12 forskellige typer social engineering-angreb

Hvad er social engineering egentlig? Og hvad dækker begrebet over? Det korte af det lange er, at social engineering er online angreb mod personer, hvor der spilles på tillid, stress og grådighed for at sløre offerets dømmekraft i situationen.

Læs videre i artiklen og få indsigt i de mest almindelige typer social engineering-angreb, og hvordan du beskytter dig imod dem.

Fænomenet phishing går ind under betegnelsen social engineering. Der er her tale om et angreb, hvor den pågældende hacker benytter e-mails til at snyde sig igennem til offerets personlige oplysninger eller bankinformation. Disse phishing-mails er falske mails, der er giver sig ud for at være afsendt fra en officiel instans som eksempelvis din bank eller skattevæsenet.

De kan også maskere sig som mails fra PostNord, et fragtselskab eller en streamingtjeneste, hvor der anmodes om, at du skal klikke på et link i mailen for at udfylde en påkrævet formular eller lignende. I dette link eller i denne fil kan der så gemme sig diverse ondsindede malware-filer eller virus, der inficerer din enhed, så snart du har trykket på linket eller filen.

Phishing kan antage forskellige former og benytte sig af forskellige metoder. De mest normale er dog:

• Et forfalsket afsender-navn: Udadtil vil navnet på e-mailafsenderen forekomme at være fra en officiel myndighed eller virksomhed. Men når man klikker på selve e-mailnavnet og afslører den egentlige domæneadresse nedenunder, vil der dukke et helt andet navn op.
• Indlejrede links: Du kan også modtage en mail fra en forfalsket udgave af en officiel hjemmeside eller myndighed, du kender. Her opfordres du eksempelvis til at trykke på det vedsendte link for at udbedre en fejl eller lignende på det pågældende websted. Men i stedet føres du til en inficeret hjemmeside.
• Mail-vedhæftninger: Her kan der være tale om falske fakturaer, ordrebekræftelser, invitationer til begivenheder og lignende, som indeholder malware eller virusser, der kan inficere din enhed. Åbn aldrig disse vedhæftninger og download aldrig noget fra sådanne mails.

Angler phishing-angreb finder oftest sted på sociale medier. Her består bedraget i, at hackeren har lavet en falsk kundesupport-konto. Hackeren bruger denne til at franarre brugeren fortrolige oplysninger, eftersom brugeren netop tror, at han eller hun er i dialog med det pågældende firmas rigtige support.

Her er et eksempel på et angler phishing-angreb:

1. Hackeren lurer på nettet for at se, når en bruger tagger et bestemt firma for at klage over en specifik ting med deres konto.
2. Før firmaets rigtige support når at svare, har hackeren sendt en mail, der efterligner det pågældende firmas support og foregiver nu at være den ægte support-service.
3. Efter en kort mail-udveksling er tilliden etableret, og folk vil derfor uden større tøven oplyse både adgangskoder og andre personlige oplysninger i troen på, at deres problem kan blive løst.

Lad ikke svindlerne vinde. Beskyt dig med en enestående VPN.

Spear phishing-angreb er klart mere sofistikerede angreb og kræver en hel del mere forberedelse fra den cyberkriminelles vedkommende. Offeret kan både være et enkelt individ eller en mindre gruppe, og selve mailafsenderen udgiver sig for at være en pålidelig person, som offeret kender i forvejen. Det kan blandt andet være en chef eller en kontaktperson. Den cyberkriminelle indhenter al sin information om offeret via sociale medier og former herud af det rette setup for spear phishing-angrebet.

Disse angreb kan være ekstremt svære at opdage, men du kan især holde øje med følgende for at komme problemet til livs:

• Tjek kilden bag afsender-mailen.
• Spørg dig selv en ekstra gang, om det nu virkelig lyder som en normal mail.
• Hvis der bare er den mindste mistanke, skal du IKKE besvare mailen, men i stedet kontakte den pågældende person direkte for at tjekke op på, om det nu engang er ham eller hende, der er den rigtige afsender.

Smishing-angreb minder en hel del om phishing-angreb i selve metoden. Men hvor phishing benytter e-mails, så benytter smishing sms’er. Setuppet er dog det samme. Den cyberkriminelle udgiver sig for at være en officiel instans, måske din bank eller et fragtselskab, der beder dig klikke på et link i sms’en for at få information om en pakke, der er på vej. Men der er ingen pakke på vej, og i stedet for information ligger der malware eller virus gemt bag linket i sms’en.

Vishing-angreb er et social engineering-angreb foretaget af en hacker eller andre cyberkriminelle via telefonen. Her udgiver den cyberkriminelle sig for at være alt lige fra din bank, skattevæsenet, fragtselskab, elselskab eller lignende for at franarre dig kreditkortoplysninger, login-oplysninger eller andre personlige data.

I et vishing-angreb kan hackeren få det til at se ud som om, der ringes fra den nævnte myndighed eller virksomhed. En særlig funktion kan benyttes, som får det ægte telefonnummer til at dukke op på din mobiltelefons display. Stemmerne kan være optagede, eller der kan ringes fra deciderede scammer-call centre rundt om i verden.

Oftest vil den cyberkriminelle spille på, at du mangler at betale en regning, eller at du måske har betalt for meget til et kontingent eller lignende. Planen er så her, at du til sidst skal oplyse dine kreditkortoplysninger i troen på, at det skyldte beløb kan tilbageføres eller betales, alt efter hvad bedrageriet nu engang går på.

For at spotte et igangværende vishing-angreb kan du gøre følgende:

• Stil spørgsmål til firmaets årsag til at kontakte dig. Og kender du overhovedet til firmaet eller myndigheden?
• Tilbydes der lidt for gode økonomiske gevinster fra konkurrencer, du slet ikke har deltaget i?
• Er tonen overtalende eller næsten fjendtlig i bestræbelserne på at presse dig til at oplyse dine personlige oplysninger?

Ovenstående kan være tydelige tegn på, at du er blevet offer for et vishing-angreb.

Pretexting-angreb kan minde en del om phishing-angreb, men spiller hverken på stress, fare eller trusler. Grundkernen i pretexting-angreb er tillid. Her udgiver den cyberkriminelle sig for at være din ven eller kollega. Det ville naturligvis være nemt at gennemskue, havde det ikke været for det enorme arbejde og cyberstalking-lignende metoder, som den cyberkriminelle har taget i brug for at snyde sit offer. En pretexting-scammer kan også udgive sig for at være en venlig person, der kontakter dig fra et firma, som du kender. Som i nedenstående eksempel på et pretexting-angreb:

1. Du bliver ringet op af en tech-support medarbejder i en virksomhed, du har noget med at gøre.
2. De beder dig om hjælp med at teste et internt pengeoverførselssystem, så de kan forbedre kundeoplevelsen.
3. Hvis du vælger at deltage, beder de dig om at overføre penge til en specifik bankkonto og oplyse dine login-oplysninger for det pågældende firma.
4. Så snart du har overført pengene, vil hackeren stjæle både dem og dine login-oplysninger.

Du vil naturligvis blive forsikret om, at pengene kun tilbageholdes midlertidigt, og at de selvfølgelig returneres til din bankkonto igen. Hvilket de ikke gør.

Catfishing-angreb foregår på sociale medier og består i, at den cyberkriminelle opretter falske SoMe-profiler med falske eller stjålne billeder. Planen er enten at franarre folk vigtige oplysninger ved at indynde sig som en ny ven, eller slet og ret blot at søge opmærksomhed eller ligefrem lave en hetz mod en udvalgt person.

Skulle du have fået en ny fremmed ven på sociale medier, som måske er en anelse for venlig og som samtidig afviser at mødes eller dele yderligere oplysninger om sit eget liv, så er du formodentlig blevet offer for et catfishing-angreb.

Du kan selv spotte et sådan angreb på følgende advarselstegn:

• Anmoder dig om at sende penge
• Kommer med dårlige undskyldninger om, at deres webcam er i stykker, eller at deres telefon ikke virker.
• Melder afbud til fysiske møder og kommer med dårlige undskyldninger.
• Foreslår at mødes privat fremfor på et mere offentligt sted.

Beskyt dig mod hackere og svindlere med NordVPN.

Scareware-angreb er social engineering, som spiller på en umiddelbar fare på din mobile enhed eller computer. Det kan ses som pop up-advarsler, der toner frem, mens du surfer på nettet. Meddelelsen advarer dig om, at din enhed formodentligt er inficeret med malware eller virus, og den beder dig derfor om at trykke på det pågældende link for at fjerne problemet. Problemet er imidlertid selve linket, for her gemmer der sig så ofte netop malware eller virus.

Disse angreb rettes oftest mod ansatte i en virksomhed. Her udgiver hackeren sig for at være et revisionsfirma, en bank eller en anden finansiel myndighed og vil forsøge at narre den ansatte til at udlevere fortrolige oplysninger eller filer fra firmaet, fordi de skal bruges i en sag eller lignende. Angrebet kan være så ægte og sofistikeret, at den ansatte uden tøven sender vigtige oplysninger om firmaet eller firmaets ansatte til den cyberkriminelle.

Dette social engineering-angreb bruger lokkemad til at få dig i fælden. Det kan være i form af USB-stik, som efterlades i virksomheder eller på offentlige kontorer, hvorpå der eksempelvis står ‘cheflønninger for 2020’ eller noget andet tillokkende, som kan få nysgerrige folk til at stikke det pågældende USB-stik ind i sin computer for at se på indholdet. Så snart det sker, vil USB-stikket inficere den pågældende computer med virus eller malware.

Der kan også være tale om et mirror-site på internettet, hvor hackeren har lokket dig til at downloade en fil i troen på, at det måske er en ny film, du er ved at hente. Men i stedet er du faktisk ved at hente en ondsindet virus, der kan inficere dit system og i sidste ende stjæle dine fortrolige oplysninger og bankinformation.

Her følger to gode råd til, hvordan du kan undgå de fleste baiting-angreb:

1. Brug anti-malware, adblocking software, tracking blockers og lignende programmer.
2. Hold dig udelukkende til hjemmesider og platforme, du kender til på forhånd. Kender du dem ikke, så undersøg dem grundigt for sære stavefejl, kontrollér deres URL-adresse, læs anmeldelser om sitet og tjek om hjemmesiden er et registreret selskab.

Dette angreb har rigtigt mange været forsøgt overrumplet af. Vi kender næsten alle til de lidt for fantastiske mails, der hævder, at man har arvet eller kan få del i en afdød rigmands eller prins’ formue ved at angive sine bankoplysninger i en mail. Angrebet kan også bestå i, at hackeren udgiver sig for at være IT-support specialist. Her beder den falske IT-supporter om fjernadgang til din computer, men i stedet for at fikse problemet, overtager de computeren, inficerer den med ondsindet malware eller stjæler vigtige oplysninger.

Mange har også oplevet dette angreb før. Her er der tale om, at en cyberkriminel hacker sig ind på din sociale medie-konto og begynder at sende inficerede filer rundt til dine venner i Messenger. Der kan eksempelvis stå “Se den her sindssyge video”. De fleste tænker, at video-linket er ægte, og at det vitterligt er sendt fra dig, eftersom det er modtaget i den personlige besked-indbakke. Men i stedet gemmer der sig malware eller virus i linket. Når din ven har trykket sig ind på det inficerede link, vil hans eller hendes konto også blive ‘overtaget’, hvormed en lang række nye contact spamming-angreb kan udføres mod din vens kontakter.

1. Lær om de forskellige social engineering-fremgangsmåder. Hvis du kender til metoderne, så ved du, hvad der kan lure om hjørnet, og på den måde vil du bedre kunne undgå at falde i fælden. Driver du en virksomhed, så er det i samme forbindelse vigtigt at lære de ansatte om, hvad er en hacker, og hvad de respektive faldgruber vedrørende social engineering-angreb består af.
2. Vær opmærksom. Dobbelttjek, hvem du kommunikerer med, især hvis der er tale om mails eller sms’er, som du ikke forventede. En god tommelfingerregel er at fatte mistanke, hvis indholdet er lidt for godt til at være sandt.
3. Hold øje med fejl. Virksomheder bruger ofte lang tid på at kontrollere alt, hvad de sender ud for fejl. Er den pågældende besked eller mail fuld af grammatiske fejl og lignende, så kan det ofte være et tegn på, at der er tale om et social engineering-angreb.
4. Vær ikke bange for at stille spørgsmål. Hvis nogen prøver at snyde dig over telefonen, via besked eller mail, så spørg gerne ind til deres venlige imødekommenhed og deres autoritet. Hold især et vågent øje (eller øre) med om der er uoverensstemmelser i det, der siges.
5. Begræns din deling af oplysninger online. Deler du for meget online, kan det senere bruges imod dig i et social engineering-angreb.
6. Hav styr på din software. Installér regelmæssige opdateringer, investér i antivirus software, installér spamfiltre og gør brug af browserudvidelser.
7. Benyt en VPN. En VPN kan maskere din online identitet og afværge hackere i at snage i din kommunikation. Især på offentlige Wi-Fi-netværk.
8. Brug også NordVPN’s Threat Protection-funktion, som er indbygget i VPN-tjenesten. Threat Protection scanner alle filer, du vil downloade, og kan dermed advare dig mod malware og lignende, før du får lagt de pågældende filer eller programmer ind på din enhed. Du vil derudover også kunne foretage fjernelse af malware med Threat Protection. Derudover advarer funktionen dig også mod mistænkelige hjemmesider, der kan indeholde virus eller malware, før du besøger dem.

Svindlere arbejder også hårdt – sørg for, at de ikke kan tilgå dine personlige oplysninger. Abonnér hos NordVPN med 30 dages fortrydelsesret-garanti.