Sosial manipulering forklart: Angrepsteknikker og forebygging

Sosial manipulering, eller social engineering, består i å overbevise individer om å gjøre slik manipulatøren ønsker, selv når det strider mot offerets interesser. Tillit, stress og grådighet er alle menneskelige følelser manipulatører bruker for å svekke bedømmelseskraften din og øke sjansen for at du går i fella. På internett kan denne typen manipulering involvere skadelig programvare – men det er ikke alltid tilfelle. Les videre for å lære om de vanligste triksene og hvordan du kan beskytte deg.

Manipuleringsteknikker kommer i mange former og fra ulikt hold. Som oftest er forsøkene relativt enkle å oppdage, og angriperne fokuserer på kvantitet over kvalitet. Noen ganger kan slike angrep involvere utpressing eller direkte trusler mot offeret.

Nettfisking, eller phishing , er tilfeller hvor en cyberkriminell benytter seg av e-posttjenester og gir seg ut for å være en annen. Vanligvis later de som om de representerer en banktjeneste, nasjonale myndigheter eller andre organisasjoner du vanligvis stoler på, og som ofte kontakter personer over e-post.

Målet deres er å få deg til å åpne den kompromitterte e-posten, og enten klikke på en lenke eller laste ned et tillegg som ofte inneholder skadelig programvare. Uforsiktige invidiver kan på denne måten bli frastjålet personlige detaljer eller sensitiv informasjon, som for eksempel bankkortnummer eller passord.

Det finnes flere metoder phiskere bruker når de prøver å slå kloa i din personlige informasjon:

• Forfalsket brukernavn. E-posten later til å være sendt fra en legitim kilde, men domenenavnet skiller seg kraftig fra originalen. Det kan, for eksempel, hende du mottar en e-post, tilsynelatende fra Netflix, med viktig informasjon om din brukerkonto. Hvis du imidlertid holder musepekeren over senderens adresse, vil du oppdage at avsenderens adresse ikke matcher organisasjonens.
• Innebygde lenker. Svindlerne kan sende deg en e-post hvor du blir spurt om å klikke på en lenke og logge inn på kontoen din. Den videreførende lenken leder deg til et infisert nettsted, hvor du risikerer å få installert malware på datamaskinen. Du kan beskytte deg ved å høyreklikke på lenken og sjekke om adressen virker oppriktig.
• E-postvedlegg. Regninger, ordrebekreftelser, invitasjoner osv kan brukes til å skjule virus eller skadelig programvare. La være å åpne vedlegg eller svare senderen direkte dersom noe virker muffens. Send en ny e-post til personen som angivelig kontaktet deg for bekreftelse.

Spear-phishing, eller spydphisking som det også kan kalles, er en type nettfiske som krever litt ekstra innsats, men som til gjengjeld lykkes langt oftere. Vanlige phishing-e-post sendes vanligvis til tusenvis av individer, mens spear-phishing er rettet mot mindre grupper eller spesifikke personer. Avsenderen vil vanligvis gi seg ut for å være en bestemt person du stoler på eller noen du rapporterer til i sammenheng med jobben.

For at denne typen angrep skal lykkes må hackerne etterforske ofrene grundig, og finne informasjon de kan utnytte for å komme nært inn på målet. Sosiale medier utgjør rene gullgruven for denne typen overvåkingsaktivitet. Hackere kan samle nærmest alle typer informasjon de måtte ønske, som e-postadresser, navn på deg og dine nærmeste, hvike sider du følger, hvor du jobber osv. Når bakgrunnssjekken er over, kan hackerne finjustere e-posten, få den til å virke så realistisk som mulig, og kontakte offeret med en realistisk grunn til å grave etter mer informasjon.

Eksempelvis kan hackere late som om de er bestevennen din på Facebook, og spørre om å få bruke kontoen din. På bedriftsnivå kan angriperne gi seg ut for å være et høytstående individ i organisasjonen og forespørre sensitive detaljer, eller lure deg til å dele klassifiserte dokumenter.

Forsøk på spydphishing kan være vanskelige å oppdage, men det går an å beskytte seg. Her er noen tips:

• Sjekk e-postens avsender eller kilde grundig.
• pør deg selv om forespørselen i e-posten gir mening og realistisk sett kan stamme fra avsenderen.
• Hvis du fatter mistanke, ikke svar på e-posten og kontakt avsender direkte gjennom andre kanaler. Send dem en ny e-post, ring dem eller snakk med dem direkte hvis mulig.

Vishing er en type phishing som foregår over telefon. Svindlerne later som om de kontakter deg fra en legitim organisasjon. De bruker et forfalsket telefonnummer, og etterligner en person eller en organisasjon du stoler på. Slike hackere bruker i mange tilfeller forhåndsinnspilte meldinger, SMS eller maskindiktering for å skjule identiteten sin. Andre ansetter sågar ekte mennesker i telefonsentre for å gjøre svindelen mer overbevisende.

Vishing-angripere vil komme opp med alle slags påskudd for å kontakte deg. De kan for eksempel hevde at det har foregått mistenkelig aktivitet på bankkontoen din, at du har betalt for mye/for lite skatt eller at du har vunnet en premie. Formålet er å få deg til å røpe personlig informasjon, som kan brukes for å stjele identiteten din eller begå videre cyberangrep. Sjekk ut dette illustrerende eksempelet:

For å fastslå om en telefonsamtale du mottar er et vishingforsøk bør du holde hodet kaldt, og finne ut om personen på andre siden av røret har en legitim grunn for å kontakte deg:

• Still spørsmål til selskapet. På hvilket grunnlag kontakter de deg? Har du tidligere hatt noe å gjøre med dette selskapet? Har du i det hele tatt hørt om dem?
• Tilbyr oppringerne urealistiske premier for konkurranser du aldri har deltatt i? Sier de at de kan hjelpe deg med gjeld som du ikke har?
• Prøver de å presse deg til å gi fra deg informasjon? Spiller de opp hvor mye saken haster?

Alle disse indikatorene er faretegn på svindelforsøk. Oppdager du at en eller flere av disse angår din samtale, har du mest sannsynlig med vishing å gjøre.

Pretexting ligner phishing i at angriperen konstruerer overbevisende påskudd for å kontakte offeret. Forskjellen ligger i at phishing-angrep satser på frykt og stress for å bryte ned offeret, mens pretexting handler om å bygge opp tillit på lengre sikt. Cyberkriminelle som velger denne angrepsvinkelen må klare å overbevise deg om at de tilhører vennekretsen eller organisasjonen din.

De foretar grundige undersøkelser for å komme opp med en vanntett løgn og et realistisk skenarie for hvorfor de kontakter deg med forespørsler om sensitiv informasjon.

Slike angrep er ofte intrikat utformede plott og kan involvere falske identiteter, fabrikerte bilder og realistisk kommunikasjon i bedriftens interne språkbruk. Det endelige målet er å posisjonere seg i en situasjon hvor de kan skaffe informasjon fra noen høyt oppe i bedriften.

Det kan være vanskelig å oppdage denne typen svindel grunnet det ofte dyktige arbeidet som ligger bak den falske personligheten. Det gjelder derfor å være på den sikre siden, og alltid være veldig forsiktig med hvem du deler data med. Ikke vær redd for å spørre om hvorfor kontakten din trenger informasjon fra deg og hva som er formålet

Topp nettsikkerhet med førsteklasses VPN-kryptering.

I Catfishing-angrep lager svindlerne oppdiktede brukerprofiler ved å bruke andre personers bilder, videoer og personlig informasjon. Disse falske identitene brukes som oftest i digitale mobbeangrep eller for å søke oppmerksomhet. Noen ganger kan identitetstyvene overbevise andre personer på nettverket om å overføre penger eller dele sensitiv informasjon. Ressursene kan senere brukes i videre cyberangrep eller identitetstyveri.

Har du fått en ny venn på sosiale medier i det siste som virker veldig hyggelig, men som stadig vegrer seg for å dele mer om seg selv eller å møtes ansikt til ansikt? Det er sannsynlig at du har med en catfisher å gjøre. Andre varselstegn inkluderer:

• Stadige forsøk på å vekke medlidenhet for å samle pengedonasjoner.
• Merkelige påskudd for hvorfor mikrofon eller webkamera ikke fungerer.
• Konstanste unnskyldninger over hvorfor dere ikke kan møtes eller stadige avlysninger i siste liten.
• Forslag om å møtes i private men ikke i offentlige omgivelser.

Lokking eller baiting er – som navnet tilsier – et forsøk på å lure personlige detaljer fra offeret ved bruk av agn. Dette agnet kan være ulike filer eller fysiske gjenstander som offeret „tilfeldig“ støter på, men som i virkeligheten er strategisk utplassert. Hackeren kan, for eksempel, legge fra seg en minnepinne på en flyplass eller i en restaurant med den hensikten at de som finner slike gjenstander vil bli nysgjerrig og dermed plugge dem inn i datamaskinene sine for å se hva det er. Dette kan ofte føre til at man får enheten infisert av skadelig programvare.

Minnepinner er imidlertid ikke like allestedsnærværende som de en gang var, så lokking foregår nå hovedsaklig på fildelingsnettsider. Sosiale manipulatører legger ut lignende nettsider som åte, hvor ulykksalige besøkere får et virus på enheten istedenfor en film. Du inngår alltid en viss risiko når du laster ned filer fra upålitelige kilder. For å unngå å bli hacket kan du ta visse forhåndregler. Du kan, for eksempel, dobbeltsjekke typen fil du er i ferd med å laste ned, og du bør alltid bruke et oppdatert antivirus.

Et „Quid Pro Quo“ – angrep er når en svindler tilbyr deg en tjeneste mot betaling eller informasjon. En kjent type Quid Pro Quo er den beryktede svindelen hvor en nigeriansk prins tilbyr deg formuen sin i bytte mot en overføringsavgift eller bankdetaljer. Selv om de færreste faller for denne typen svindel, er de likevel relevante den dag i dag.

Nå til dags er den vanligste typen QPQ-angrep tilfeller hvor angriperen gir seg ut for å være IT-støtte. Offeret har ofte et mindre problem eller har programvare som må oppdateres, så oppringingen virker naturlig. Bedrageren forteller offeret at de trenger tilgang til datamaskinen for å fikse problemet. Får de det som de vil kan de installere skadelig programvare eller stjele sensitiv informasjon.

På savannen liker løver å ligge på lur nær byttets vannhull. De vet at før eller senere er byttet nødt til å besøke området for å slukke tørsten, og da vil det være svært utsatt for angrep. Det samme prinsippet gjelder på den digitale savannen, bare at løvene er byttet ut med hackere. Waterholing er når hackerne finkjemmer en nettside som en bedrift eller et kundesegment benytter hyppig for å finne svakheter i sikkerhetsstrukturen.

Hvis de finner hull de kan benytte, kan de bruke svakhetene for å installere malware på offerets datamaskin uten at de er klare over det. Enda verre er det faktum at digitale „vannhull“ som regel er nettsider besøkerne har høy tillit til. Ofte kan de derfor lures til å laste ned besudlede filer fra nettsiden direkte.

Det er som oftest store datalekkasjer og innbrudd på servernettverk som dominerer trussebildet og kaprer avisoverskriftene. Som vi har sett, kan imidlertid relativt små forglemmelser eller lavteknologiske knep ha ødeleggende konsekvenser for cybersikkerheten. Av alle metodene vi har dekket i denne artikkelen er nok „Tailgating“ den simpleste og sleipeste av dem alle.

Det består i å skaffe seg adgang til et område ved å gli inn med folkemengden, eller gi seg ut for å være en legitim arbeidstager. Mange er ikke tilstrekkelig oppmerksomme på omgivelsene sine og oppdager ikke om noen, for eksempel, følger dem gjennom en åpen dør på vei inn i bygningen. Så snart bedrageren er inne kan de forsøke å stjele sensitive dokumenter eller infisere bedriftsnettverket med et virus installert på en minnepinne. Det er viktig at alle i organisasjonen tar ansvar for å forhindre at de blir forfulgt, låser datamaskinen når den ikke er i bruk, og rapporterer mistenkelige aktiviteter.

1. Lær om ulike typer sosial manipulasjon. Hvis du vet hvilke trusler som eksisterer samt hvordan de fungerer, kan du unngå å falle for de vanligste knepene. Hvis du eier et selskap eller administrerer et team, bør du også utdanne dine arbeidskollegaer om sosiale manipuleringsteknikker for å hindre at slike angrep penetrerer organisasjonen.
2. Vær årvåken. Det er lurt å dobbeltsjekke identiteten til de du kommuniserer med, spesielt hvis kommunikasjonen er av en potensielt sensitiv eller viktig natur. Husk å være særdeles oppmerksom på samtaler, tekster eller e-poster som virker unaturlige, usannsynlige eller pågående. Hvis noe virker for godt til å være sant, er det mest sannsynlig lureri.
3. Hold et øye med slurvefeil. Seriøse organisasjoner og bedrifter pleier å sjekke innholdet de sender ut nitidig for å luke ut stave- og skrivefeil. Hackere på sin side etterlater ofte skrivefeil eller andre skriftlige indikatorer på at de ikke faktisk jobber for organasisjonen de gir seg ut for å representere.
4. Ikke vær redd for å stille spørsmål. Hvis du enser at noen forsøker å snylte deg, ikke nøl med å stille utfordrende spørsmål. Hvis noe ikke gir mening i historien de forteller, konfronter personen med dette og krev bevis på at de er personen de gir seg ut for å være.
5. Begrens hvor mye du deler på nettet. Det gjelder å alltid bruke sunt nettvett og begrense hvor mye personlig informasjon du eksponerer om deg og dine på offentlige nettverk. Dette gjelder spesielt for personer som jobber i organisasjoner som behandler verdifull informasjon.
6. Bruk et VPN. Et VPN vil hjelpe deg å maskere identiteten din og forhindrer potensielle hackere fra å avlese din kommunikasjon, spesielt på offentlige nettverk. Med NordVPN sin nye ekstrafunksjon Threat Protection vil du i tillegg hindres fra å besøke svartelistede nettsteder som er blitt flagget for svindel og andre forbrytelser. I tillegg forhindrer den at annonsører og tredjeparter kan samle inn, og misbruke informasjon om deg når du surfer på nett. VPN nedlasting er utrolig enkelt å sette opp og tar bare et par minutter for å komme i gang.