod.
Hur fungerar socialtekniska attacker? Vanliga tekniker
Sociala ingenjörsattacker kan utföras per telefon, via e-post eller via textmeddelanden. En social ingenjör kan ringa ett företag och be om tillgång till ett begränsat område, eller utge sig för att vara någon annan för att få någon annan att öppna ett e-postkonto åt honom eller henne.
Sociala ingenjörer använder många olika taktiker för att uppnå sina mål. De kan till exempel hävda att de ringer från företagets helpdesk och begära fjärråtkomst så att de kan åtgärda något på din dator eller ditt nätverk. De kan också hävda att de behöver ditt lösenord eller andra personliga uppgifter, t.ex. bankuppgifter, så att de kan lösa ett problem med ditt bankkonto.
I vissa fall låtsas de sociala ingenjörerna till och med vara poliser och hotar med rättsliga åtgärder om du vägrar att tillmötesgå deras krav på information. Även om det är viktigt för företag att ta dessa hot på allvar, kom ihåg att polisen aldrig kommer att ringa upp någon och be dem om deras lösenord över telefon!
Syftet med social ingenjörskonst
Social ingenjörskonst används ofta i phishing-attacker, dvs. e-postmeddelanden som ser ut att komma från en pålitlig källa men som i själva verket syftar till att stjäla din personliga information. E-postmeddelandena innehåller vanligtvis en bilaga med skadlig programvara (ofta kallad skadlig kod) som infekterar din dator om den öppnas.
Målet med social ingenjörskonst är alltid detsamma: att få tillgång till något värdefullt utan att behöva arbeta för det.
1. Stöld av känslig information
Sociala ingenjörer kan försöka lura dig att lämna ifrån dig ditt lösenord och dina inloggningsuppgifter (t.ex. användarnamn och e-postadress) så att de kan komma åt ditt e-postkonto eller din profil på sociala medier och stjäla personlig information som kreditkortsnummer och bankkontouppgifter från tidigare transaktioner.
2. Identitetsstöld
De kan också använda denna information för att anta offrets identitet och utföra skadlig verksamhet genom att låtsas vara dem om de inte väljer att förstöra informationen omedelbart.
Exempel på en attack med social ingenjörskonst
Användningen av bedrägeri och list för att vinna en fördel har funnits långt innan persondatorer och World Wide Web blev allmänt tillgängliga. Men vi kan titta längre tillbaka i historien för att se några av de mest uppenbara attackerna med social ingenjörskonst.
Vid den senaste incidenten, som inträffade i februari 2020, blev en phishing med en falsk renoveringsfaktura lyckades man lura Barbara Corcoran från ABC:s "Shark Tank" på nästan 400 000 dollar.
Om du blir utsatt för social engineering-attacker är det viktigt att veta hur du kan skydda dig från att bli utsatt. Lär dig varningstecknen på ett potentiellt hot och hur du kan skydda dig.
Hur identifierar man en attack från social ingenjörskonst?
1. Lita på din magkänsla
Om du får e-post eller telefonsamtal som låter misstänkt, lämna inte ut någon information förrän du har verifierat din identitet. Det kan du göra genom att ringa företaget direkt eller genom att höra av dig till den person som förmodligen skickade e-postmeddelandet eller lämnade ett meddelande på din röstbrevlåda.
2. Lämna inte in dina personuppgifter
Om någon ber om ditt personnummer eller andra privata uppgifter är det ett tecken på att de försöker utnyttja ditt förtroende och använda det mot dig senare. Vi rekommenderar att du inte lämnar ut någon information om det inte är nödvändigt.
3. Ovanliga framställningar utan sammanhang
Sociala ingenjörer gör vanligtvis stora förfrågningar utan att ge något sammanhang. Om någon ber om pengar eller andra resurser utan att förklara varför de behöver dem är det förmodligen något skumt på gång. Det är bättre att vara försiktig när någon gör en stor förfrågan av det här slaget - du vet aldrig vilken skada du kan göra med tillgång till ditt bankkonto!
Här är några sätt att upptäcka sociala ingenjörsattacker:
- Du får ett e-postmeddelande från någon som påstår sig komma från IT-avdelningen och ber dig att återställa ditt lösenord och ange det i ett e-postmeddelande eller sms.
- Du får ett e-postmeddelande från någon som påstår sig vara från din bank och ber om personlig information, t.ex. ditt kontonummer eller din PIN-kod.
- Du får ett e-postmeddelande från någon som påstår sig vara från din bank och ber om personlig information, t.ex. ditt kontonummer eller din PIN-kod.
- Om du blir tillfrågad om information om företaget av någon som påstår sig komma från företagets personalavdelning.
Typer av angrepp från social ingenjörskonst
Att utsätta människor för social ingenjörskonst är ett utmärkt sätt att begå bedrägerier. Det kan ske på flera olika sätt.
Få tillgång: Hackare kan få tillgång till ditt bankkonto genom att ansöka om kredit i en annan persons namn. Bedrägeriet sker ofta via telefonsamtal eller e-post till vänner och familj, som sedan uppmanas att göra en banköverföring för att snabbt ersätta hackaren för att denne har påverkat offrets liv.
Stjäla personlig information: Ett annat vanligt sätt att lura människor att lämna ut sin personliga information är att tro att de har vunnit ett pris eller en tävling som de aldrig deltog i men registrerade sig för. Och när de får sådana samtal för att se till att de kommer att få priset när de ger sina uppgifter, är det där offren kommer upp till angriparens fälla.
Phishing: I denna attack skickar angriparna e-postmeddelanden som ser ut att komma från legitima företag eller organisationer, men som innehåller skadliga länkar eller bilagor. Dessutom är detta en av de vanligaste socialtekniska attackerna i världen.
Förevändning: En annan massiv social engineering-attack går ut på att skapa en falsk identitet eller ett falskt scenario för att få tillgång till personlig information. Ett av de mest framträdande exemplen på social ingenjörskonst är när angripare får tillgång till att manipulera människor via textmeddelanden .
Shoulder surfing: Det är en attack där angriparen tittar över någons axel för att få tillgång till konfidentiell information. Ibland är angriparen inget annat än dina nära vänner eller nära och kära som kommer att utpressa dig när de får den information de alltid velat ha. Det är därför viktigt att hålla ett öga på sådana personer och aldrig lämna ut några personliga detaljer.
Förföljande: Tailgating är när en angripare följer efter någon som är behörig att gå in i en byggnad eller ett säkert område utan att faktiskt vara behörig. Det är inte lika vanligt som andra sociala ingenjörsattacker, men det är ändå farligt och kan lämna skadliga spår.
5 sätt att skydda dig mot sociala ingenjörsattacker
Här har vi samlat några användbara tips och idéer som hjälper dig att skydda dig från sociala attacker eller förhindra sociala ingenjörsattacker:
1. Okända avsändare (e-post vs. textmeddelanden)
Var noga med avsändarens e-postadress och meddelandets innehåll. Det är viktigt att veta att du inte behöver klicka på några misstänkta dokumentlänkar.
2. Sluta dela med dig av personlig information
Tänk efter innan du delar med dig av personlig information, t.ex. lösenord och kreditkortsnummer. Inget seriöst företag eller någon annan person bör någonsin be om denna typ av känslig information. Använd alltid starka lösenord och byt dem regelbundet. Undvik att använda samma lösenord för flera konton och rädda dig själv från att bli offer för social engineering-attacker.
3. Säkerhetsnivåer
Använd tvåfaktorsautentisering när det är möjligt. Det kan lägga till ett extra säkerhetslager genom att kräva att användarna anger en kod som skickas till deras mobiltelefon och deras användarnamn och lösenord. Ställ alltid in autentiseringskoder med din e-postadress och ditt telefonnummer så att om någon skulle få tillgång till något av systemen kan de inte använda ditt konto direkt.
4. Anti-virusprogramvara
Installera anti-malware och antivirusprogram på alla dina enheter. Håll dessa program uppdaterade så att de kan skydda dig mot de senaste hoten. När du har ett antivirusprogram installerat på dina enheter kan det dock utgöra ett utmärkt skydd mot social engineering-attacker.
5. Var alltid uppmärksam på eventuella risker
Det skulle hjälpa om du alltid övervägde riskerna. Se till att alla förfrågningar om information är korrekta genom att dubbel- och trippelkolla. Håll utkik efter nyheter om cybersäkerhet om du har drabbats av ett intrång nyligen.
Slutsats
För att skydda dig mot social engineering-attacker, måste du lära dig att vidta försiktighetsåtgärder mot dem. Eftersom vi redan har gett dig några standardmetoder för sociala ingenjörsattacker, som har använts i flera århundraden i världen, bör du börja tillämpa försiktighetsåtgärderna nu. Social engineering-attacker kan skada en persons plus- och yrkesliv inom några sekunder. Skydda alltid dina enheter, lösenord och andra inloggningar med två verifieringskoder för autentisering av uppställning för ett yttre skyddslager.
Innan du gör något annat bör du prata med en betrodd IT-expert eller säkerhetsexpert, t.ex. PowerDMARC. De kan hjälpa dig att förstå riskerna med sociala ingenjörsattacker och hur du kan minimera dem.