Social Engineering

Social engineering er kunsten at manipulere mennesker til at udføre handlinger eller afsløre fortrolige oplysninger. I modsætning til tekniske angreb udnytter social engineering menneskelig psykologi, tillid og sociale normer.

Teknikker

Pretexting involverer at opdigte et scenarie for at opnå offerets tillid. Angriberen kan udgive sig for at være IT-support, en leverandør eller en kollega og bede om adgangskoder eller systemadgang.

Baiting lokker ofre med noget attraktivt, f.eks. en USB-nøgle "glemt" på en parkeringsplads eller et gratis download, der i virkeligheden indeholder malware.

Tailgating (eller piggybacking) er fysisk social engineering, hvor angriberen følger en autoriseret person ind i et sikret område uden selv at have adgang.

Quid pro quo tilbyder en tjeneste i bytte for information. En angriber kan f.eks. ringe og tilbyde IT-hjælp, men bede om loginoplysninger som en del af "fejlfindingen".

Psykologiske principper

Social engineering udnytter grundlæggende psykologiske principper:

• Autoritet: Vi adlyder personer i magtpositioner
• Hastværk: Tidspres reducerer kritisk tænkning
• Social proof: Vi gør som andre gør
• Reciprocitet: Vi føler os forpligtet til at gengælde tjenester
• Sympati: Vi hjælper folk, vi kan lide

Social engineering i Danmark

Danske virksomheder er særligt sårbare over for CEO-fraud (direktørsvindel), hvor angribere udgiver sig for at være en leder og beordrer overførsler. Dansk Erhverv og politiet har gentagne gange advaret mod denne type angreb.

Forsvar

Det vigtigste forsvar mod social engineering er awareness-træning, der giver medarbejdere evnen til at genkende manipulationsteknikker. Derudover bør organisationer implementere verifikationsprocedurer for følsomme handlinger, principle of least privilege og en kultur hvor det er acceptabelt at stille spørgsmål og verificere anmodninger.