Mens mange bekymrer seg for virus, skadelig programvare og hackere, glemmer man ofte at den største sårbarheten ligger hos oss selv: hos oss mennesker.

Sosial manipulering er basert på psykologisk manipulasjon for å lure deg til å avsløre konfidensiell informasjon eller utføre handlinger som setter bedriftens sikkerhet i fare.

Hva er sosial manipulering, og hvordan gjenkjenner man det?

Sosial manipulering er ikke noe nytt, men det har utviklet seg i takt med teknologien.

Tenk deg en hacker som ikke trenger å knekke koder eller hacke seg inn i systemer. I stedet manipulerer han eller hun en bedrifts ansatte for å få tilgang til sensitiv informasjon.

Denne tilnærmingen utnytter tillit, nysgjerrighet eller til og med frykt.

Du kan gjenkjenne et forsøk på sosial manipulering når noen ber deg om sensitiv informasjon eller inviterer deg til å klikke på en mistenkelig lenke under falske påskudd.

Phishing-e-post, svindeloppringninger og innlegg i sosiale medier er vanlige metoder.

For å beskytte deg selv og bedriften din er det viktig å alltid være årvåken, alltid verifisere forespørsler om informasjon og aldri dele sensitive data uten å være helt sikker på at den som ber om dem, er autentisk.

Tilfeller av sårbarheter i selskaper

1. Phishing rettet mot ansatte: Et stort selskap ble angrepet da en hacker sendte en e-post til flere ansatte og utga seg for å være IT-direktøren. I e-posten ble de ansatte bedt om å endre passordene sine på et falskt nettsted, noe som ga hackeren tilgang til selskapets kontoer.

2. Phishing-angrepI et annet selskap utga en hacker seg for å være en fast leverandør til selskapet og ba om å få endret bankkonto for betalinger. Selskapet overførte en stor sum penger til hackerens konto før de oppdaget svindelen.

3. Sosial manipulering gjennom sosiale nettverk: En ansatt delte detaljer om arbeidet sitt og systemene han brukte på sosiale medier. En hacker brukte denne informasjonen til å lure selskapets tekniske supportavdeling og få tilgang til den ansattes kontoer.

Suksesshistorier om bedrifter som har forhindret sosial manipulering

1. Phishing-forsøk stoppet av bevisstgjøring av ansatte

Hva hackerne prøvde: En gruppe nettkriminelle forsøkte å angripe et finansselskap ved å sende phishing-e-poster til flere ansatte. E-postene så ut til å komme fra selskapets finansdirektør og ba de ansatte om å oppgi legitimasjon på et nettsted som etterlignet selskapets påloggingsside. Målet var å få tilgang til de ansattes kontoer og kompromittere interne systemer.

Hvordan de unngikk det: Takket være et pågående opplæringsprogram i cybersikkerhet gjenkjente en av de ansatte e-posten som mistenkelig. I stedet for å klikke på lenken, informerte han selskapets sikkerhetsteam. Dette teamet analyserte e-posten og bekreftet at det dreide seg om et phishing-forsøk. Deretter varslet de hele organisasjonen og styrket sikkerhetstiltakene, slik at angrepet ikke lyktes.

2. Forebygging av usynliggjøring ved hjelp av streng verifisering

Hva hackerne prøvde: I et annet tilfelle utga en hacker seg for å være en vanlig leverandør til en produksjonsbedrift og sendte en e-post til leverandørreskontroavdelingen med forespørsel om å endre bankkontoen der betalingene ble utført. Hackerens plan var å omdirigere et stort pengebeløp til en konto som de selv kontrollerte.

Hvordan de unngikk det: Selskapets retningslinjer krevde at alle forespørsler om endring av betalingsinformasjon skulle verifiseres ved en direkte telefonsamtale med leverandøren. Da de forsøkte å verifisere forespørselen, kontaktet kreditoravdelingen den faktiske leverandøren, som nektet for å ha bedt om endringen. Dette fikk alarmklokkene til å ringe, og etterligningsforsøket ble avverget før noen penger ble overført.

3. Sosial manipulering gjennom sosiale nettverk forstyrres av proaktiv overvåking

Hva hackerne prøvde: I et infiltrasjonsforsøk identifiserte hackere en ansatt i et teknologiselskap gjennom hans sosiale nettverk. Deretter brukte de informasjonen som den ansatte hadde lagt ut, til å opprette en falsk profil og utgi seg for å være ham. Planen var å kontakte selskapets tekniske support og be om tilbakestilling av passordet, og hevdet at det var problemer med tilgangen.

Hvordan de unngikk det: Selskapet hadde et proaktivt overvåkingssystem for sosiale medier som var utviklet for å oppdage potensielle sikkerhetsrisikoer knyttet til sosial manipulering. Da sikkerhetsteamet oppdaget at den falske profilen ble opprettet, iverksatte de umiddelbare tiltak for å beskytte de ansattes kontoer og varslet teknisk support om forsøket på svindel. Resultatet var at hackeren ikke fikk tilgang til noen kontoer, og selskapets sikkerhet forble intakt.

Disse tilfellene viser hvordan forberedelser, opplæring og tydelige retningslinjer kan utgjøre hele forskjellen når det gjelder å forhindre et vellykket sosial manipuleringsangrep. Nøkkelen er å være årvåken og alltid ha en robust sikkerhetsprotokoll på plass.

Sammendrag

Sosial manipulering er en kompleks utfordring fordi den ikke baserer seg på teknologi, men på menneskelig manipulasjon. Bedrifter må lære opp sine ansatte til å gjenkjenne tegnene på et potensielt angrep og etablere klare prosedyrer for håndtering av forespørsler om informasjon. En kombinasjon av bevisstgjøring, opplæring og sikkerhetsprotokoller kan være nøkkelen til å beskytte seg mot disse truslene.