Sosial manipulasjon og the Next Big Corporate Hack

14-05-2018

Har du holdt inngangsdøren åpen for noen som kom løpende eller låst opp for håndverkere på vei til øyensynlig viktige gjøremål? Da kan du ha vært offer for hacking ved sosial manipulasjon. Opplæring, øving og mottiltak kan forhindre dette. Det gjelder også etter the Next Big Corporate Hack.

Dobbelautentisering, ulikt brukernavn og passord for ulike tjenester, oppdatering/patching av datasystemer, brannmurer, kontroll på IoT-er og unnlate å åpne vedlegg eller klikke på lenker fra ukjente avsendere er metoder som virker godt mot hacking.

Alle disse metodene er IT-baserte og ganske vanlige. Analyser av reelle datainnbrudd viser at disse metodene fungerer preventivt i de aller fleste tilfeller.

Ta kontakt for mer informasjon om IT-sikkerhet

Sosial manipulasjon

Men, tilbake der vi startet. Har du sett håndverkere på vandring i korridorene uten å vite hvor de kom fra, hvor de skulle eller hva de skulle gjøre? Er det vanlig med nye mennesker hos dere som for eksempel innleide konsulenter, slik at du ikke stusser ved et nytt ansikt?

Eller har du kjørt inn i et lukket garasjeanlegg som mange bruker og bare nikket vennlig til den velkledde fotgjengeren som tok seg inn mens døren sto åpen? Eller stukket en ukjent USB-pinne inn i datamaskinen for å se hva som var på den?

Mange har gjort ting som dette. I informasjonssikkerhets-sammenheng kan det ha handlet om psykologisk manipulasjon som på fagspråket blir omtalt som social engineering – sosial maniuplasjon.

btn-top

Vær oppmerksom på disse teknikkene

Sosial manipulasjon handler om å skaffe seg informasjon ved sosiale ferdigheter. Wikipedia (eng) beskriver mange teknikker. Dette er de som du kanskje mest sannsynlig kan bli rammet av:

Pretexting - hackeren skaffer seg noen personlige data for å fremstå troverdig overfor offeret. Informasjonen blir brukt for å forøke sjansene for at offeret i neste omgang vil gi fra seg ytterligere informasjon eller iverksette handlinger som det ellers ikke ville ha gjort.

Baiting/agn – noe etterlater seg malware på en minnepinne med troverdig logo/etiketter. Offeret setter minnepinnen inn i USB-porten på PC-en sin og skaden skjer.

Tailgating – en angriper følger etter deg i inngangspartiet som du har åpnet med sikkerhetskort/kode. Du syns det er vanskelig å spørre en velkledd mann eller kvinne om å identifisere seg. Og, det er ikke din jobb heller, ikke sant?

Phishing - phisheren sender en email som fremstår som å være fra en velkjent virksomhet og dermed virker legitim i både innhold og utforming. I meldingen blir du bedt å om bekrefte informasjon via lenke til et falsk nettsted.

Spyd-phishing – mens phishing-angrep er emails til et stort antall mottakere, er spyd-phising et lavt antall emailer som er skreddersydd den enkelte mottaker. Dette krever naturligvis mye mer arbeid for hackeren, men til gjengjeld er treffraten sannsynligvis så mye som ti ganger høyere.

Tillits-vekkere - disse kan også bli sett på som sosiale hackere/manipulatorer. Gjennom manipulasjon vinner de noens tillit og utnytter denne til å skaffe seg tilgang til kontorlokaler eller fortrolig informasjon

Når vi leser om disse teknikkene, så tenker vi lett: Dette er sært. Dette er noe som skjer uhyre sjeldent. Det er lite sannsynlig at noe slikt vil ramme oss.

Men, er det egentlig så usannsynlig? Ettersom vi anser det for usannsynlig, er faren stor for at noen kan prøve seg med suksess.

Derfor er det verdt å studere følgende mottiltak:

  • Inkludere sosial manipulasjon i virksomhetens informasjonsikkerhetsrutiner.
  • Gi regelmessig opplæring og legge til rette for selvstudier. En måte er å lage e-læringsprogrammer som inkluderer prøver/eksamener (tips: bruk verktøy for spørreundersøkelser) som medarbeidere må bestå.
  • Øvelser. De fleste av oss syns det er vanskelig å stoppe noen og spørre hvorfor de er der de er. Øvelse gjør mester. Er det noe som fungerer godt og som organisasjoner like fullt dropper av en eller annen merkelig grunn, så er det preventive øvelser på krisesituasjoner.
btn-top

Beskytt og forebygg mot hacking og sosial manipulasjon

Mange er interessert i data som gjør deg og arbeidsgiveren din sårbare, inkludert kredittkortinformasjon. Mens vi kan beskytte oss selv, kan vi vanskelig beskytte oss mot angrep som det velkjente innbruddet hos Yahoo som berørte en halv milliard brukere.

Forfatteren av dette blogginnlegget har vært involvert i ikke mindre enn fire slike angrep inkludert hos Adobe i oktober 2013, Disqus i oktober 2013, Dropbox i midten av 2012 og LinkedIn i mai 2016, hvor 164 millioner email-adresser og passord ble blottlagt for hackere.

Hvordan kan jeg vite det? Vel, du kan sjekke status for deg selv gjennom tjenesten Have I Been Pwned som drives av sikkerhetsanalytikeren Troy Hunt.

Når disse store selsapene blir hacket, kan du bli det også. Det er meget sannsynlig at nye angrep vil skje. Er du ivrig bruker av nettjenester og sosiale medier vil risikoen øke for at du blir rammet.

Så, hvordan skal du forholde deg til dette? Enten du blir rammet gjennom phising, spyd-phising eller indirekte gjennom Big Corporate Hacks, så bør du aldri gjenbruke passord. Skaff deg i stedet en passord-tjeneste som lar deg etablere unike brukernavn og passord for hver tjeneste du bruker.

Slike «password managers» kan gjøre dette for deg og du identifiserer seg for passord-tjenesten ved ett eneste passord. Et slikt hovedpassord kan for eksempel være en lang setning som «jeg liker tog vil du fly med meg til Canada til neste år» (med eller uten mellomrom). En slik setning er både lettere å huske og vanskeligere å knekke enn kryptiske passord som u(!3%N,#. Enkelte passord-tjenester kan også automatisk logge deg på nettsteder som du har registrert deg på, noe som sparer deg for tid.

En siste ting. Dersom kredittkortet ditt har vært involvert i et eller annet angrep, bør du sørge for å blokkere det via utstederens blokkeringstjeneste. De sender deg mer enn gjerne nytt.

btn-top

Ønsker du mer informasjon om IT-sikkerhet?

btn-top