Mens mange bekymrer sig om virus, malware og hackere, glemmer man ofte, at den største sårbarhed ligger i os selv: mennesker.

Social engineering er baseret på psykologisk manipulation for at narre dig til at afsløre fortrolige oplysninger eller foretage handlinger, der kompromitterer din virksomheds sikkerhed.

Hvad er social engineering, og hvordan genkender man det?

Social engineering er ikke nyt, men det har udviklet sig med teknologien.

Forestil dig en hacker, som ikke behøver at bryde koder eller hacke sig ind i systemer. I stedet manipulerer han eller hun en virksomheds medarbejdere for at få adgang til følsomme oplysninger.

Denne tilgang udnytter tillid, nysgerrighed eller endda frygt.

Du kan genkende et social engineering-forsøg, når nogen beder dig om følsomme oplysninger eller opfordrer dig til at klikke på et mistænkeligt link under falske forudsætninger.

Phishing-mails, fupopkald og opslag på sociale medier er almindelige metoder.

For at beskytte dig selv og din virksomhed er det vigtigt altid at være på vagt, altid kontrollere anmodninger om oplysninger og aldrig dele følsomme data uden at være helt sikker på, at den, der anmoder om dem, er ægte.

Tilfælde af sårbarheder i virksomheder

1. Phishing rettet mod medarbejdere: En stor virksomhed blev angrebet, da en hacker sendte en e-mail til flere medarbejdere, hvor han udgav sig for at være it-direktør. E-mailen bad medarbejderne om at ændre deres adgangskoder på et falsk websted, som gav hackeren adgang til virksomhedens konti.

2. Phishing-angrebI en anden virksomhed udgav en hacker sig for at være en fast leverandør til virksomheden og bad om at få ændret bankkontoen til betalinger. Virksomheden overførte en stor sum penge til hackerens konto, før den opdagede svindlen.

3. Social engineering gennem sociale netværk: En medarbejder delte detaljer om sit arbejde og de systemer, han brugte, på de sociale medier. En hacker brugte disse oplysninger til at narre virksomhedens tekniske supportafdeling og få adgang til medarbejderens konti.

Succeshistorier om virksomheder, der har forhindret social engineering-angreb

1. Phishing-forsøg stoppet af medarbejdernes opmærksomhed

Hvad hackerne prøvede: En gruppe cyberkriminelle forsøgte at angribe en finansiel virksomhed ved at sende phishing-mails til flere medarbejdere. E-mailene så ud til at komme fra virksomhedens økonomidirektør og bad medarbejderne om at indtaste deres legitimationsoplysninger på et websted, der efterlignede virksomhedens login-side. Målet var at få adgang til medarbejdernes konti og kompromittere interne systemer.

Hvordan de undgik det: Takket være et løbende træningsprogram i cybersikkerhed genkendte en af medarbejderne e-mailen som mistænkelig. I stedet for at klikke på linket informerede han virksomhedens sikkerhedsteam. Dette team var i stand til at analysere e-mailen og bekræfte, at der var tale om et phishing-forsøg. Derefter advarede de hele organisationen og styrkede sikkerhedsforanstaltningerne, hvilket forhindrede angrebet i at lykkes.

2. Forhindring af efterligning ved streng verifikation

Hvad hackerne prøvede: I et andet tilfælde udgav en hacker sig for at være fast leverandør til en produktionsvirksomhed og sendte en e-mail til kreditorafdelingen med anmodning om en ændring af den bankkonto, hvor betalingerne blev foretaget. Hackerens plan var at omdirigere en stor sum penge til en konto, som de selv kontrollerede.

Hvordan de undgik det: Virksomhedens politik krævede, at enhver anmodning om ændring af betalingsoplysninger skulle verificeres ved et direkte telefonopkald til leverandøren. I forsøget på at verificere anmodningen kontaktede kreditorafdelingen den faktiske leverandør, som nægtede at have anmodet om ændringen. Det fik alarmklokkerne til at ringe, og forsøget på at udgive sig for at være en anden blev afværget, før der blev overført penge.

3. Social engineering via sociale medier forstyrret af proaktiv overvågning

Hvad hackerne prøvede: I et infiltrationsforsøg identificerede hackere en medarbejder i en teknologivirksomhed via hans sociale netværk. Derefter brugte de de oplysninger, som medarbejderen havde lagt ud, til at oprette en falsk profil og udgive sig for at være ham. Planen var at kontakte virksomhedens tekniske support og anmode om en nulstilling af adgangskoden med henvisning til adgangsproblemer.

Hvordan de undgik det: Virksomheden havde et proaktivt overvågningssystem for sociale medier, der var designet til at opdage potentielle sikkerhedsrisici i forbindelse med social engineering. Da sikkerhedsteamet opdagede oprettelsen af den falske profil, tog de straks affære for at beskytte medarbejdernes konti og underrettede den tekniske support om forsøget på svindel. Resultatet var, at hackeren ikke fik adgang til nogen konti, og at virksomhedens sikkerhed forblev intakt.

Disse sager viser, hvordan forberedelse, træning og klare politikker kan gøre en forskel i forhold til at forhindre et vellykket social engineering-angreb. Nøglen er at forblive årvågen og altid have en robust sikkerhedsprotokol på plads.

Sammenfatning

Social engineering er en kompleks udfordring, fordi den ikke er afhængig af teknologi, men af menneskelig manipulation. Virksomheder skal uddanne deres medarbejdere til at genkende tegnene på et potentielt angreb og etablere klare procedurer for håndtering af anmodninger om oplysninger. En kombination af bevidsthed, uddannelse og sikkerhedsprotokoller kan være nøglen til at beskytte sig mod disse trusler.