Hoppa till huvudinnehåll

Effektiv blufftaktik på nätet – hackare utnyttjar den mänskliga faktorn

Social engineering (illustrationsbild)
Företagens största sårbarhet är i många fall människan. Också privatpersoner råkar ut för social manipulation. Social engineering (illustrationsbild) Bild: EPA/Julian Stratenschulte social engineering

Så kallade social engineering-angrepp har ökat en hel del i antal under senare tid – särskilt mot företag. De går ut på att angriparen försöker få lösenord eller annan information genom att bluffa sig fram. Men trots att mycket står på spel är beredskapen att motverka attackerna låg.

En person som utför social engineering utnyttjar att människor är godtrogna och hjälpsamma, eller bara allmänt slarviga eller frustrerade på jobbet.

Begreppet omfattar många olika typer av angrepp, allt från bluffmeddelanden som skickas per e-post till att en angripare fysiskt tar sig in någonstans där han eller hon inte får befinna sig.

Social engineering kallas också för social ingenjörskonst och social manipulation på svenska.

Det är oftast företagens pengar och affärshemligheter som bedragarna vill komma åt.

- Brottsligheten funkar på samma sätt som affärslivet. Man använder gärna de metoder som är mest lukrativa och samtidigt inte alltför svåra eller riskabla, berättar säkerhetskonsult Niki Klaus på it-företaget Nixu.

Enklare än att knäcka lösenord

Social manipulation används oftare än vad många tror i samband med dataintrång, just eftersom det är relativt enkelt. Det berättar amerikanen Chris Hadnagy, som är en av världens främsta experter på det här fenomenet med sitt företag Social-Engineer.

- Nästan alla stora dataintrång som har skett under de senaste 18 månaderna har gjorts åtminstone delvis med hjälp av social ingenjörskonst, alltså att man har lurat anställda per e-post, telefon eller sms, eller på plats och ställe, berättar han.

Chris Hadnagy
Chris Hadnagy Chris Hadnagy chris hadnagy

De anmälda ekonomiska förlusterna till följd av social ingenjörskonst beräknades i fjol uppgå till närmare en miljard euro på global nivå, vilket är en dubblering på två år. Siffran baserar sig på fall som har anmälts till myndigheter och kan i verkligheten vara mycket större.

Social engineering

- En form av bedrägeri som går runt alla säkerhetssystem genom att rikta in sig på den enskilda människan. Till exempel: Istället för att försöka knäcka ett lösenord lurar man någon att lämna ut det frivilligt.
- Kallas på svenska för social manipulation, eller ibland social ingenjörskonst.
- Utförs oftast av stater, statssponsorerade grupper, kriminella organisationer och hackare med en agenda.
- Kan ske via e-post (så kallat nätfiske), via telefon, via sms eller genom att man fysiskt besöker företaget och utger sig för att vara någon annan.
- Motiven är oftast ekonomiska, men ibland kan det också handla om att få fram information (t.ex. stater som spionerar på andra stater).
- Angreppen räcker för det mesta inte så länge. Ett undantag är att stater som utför social manipulation lätt kan satsa mycket tid och resurser på det.

Källa: Rikstermbanken, Chris Hadnagy på företaget Social-Engineer

Nätfiske mot finländska företag

Det är särskilt den sociala manipulation som sker via nätet som har ökat kraftigt. Ingen exakt statistik finns men i Finland bekräftar både Cybersäkerhetscentret och Finlands näringsliv EK trenden.

- Det är ett växande fenomen också i Finland. Vi har lagt märke till att social engineering har haft en viktig roll i flera riktade it-angrepp på sistone, säger företagssäkerhetsexpert Mika Susi på Finlands näringsliv EK.

Mika Susi
Mika Susi Mika Susi mika susi

Till exempel den här månaden har ekonomiavdelningar vid flera finländska företag fått riktade e-postmeddelanden.

- I meddelandena ser det ut som om en hög chef vid företaget ber om en snabb utbetalning till ett visst bankkonto, berättar Aleksi Tarhonen som är informationssäkerhetsexpert vid Cybersäkerhetscentret.

Exempel på verkligt nätfiske (illustrationsbild).
Exempel på verkligt nätfiske (illustrationsbild). exempel

Men i själva verket är meddelandena en bluff.

- I de fall vi känner till var meddelandena skrivna på dålig finska, men ändå var det några som gick på det och betalade, tillägger Tarhonen.

Nätfiske
Nätfiske (illustrationsbild). Nätfiske Bild: Flickr/kleuske phishing

Jan Wennström som är informationssäkerhetschef på Åbo Akademi påpekar att en del av nätfisket är proffsigt gjort och riktat till specifika grupper och mottagare. Samtidigt menar han att en annan del av nätfisket är så dåligt att det verkar närmast oförståeligt att någon går på det.

- Om någon går på ett sämre utfört nätfiske är det sannolikt att skurkarna också i framtiden kan mjölka samma person på pengar, säger Wennström.

Det kan alltså vara en avvägd strategi av skurkarna att skicka kvalitetsmässigt dåliga nätfiskemeddelanden, just för att de som går på dem antagligen är enkla måltavlor att föra bluffen vidare med.

Interpol: Så här kan företag skydda sig mot social manipulation

- Utveckla ett system för att hantera känslig information inom företaget.
- Utbilda personalen att känna igen olika typer av social engineering och bedrägerier.
- Testa företagets beredskap genom att göra övningsangrepp. På det sättet kan du identifiera vilka svagheterna är och sedan åtgärda dem.
- Skapa kontakter till polisen och till andra relevanta myndigheter för att hålla dig uppdaterad med de senaste trenderna inom social engineering.
- Se till att det krävs mer än två personers godkännande för att företagets bank ska godkänna finansiella transaktioner.
- Ta regelbundet kontakt med en och samma person på banken. Den personen får då koll på vilka slags överföringar som är normala och kan därför snabbare lägga märke till suspekta uppdrag och avvikande aktivitet.

Källa: den internationella kriminalpolisorganisationen Interpol.

Stort behov av utbildning

Tarhonen på Cybersäkerhetscentret ser ett stort behov av att företagen utbildar sin personal att känna igen olika slag av social manipulation.

- Man kan sprida observationer om de här bluffarna inom företaget. Det är det enklaste sättet att öka medvetenheten, säger Tarhonen.

Ett annat alternativ är att beställa ett vänligt sinnat angrepp mot det egna företaget. Nixu är ett av flera it-företag som utför sådana.

- Vi har skickat ett e-postmeddelande åt användare i företaget och sett hur många som klickar på en länk som finns i meddelandet, hur många som installerar ett program som vi har bakom länken, hur många som ger sitt lösenord åt oss, berättar säkerhetskonsult Niki Klaus, och tillägger att det är förvånansvärt många som gör det.

Ett vanligt utfall var att ungefär varannan klickade på länken, och att en tredjedel installerade programmet. Vissa uppgav också sitt lösenord.

Nätfiske
Nätfiske Bild: EPA/Boris Reossler social ingenjörskonst

Den svaga länken

Också Chris Hadnagy, som driver företaget Social-Engineer, håller med om att det är viktigt att utbilda de anställda i hur man skyddar sig mot social ingenjörskonst.

- Man kan bara skydda sig om alla som jobbar för företaget är medvetna om riskerna. En enda oförsiktig arbetstagare kan vara allt som behövs för att ett angrepp ska lyckas, säger han.

Hadnagy säger att när man nätfiskar, alltså bluffar per e-post, spelar man på folks känslor.

- Om man går på den här formen av social manipulation innebär det inte att man är dum i huvudet. Det mesta handlar om att bluffmakaren har kommit med rätt lockbete vid rätt tidpunkt.

Experten lät sig luras

Hadnagy skickade i fjol ut 3,5 miljoner nätfiskemeddelanden till sitt företags kunder och har också skrivit en populär bok om nätfiske.

- Men i fjol klickade jag på en länk i ett nätfiskemeddelande. Jag blev alltså lurad själv, säger han.

Han hade nyss beställt något från nätbutiken Amazon, och litade därför på ett e-postmeddelande som verkade komma från Amazon. I meddelandet stod det att hans beställning hade blivit annullerad på grund av problem med kreditkortet.

- Så jag klickade på en länk utan att tänka på konsekvenserna. Vanligtvis gör jag aldrig det, men den här gången hade jag bråttom.

Att begränsa den information som finns allmänt tillgänglig om ett företag, till exempel på sociala medier och på företagets webbplats, kan också försvåra social manipulation. Men Chris Hadnagy anser att det inte är realistiskt.

- I praktiken är det svårt att få folk att bli försiktiga kring vad de offentliggör på nätet när internet har blivit en naturlig del av mångas vardag.

Sex knep att vara medveten om

Säkerhetsföretaget Intel Security varnar för sex social engineering-knep som angripare kan använda sig av:

1. När folk får någonting vill de ofta ge någonting tillbaka.
2. Man brukar gå med på saker och ting när man tror att det bara finns i ett begränsat antal eller när det är tidspress. Till exempel ett nätfiskemeddelande som sägs komma från en bank kan be mottagaren att göra som det står i meddelandet, annars ”spärras deras bankkonto om 24 timmar”.
3. När man har lovat att göra något så håller man oftast sitt ord, för folk vill inte verka opålitliga. Till exempel kan en hackare som utger sig för att vara en datastödperson be en anställd att följa alla säkerhetsdirektiv, och sedan be dem att utföra en suspekt åtgärd som sägs vara i linje med säkerhetsdirektiven.
4. Det är mer troligt att man låter sig övertygas om man kommunicerar med någon man gillar. En hackare kan försöka använda sin charm och till exempel smickra en anställd.
5. Folk brukar göra vad chefer och andra personer med makt säger. Exempel på det här är riktade attacker som till exempel verkar komma från företagets vd.
6. Om ett nätfiskemeddelande har skickats till flera anställda så kan en enskild mottagare lättare tro att meddelandet måste vara okej eftersom kollegerna också fick det.

Offline-metoder

En mer traditionell variant av social ingenjörskonst förekommer dessutom fortfarande.

Förövaren kan bryta sig in i ett företags lokaler för att stjäla saker, till exempel genom att utge sig för att vara en underleverantör såsom en elektriker eller en städare.

- Målet är då till exempel att stjäla datorer som innehåller viktiga affärshemligheter, kommenterar Mika Susi på Finlands näringsliv EK.

Privatpersoner utsätts också

De flesta allvarliga social engineering-fallen riktas alltså mot företag eftersom de oftast har hand om större summor pengar.

Men samtidigt utsätts också privatpersoner för social manipulation. Oftast per e-post eller telefon. De här bluffarna har varit av varierande kvalitet och därför också haft högst varierande framgång.

E-postmeddelande som skickats av bedragare
Flera social engineering-attacker mot privatpersoner sker i bankers namn. E-postmeddelande som skickats av bedragare Bild: Yle bedragre

De allra flesta har inte varit tillräckligt skräddarsydda till en specifik individ och därför inte fungerat så väl.

Ibland lyckas angreppen

Undantag finns också. Yle Nyheter berättade till exempel förra månaden om Anders som lurades att skicka 145 000 euro till konton i Kina. Han trodde att han hade hittat en utmärkt investering, men hela summan försvann och gick i praktiken inte att spåra.

Anders, som ville vara anonym och egentligen heter något annat, betonar att bluffmakarna verkligen var både övertygande och kunniga.

De hade svar på alla hans frågor och fick honom att tro mer på dem – främlingar han aldrig hade träffat – än på sina egna vänner.

Hur kan jag som individ skydda mig?

Se till att vara vaksam och ta dig tid att granska e-postmeddelanden du inte hade räknat med att få. Kolla noggrant avsändarens e-postadress och också vart eventuella länkar pekar.

Räkna också med att den offentliga informationen om dig, t.ex. på nätet, kan användas emot dig.

Om du får ett meddelande som du inte hade räknat (även om det verkar komma från någon du känner), eller om du får ett erbjudande som verkar vara för bra för att vara sant:

- Klicka inte på några länkar i meddelandet
- Svara inte på meddelandet
- Sänd inte några pengar
- Sänd inte id-dokument – inte ens kopior
- Ge inte ut detaljerade uppgifter om dina bankkonton eller betalkort
- Rapportera meddelandet som spam via din e-postleverantör och ta sedan bort meddelandet.

På motsvarande sätt om du får ett telefonsamtal du inte känner dig trygg med, ge inte ut någon information alls och avsluta samtalet.

Du kan också skydda din dator, din surfplatta och din mobil genom att ställa in spamfiltret så att det är extra restriktivt. Dessutom är det bra att hålla apparaterna uppdaterade, och att ha en brandmur och ett antivirusprogram i bruk.

Källor: den internationella kriminalpolisorganisationen Interpol och Chris Hadnagy, expert på social manipulation.

Läs också

Nyligen publicerat - Inrikes