Vad är social manipulering?
Ordet cybersäkerhet får de flesta av oss att tänka på att försvara sig mot hackare som utnyttjar tekniska svagheter för att attackera datornätverk. Men det finns ett annat sätt att ta sig in i organisationer och nätverk, och det är att utnyttja mänskliga svagheter. Detta kallas social manipulering, som handlar om att lura någon att avslöja information eller möjliggöra intrång i datornätverk.
In inkräktare kan till exempel låtsas vara IT-personal på helpdesk och be användare lämna ut information som användarnamn och lösenord. Och det är förvånande hur många som inte tvekar ett ögonblick att lämna ut den informationen, speciellt om det verkar som om den som ber om den är en legitim representant.
Enkelt uttryckt är social manipulering att lura enskilda att ge tillträde eller avslöja information eller data.
alt="hur social manipulering fungerar"
Olika typer av social manipulering
Det finns olika typer av social manipulering. Så det är viktigt att både förstå definitionen av social manipulering och hur den fungerar. När man väl förstått den allmänna metoden är det mycket lättare att upptäcka social manipulering.
Agn
Att agna handlar om att skapa en fälla, till exempel ett USB-minne med skadlig kod. Någon som är nyfiken på vad som finns på USB-minnet sätter i det i sitt USB-uttag, så att datorn blir virusangripen. Det finns faktiskt ett USB-minne som kan förstöra datorer genom att ladda upp sig med ström från USB-uttaget och sedan släppa ifrån sig all energi på en gång – och förstöra den enhet där den satts in. (USB-minnet kostar runt 500 kronor).
Förevändning
Den här attacken använder en förevändning för att få uppmärksamhet och lura offret att lämna ifrån sig information. En undersökning på Internet kan börja med att se helt oskyldig ut, men fortsätter med att be om uppgifter till bankkonton. Någon kan dyka upp med ett anteckningsblock och påstå att de gör en granskning av interna system, men kanske inte är den de utger sig för att vara: de kan vara ute efter att stjäla värdefull information från dig.
Nätfiske
Vid nätfiske används ett mejl eller SMS som utger sig för att vara från en betrodd avsändare som ber om information. En välkänd typ är ett mejl som påstår sig vara från en bank som vill att kunderna ska 'bekräfta' sin säkerhetsinformation och skickar dem till en falsk webbplats som registrerar deras inloggningsinformation. 'Harpunfiske' riktar in sig på en enskild person på ett företag, och innebär att man skickar ett mejl som till synes kommer från någon högre chef på företaget som ber om konfidentiell information.
Telefonfiske och SMS-fiske
Dessa typer av social manipulering är varianter på nätfiske – telefonfiske eller 'vishing' betyder att man helt enkelt ringer upp och frågar efter data. Brottslingen kan utge sig för att vara en kollega, till exempel någon från IT-avdelningen som ber om inloggningsinformation. SMS-fiske eller 'smishing' använder istället SMS på samma sätt.
Ge och ta
Det sägs att "ett fritt utbyte är inget rån", men i det är fallet är det faktiskt det. Många fall av social manipulering får offren att tro att de får något i utbyte för de data eller den tillgång de lämnar ifrån sig. ’Skrämselprogram’ fungerar på det sättet, och kan lova datoranvändare en uppdatering för att hantera ett akut säkerhetsproblem, när det i själva verket är skrämselprogrammet som är säkerhetshotet.
Kontaktskräppost och mejlhackning
Den här typen av attack handlar om att hacka sig in i en persons mejlkonto eller konton på sociala medier för att komma åt kontaktlistan. Kontakterna kan få meddelanden om att personen har rånats och blivit av med alla sina kreditkort, och bli ombedda att telegrafera pengar till ett konto. Det kan också hända att 'kompisen' skickar ett meddelande med en 'video som du måste se', men länken går till skadlig kod eller en trojan som registrerar tangenttryckningar.
Odling eller jakt
Man ska också vara medveten om att vissa former av social manipulering är betydligt mer sofistikerad. De flesta av de enkla angreppssätt vi avhandlat här är en typ av 'jakt'. Man tar sig in, tar informationen och ger sig av.
Men vid vissa typer av social manipulering skapar man en relation till offret, för att få ut mer information under en längre tidsperiod. Detta kallas ’odling’ och är mer riskfyllt för angriparen: de löper större risk att avslöjas. Men om infiltrationen lyckas kan de komma över betydligt mer information.
Hur du undviker social manipulering
Social manipulering är speciellt svår att värja sig mot, eftersom de är specifikt utformade för att spela på männi8skans natur: nyfikenhet, respekt för auktoriteter och vilja att hjälpa sina vänner. Men det finns olika sätt att upptäcka social manipulering.
Kontrollera källan
Stanna upp ett ögonblick och kontrollera vem som kommunicerar med dig. Lita inte blint på meddelandet. Ett USB-minne ligger plötsligt på ditt skrivbord utan att du vet vad det är? Ett telefonsamtal som en blixt från klar himmel som berättar att du ärvt 5 miljoner? Ett mejl från din VD som ber om en massa information om enskilda anställda? Allt detta låter misstänkt och ska behandlas som suspekt.
Det är inte svårt att kontrollera källan. Med ett mejl kan du till exempel kontrollera mejlhuvudet och jämföra det med äkta mejl från samma avsändare. Se efter vart länkarna går – det är lätt att genomskåda förfalskade hyperlänkar genom att hålla muspekaren över dem (men se till att inte klicka på länken). Kontrollera stavningen. Banker har hela team med specialister på att skriva sin kundkommunikation, så ett mejl med stora misstag är förmodligen falskt.
Om du är tveksam går du till den officiella webbsidan och kontaktar en representant. De kommer att kunna bekräfta om mejlet eller meddelandet är äkta eller förfalskat.
Vad vet de?
Saknar källan information som du skulle förvänta dig att de kände till, exempelvis ditt fullständiga namn? Kom ihåg att om en bank ringer till dig så ska de ha all sådan information framför sig, och de kommer aldrig att be dig att lämna ut koder eller svar på dina säkerhetsfrågor. Om de inte känner till grundläggande saker om dig, eller om de ber om till exempel den svarskod du får från din bankdosa, är det osannolikt att de är den de utger sig för att vara.
Bryt tempot
Social manipulering kräver ofta att situationen upplevs som brådskande. Angriparna hoppas att offren inte ska tänka för mycket på vad som pågår. Så de kan bli avskräckta, eller avslöja sig som bluffar, bara av att du stannar till ett ögonblick för att tänka efter.
Ring det officiella telefonnumret eller gå till den officiella webbsidan. Lämna inte ut uppgifter på telefon och klicka inte på länkar. Använd ett annat sätt att kommunicera för att kontrollera om källan är pålitlig. Om du till exempel får ett mejl från en vän som ber dig att överföra pengar ska du skicka dem ett SMS eller ringa dem för att verifiera att det verkligen är rätt person.
Be om ID
Ett av de lättaste sätten att genomföra social manipulering är att ta sig förbi säkerheten och ta sig in i en byggnad genom att bära på en stor kartong eller några pärmar. Någon hjälpsam person håller antagligen upp dörren åt dig. Gå inte på det. Be alltid om ID.
Samma gäller för andra angreppssätt. Det första svaret på en fråga om information ska vara att kontrollera namn och telefonnummer på den som ringer, eller att bara fråga "vilken avdelning jobbar du på". Kolla sedan upp att personen finns och att namnet på avdelningen är korrekt innan du lämnar ut personlig information eller personuppgifter. Om du inte känner den person som ber om informationen och inte känner dig trygg med att lämna ut informationen ska du säga att du ska dubbelkolla med någon annan och att du ringer upp.
Använd ett bra skräppostfilter
Om ditt mejlprogram inte filtrerar bort tillräckligt med skräppost och inte markerar mejl som suspekta bör du kanske ändra inställningarna. Bra skräppostfilter använder olika former av information för att avgöra vilka mejl som antagligen är skräppost. De kan upptäcka misstänkta filer eller länkar, de kan ha en svart lista med suspekta IP-adresser eller avsändar-ID eller analysera meddelandeinnehållet för att avgöra om de verkar vara falska.
Är det här realistiskt?
En del social manipulering fungerar genom att de lurar dig att inte vara analytisk, och om du tar dig tid för att utvärdera om situation är realistisk kan du avslöja många attacker. Exempel:
- Om din kompis verkligen satt fast i Kina utan möjlighet att ta sig hem, skulle de mejla dig eller skulle de också ringa eller skicka SMS?
- Är det egentligen särskilt troligt att en nigeriansk prins har testamenterat flera miljoner till dig?
- Skulle banken ringa upp dig och fråga efter ditt kontonummer? Banker loggar när de skickar mejl till kunder eller ringer till dem. Så dubbelkolla om du inte är säker.
Ha inte för bråttom
Var speciellt försiktig om du känner att det smyger sig in brådska i ett samtal. Det är ett standardsätt för bedragare att hindra sina offer från att tänka igenom situationen. Om du känner dig utsatt för press ska du se till att sakta farten. Säg att du behöver tid för att få fram informationen, du måste fråga din chef, du har inte rätt papper på dig just nu – vad som helst som vinner tid så att du kan tänka efter.
Oftast kommer den som försöker manipulera dig inte att insistera om de märker att de förlorat överraskningsmomentet.
Säkra upp dina enheter
Det är också viktigt att se till att alla enheter är säkra, så att även en social manipulering som lyckas får begränsade skadeverkningar. Grunderna är desamma oavsett om det är en smartphone, ett enkelt hemmanätverk eller ett företagssystem.
- Håll ditt antivirusprogram och ditt skydd mot skadlig kod uppdaterade. Detta kan hjälpa till att skydda dig så att skadlig kod som kommer via nätfiskemejl inte kan installeras. Använd ett paket som Kasperskys Antivirus för att hålla ditt nätverk och dina data säkra.
- Uppdatera programvara och mikrokod regelbundet, speciellt säkerhetsuppdateringar.
- Använd inte din telefon i rotläge, och använd inte ditt nätverk eller din dator i administratörsläge. Även om social manipulering lyckas stjäla lösenordet till ditt användarkonto, går det i så fall inte att konfigurera om systemet eller installera program på det.
- Använd inte samma lösenord för olika konton. Om social manipulering lyckas komma över lösenordet till ett konto på sociala medier, vill du inte att det också ska gå att låsa upp alla andra konton du har.
- För kritiska konton ska du använda tvåfaktorsautentisering så att det inte räcker med att bara ha ditt lösenord för att komma åt kontot. Det kan handla om röstigenkänning, användning av en säkerhetsanordning, fingeravtryck eller koder som skickas med SMS.
- Om du har lämnat ut lösenordet till ett konto och tror att du har blivit manipulerad, ska du byta lösenordet omedelbart.
- Håll dig informerad om nya cybersäkerhetsrisker genom att regelbundet läsa vårt Resurscenter. Då får du veta allt om nya angreppsmetoder när de uppkommer, så att det blir betydligt mindre troligt att du blir ett offer.
Tänk på ditt digitala fotspår
Du kan också vilja tänka över ditt digitala fotspår. Om du delar för mycket personlig information online, till exempel på sociala medier, kan detta vara till hjälp för angripare. Många konton har till exempel 'namnet på ditt första husdjur' som möjlig säkerhetsfråga. Har du lagt upp husdjurets namn på Facebook? I så fall kan du vara sårbar! Dessutom kommer en del social manipulering att försöka verka trovärdig genom att nämna händelser som du nyligen delat på sociala medier.
Vi rekommenderar att du ställer in dina sociala medier på 'bara vänner' och att du är försiktig med vad du delar. Du behöver inte vara paranoid, bara försiktig.
Tänk på andra delar av ditt liv som du visar upp online. Om du till exempel har ett CV online bör du utelämna din adress, ditt telefonnummer och ditt födelsedatum – allt detta är användbar information för någon som planerar social manipulering. En del social manipulering går inte i närkontakt med offret, medan andra är noggrant förberedda. Du ska brottslingarna så lite information att jobba med som möjligt.
Social manipulering är farlig därför att den tar vardagliga situationer och kapar dem i illvilliga syften. Men om du är medveten om hur de fungerar och vidtar grundläggande försiktighetsåtgärder är det mycket mindre risk att du blir utsatt.
Relaterade länkar
Social manipulering – definition