Sosial manipulasjon er en angrepsteknikk som tar utgangspunkt i å utnytte menneskers troverdighet, mangel på bevissthet og naturlige tendens til å stole på andre. Målsetningen er å innhente sensitiv informasjon fra virksomheter eller enkeltindivider.
Virksomheter kan investere i flere forskjellige hjelpemidler for å beskytte seg mot cyberkriminalitet, men den svakeste delen av et IT-system er vanligvis mennesket. Eksperter innenfor sosial manipulasjon er dyktige psykologer, de er i stand til å manipulere sine ofre og gjør dette ved bruk av intelligente argumenter og formuleringer. Det er derfor viktig å være bevisst på truslene, deres betydning og verdien av egne data.
Det finnes mange teknikker innen sosial manipulering. Vi fremhever noen av dem her:
1. Phishing
Målet er å få mottakeren av e-posten til å tro at innholdet er noe de trenger eller venter på. E-posten kan derfor inneholde farlige lenker eller vedlegg med antivirusprogramvare. Andre metoder kan være «spear phishing» eller «whailing». Tenk før du klikker!
2. Påskudd
Denne teknikken bruker et påskudd – en falsk begrunnelse for en spesifikk handling – for å oppnå tillit og bedra offeret. Angriperen kan for eksempel påstå å jobbe med IT-support og be om offerets passord for å utføre vedlikehold. Det er derfor viktig at godt forankrede prosesser, retningslinjer samt identifikasjon- og autentiseringstrening er på plass i virksomheten for å unngå slike angrep.
3. Agn
Målsetningen med denne teknikken er å lokke offeret (agnet) til å utføre en spesifikk oppgave. Eksempelvis kan angriperne friste offeret til å gi tilgang til et system eller en annen bærbar enhet ved å bruke en USB-enhet som er infisert ondsinnet programvare. For å unngå denne type angrep er det viktig med gode retningslinjer som for eksempel tydeliggjør at uautorisert program- og maskinvare skal blokkeres. Et annet viktig tiltak kan være bevisstgjøringsaktiviteter som minner ansatte på at de aldri skal stole på ukjente kilder.
4. Quid pro Quo
«Dette for det» på latin, involverer en forespørsel om informasjon i bytte mot kompensasjon. Et eksempel på dette kan være svindlere ringer tilfeldige telefonnumre, og hevder å være fra IT-support. Ofrene som faller for denne teknikken vil oppleve at angriperen tilbyr «hjelp», og gir dem derfor tilgang til deres datamaskin så angriperen kan installere ondsinnet programvare.
5. Skuldersurfing
Denne metoden innebærer å stjele data (passord eller koder) ved å «se over skulderen» når offeret bruker bærbar PC eller en annen enhet (smarttelefon, iPad eller minibank). Å skape bevissthet rundt denne trusselen er særlig viktig for selskaper med ansatte som jobber på eksterne lokasjoner, der de kan bruke bærbare enheter på offentlige steder.
6. Tailgating
Denne metoden innebærer fysisk tilgang til beskyttede områder, som for eksempel hovedkvarteret til en virksomhet. Angriperen kan utgi seg for å være en samarbeidspartner og deretter prøve å overbevise offeret til å slippe vedkommende inn på et avgrenset område. Dette kan for eksempel være et data-senter hvor offerets RFID-pass er nødvendig for å få tilgang. Adgang til avgrensete områder bør kontrolleres av tydelige retningslinjer og bruk av adgangskontrollteknologier. Jo mer sensitive områdene er for virksomheten er, desto strengere bør kontrollene være.
For å hindre å bli offer for sosial manipulasjon, er det flere viktige grep du bør gjennomføre:
Trening av ansatte i sosial manipulasjon
Testing av ansattes bevissthet
Styrk flerfaktor-autentisering
Trening av ansatte i sosial manipulasjon
Et av de viktigste aspektene ved forebygging av sosial manipulasjon er risiko-bevissthet. Det kan derfor være viktig å arrangere kurs og andre bevisstgjørende aktiviteter for ansatte som formidler viktigheten av å beskytte virksomhetens data.
Testing av ansattes bevissthet
Å sette ansatte i simulerte angrepssituasjoner kan gi verdifull læring. Låser de datamaskinene når de forlater pulten sin? Er viktige dokumenter lagret på skrivebordet? Skrives viktig informasjon som passord ned på Post-it-lapper? Hva vil de gjøre hvis et ukjent nummer ringer og utgir seg for å tilby tjenester som selskapet leter etter? Ved å ta stilling til slike spørsmål, vil virksomheter kunne sikre at ansatte vet hva som er akseptabelt- og ikke akseptabelt å gjøre. Gjennomfør derfor øvelser med ledelsesteamet og nøkkelansatte regelmessig, hvor sårbarheter og tiltak kan testes i praksis.
Styrk flerfaktor-autentisering
Et sterkt passord vil ikke alltid være tilstrekkelig, og særlig ikke for viktige data. I tillegg til passord, kan flerfaktor-autentisering inkludere ekstra kontroller som fingeravtrykk-skanning, autentiserings-token eller SMS-koder.
Per nå er den beste forsvarsmetoden mot sosial manipulasjon opplæring av ansatte, i kombinasjon med teknologiske løsninger som bedre kan oppdage og respondere på angrep. Ved å ta slike grunnleggende forhåndsregler, vil sannsynligheten være mindre for at virksomheten din blir offer for sosial manipulasjon.
Les mer om hvordan du kan forhindre phishing, smishing og vishing angrep her.