Alle er efterhånden klar over, at online-livet rummer flere forskellige faldgruber med snyd og bedrag. Men de fleste er overbeviste om, at de aldrig selv ville kunne gå i fælden. Dertil føler de sig for kloge og for oplyste. Social engineering-angreb består imidlertid af en lang række snedige metoder, som hackere, fupmagere og bedragere kan tage i brug for at få adgang til dine personfølsomme oplysninger og stjæle dem. Det kan i flere tilfælde være svært at gennemskue, men du kan i den forbindelse læse med i denne artikel, hvor vi stiller skarpt på de forskellige strategier indenfor social engineering.
Indhold
Hvad er social engineering egentlig? Og hvad dækker begrebet over? Det korte af det lange er, at social engineering er online angreb mod personer, hvor der spilles på tillid, stress og grådighed for at sløre offerets dømmekraft i situationen.
Læs videre i artiklen og få indsigt i de mest almindelige typer social engineering-angreb, og hvordan du beskytter dig imod dem.
Fænomenet phishing går ind under betegnelsen social engineering. Der er her tale om et angreb, hvor den pågældende hacker benytter e-mails til at snyde sig igennem til offerets personlige oplysninger eller bankinformation. Disse phishing-mails er falske mails, der er giver sig ud for at være afsendt fra en officiel instans som eksempelvis din bank eller skattevæsenet.
De kan også maskere sig som mails fra PostNord, et fragtselskab eller en streamingtjeneste, hvor der anmodes om, at du skal klikke på et link i mailen for at udfylde en påkrævet formular eller lignende. I dette link eller i denne fil kan der så gemme sig diverse ondsindede malware-filer eller virus, der inficerer din enhed, så snart du har trykket på linket eller filen.
Phishing kan antage forskellige former og benytte sig af forskellige metoder. De mest normale er dog:
Angler phishing-angreb finder oftest sted på sociale medier. Her består bedraget i, at hackeren har lavet en falsk kundesupport-konto. Hackeren bruger denne til at franarre brugeren fortrolige oplysninger, eftersom brugeren netop tror, at han eller hun er i dialog med det pågældende firmas rigtige support.
Her er et eksempel på et angler phishing-angreb:
Lad ikke svindlerne vinde. Beskyt dig med en enestående VPN.
Spear phishing-angreb er klart mere sofistikerede angreb og kræver en hel del mere forberedelse fra den cyberkriminelles vedkommende. Offeret kan både være et enkelt individ eller en mindre gruppe, og selve mailafsenderen udgiver sig for at være en pålidelig person, som offeret kender i forvejen. Det kan blandt andet være en chef eller en kontaktperson. Den cyberkriminelle indhenter al sin information om offeret via sociale medier og former herud af det rette setup for spear phishing-angrebet.
Disse angreb kan være ekstremt svære at opdage, men du kan især holde øje med følgende for at komme problemet til livs:
Smishing-angreb minder en hel del om phishing-angreb i selve metoden. Men hvor phishing benytter e-mails, så benytter smishing sms’er. Setuppet er dog det samme. Den cyberkriminelle udgiver sig for at være en officiel instans, måske din bank eller et fragtselskab, der beder dig klikke på et link i sms’en for at få information om en pakke, der er på vej. Men der er ingen pakke på vej, og i stedet for information ligger der malware eller virus gemt bag linket i sms’en.
Vishing-angreb er et social engineering-angreb foretaget af en hacker eller andre cyberkriminelle via telefonen. Her udgiver den cyberkriminelle sig for at være alt lige fra din bank, skattevæsenet, fragtselskab, elselskab eller lignende for at franarre dig kreditkortoplysninger, login-oplysninger eller andre personlige data.
I et vishing-angreb kan hackeren få det til at se ud som om, der ringes fra den nævnte myndighed eller virksomhed. En særlig funktion kan benyttes, som får det ægte telefonnummer til at dukke op på din mobiltelefons display. Stemmerne kan være optagede, eller der kan ringes fra deciderede scammer-call centre rundt om i verden.
Oftest vil den cyberkriminelle spille på, at du mangler at betale en regning, eller at du måske har betalt for meget til et kontingent eller lignende. Planen er så her, at du til sidst skal oplyse dine kreditkortoplysninger i troen på, at det skyldte beløb kan tilbageføres eller betales, alt efter hvad bedrageriet nu engang går på.
For at spotte et igangværende vishing-angreb kan du gøre følgende:
Ovenstående kan være tydelige tegn på, at du er blevet offer for et vishing-angreb.
Pretexting-angreb kan minde en del om phishing-angreb, men spiller hverken på stress, fare eller trusler. Grundkernen i pretexting-angreb er tillid. Her udgiver den cyberkriminelle sig for at være din ven eller kollega. Det ville naturligvis være nemt at gennemskue, havde det ikke været for det enorme arbejde og cyberstalking-lignende metoder, som den cyberkriminelle har taget i brug for at snyde sit offer. En pretexting-scammer kan også udgive sig for at være en venlig person, der kontakter dig fra et firma, som du kender. Som i nedenstående eksempel på et pretexting-angreb:
Du vil naturligvis blive forsikret om, at pengene kun tilbageholdes midlertidigt, og at de selvfølgelig returneres til din bankkonto igen. Hvilket de ikke gør.
Catfishing-angreb foregår på sociale medier og består i, at den cyberkriminelle opretter falske SoMe-profiler med falske eller stjålne billeder. Planen er enten at franarre folk vigtige oplysninger ved at indynde sig som en ny ven, eller slet og ret blot at søge opmærksomhed eller ligefrem lave en hetz mod en udvalgt person.
Skulle du have fået en ny fremmed ven på sociale medier, som måske er en anelse for venlig og som samtidig afviser at mødes eller dele yderligere oplysninger om sit eget liv, så er du formodentlig blevet offer for et catfishing-angreb.
Du kan selv spotte et sådan angreb på følgende advarselstegn:
Beskyt dig mod hackere og svindlere med NordVPN.
Scareware-angreb er social engineering, som spiller på en umiddelbar fare på din mobile enhed eller computer. Det kan ses som pop up-advarsler, der toner frem, mens du surfer på nettet. Meddelelsen advarer dig om, at din enhed formodentligt er inficeret med malware eller virus, og den beder dig derfor om at trykke på det pågældende link for at fjerne problemet. Problemet er imidlertid selve linket, for her gemmer der sig så ofte netop malware eller virus.
Disse angreb rettes oftest mod ansatte i en virksomhed. Her udgiver hackeren sig for at være et revisionsfirma, en bank eller en anden finansiel myndighed og vil forsøge at narre den ansatte til at udlevere fortrolige oplysninger eller filer fra firmaet, fordi de skal bruges i en sag eller lignende. Angrebet kan være så ægte og sofistikeret, at den ansatte uden tøven sender vigtige oplysninger om firmaet eller firmaets ansatte til den cyberkriminelle.
Dette social engineering-angreb bruger lokkemad til at få dig i fælden. Det kan være i form af USB-stik, som efterlades i virksomheder eller på offentlige kontorer, hvorpå der eksempelvis står ‘cheflønninger for 2020’ eller noget andet tillokkende, som kan få nysgerrige folk til at stikke det pågældende USB-stik ind i sin computer for at se på indholdet. Så snart det sker, vil USB-stikket inficere den pågældende computer med virus eller malware.
Der kan også være tale om et mirror-site på internettet, hvor hackeren har lokket dig til at downloade en fil i troen på, at det måske er en ny film, du er ved at hente. Men i stedet er du faktisk ved at hente en ondsindet virus, der kan inficere dit system og i sidste ende stjæle dine fortrolige oplysninger og bankinformation.
Her følger to gode råd til, hvordan du kan undgå de fleste baiting-angreb:
Dette angreb har rigtigt mange været forsøgt overrumplet af. Vi kender næsten alle til de lidt for fantastiske mails, der hævder, at man har arvet eller kan få del i en afdød rigmands eller prins’ formue ved at angive sine bankoplysninger i en mail. Angrebet kan også bestå i, at hackeren udgiver sig for at være IT-support specialist. Her beder den falske IT-supporter om fjernadgang til din computer, men i stedet for at fikse problemet, overtager de computeren, inficerer den med ondsindet malware eller stjæler vigtige oplysninger.
Mange har også oplevet dette angreb før. Her er der tale om, at en cyberkriminel hacker sig ind på din sociale medie-konto og begynder at sende inficerede filer rundt til dine venner i Messenger. Der kan eksempelvis stå “Se den her sindssyge video”. De fleste tænker, at video-linket er ægte, og at det vitterligt er sendt fra dig, eftersom det er modtaget i den personlige besked-indbakke. Men i stedet gemmer der sig malware eller virus i linket. Når din ven har trykket sig ind på det inficerede link, vil hans eller hendes konto også blive ‘overtaget’, hvormed en lang række nye contact spamming-angreb kan udføres mod din vens kontakter.
Svindlere arbejder også hårdt – sørg for, at de ikke kan tilgå dine personlige oplysninger. Abonnér hos NordVPN med 30 dages fortrydelsesret-garanti.