Mange tror de er immune mot å bli svindlet – inntil det faktisk skjer. Det finnes mange manipuleringsteknikker som hackere, svindlere og tyver kan benytte seg av. Det lønner seg å lære mer om slike strategier for å være bedre rustet mot sosial manipulering over internett.
Innhold
Sosial manipulering, eller social engineering, består i å overbevise individer om å gjøre slik manipulatøren ønsker, selv når det strider mot offerets interesser. Tillit, stress og grådighet er alle menneskelige følelser manipulatører bruker for å svekke bedømmelseskraften din og øke sjansen for at du går i fella. På internett kan denne typen manipulering involvere skadelig programvare – men det er ikke alltid tilfelle. Les videre for å lære om de vanligste triksene og hvordan du kan beskytte deg.
Manipuleringsteknikker kommer i mange former og fra ulikt hold. Som oftest er forsøkene relativt enkle å oppdage, og angriperne fokuserer på kvantitet over kvalitet. Noen ganger kan slike angrep involvere utpressing eller direkte trusler mot offeret.
Nettfisking, eller phishing , er tilfeller hvor en cyberkriminell benytter seg av e-posttjenester og gir seg ut for å være en annen. Vanligvis later de som om de representerer en banktjeneste, nasjonale myndigheter eller andre organisasjoner du vanligvis stoler på, og som ofte kontakter personer over e-post.
Målet deres er å få deg til å åpne den kompromitterte e-posten, og enten klikke på en lenke eller laste ned et tillegg som ofte inneholder skadelig programvare. Uforsiktige invidiver kan på denne måten bli frastjålet personlige detaljer eller sensitiv informasjon, som for eksempel bankkortnummer eller passord.
Det finnes flere metoder phiskere bruker når de prøver å slå kloa i din personlige informasjon:
Spear-phishing, eller spydphisking som det også kan kalles, er en type nettfiske som krever litt ekstra innsats, men som til gjengjeld lykkes langt oftere. Vanlige phishing-e-post sendes vanligvis til tusenvis av individer, mens spear-phishing er rettet mot mindre grupper eller spesifikke personer. Avsenderen vil vanligvis gi seg ut for å være en bestemt person du stoler på eller noen du rapporterer til i sammenheng med jobben.
For at denne typen angrep skal lykkes må hackerne etterforske ofrene grundig, og finne informasjon de kan utnytte for å komme nært inn på målet. Sosiale medier utgjør rene gullgruven for denne typen overvåkingsaktivitet. Hackere kan samle nærmest alle typer informasjon de måtte ønske, som e-postadresser, navn på deg og dine nærmeste, hvike sider du følger, hvor du jobber osv. Når bakgrunnssjekken er over, kan hackerne finjustere e-posten, få den til å virke så realistisk som mulig, og kontakte offeret med en realistisk grunn til å grave etter mer informasjon.
Eksempelvis kan hackere late som om de er bestevennen din på Facebook, og spørre om å få bruke kontoen din. På bedriftsnivå kan angriperne gi seg ut for å være et høytstående individ i organisasjonen og forespørre sensitive detaljer, eller lure deg til å dele klassifiserte dokumenter.
Forsøk på spydphishing kan være vanskelige å oppdage, men det går an å beskytte seg. Her er noen tips:
Vishing er en type phishing som foregår over telefon. Svindlerne later som om de kontakter deg fra en legitim organisasjon. De bruker et forfalsket telefonnummer, og etterligner en person eller en organisasjon du stoler på. Slike hackere bruker i mange tilfeller forhåndsinnspilte meldinger, SMS eller maskindiktering for å skjule identiteten sin. Andre ansetter sågar ekte mennesker i telefonsentre for å gjøre svindelen mer overbevisende.
Vishing-angripere vil komme opp med alle slags påskudd for å kontakte deg. De kan for eksempel hevde at det har foregått mistenkelig aktivitet på bankkontoen din, at du har betalt for mye/for lite skatt eller at du har vunnet en premie. Formålet er å få deg til å røpe personlig informasjon, som kan brukes for å stjele identiteten din eller begå videre cyberangrep. Sjekk ut dette illustrerende eksempelet:
For å fastslå om en telefonsamtale du mottar er et vishingforsøk bør du holde hodet kaldt, og finne ut om personen på andre siden av røret har en legitim grunn for å kontakte deg:
Alle disse indikatorene er faretegn på svindelforsøk. Oppdager du at en eller flere av disse angår din samtale, har du mest sannsynlig med vishing å gjøre.
Pretexting ligner phishing i at angriperen konstruerer overbevisende påskudd for å kontakte offeret. Forskjellen ligger i at phishing-angrep satser på frykt og stress for å bryte ned offeret, mens pretexting handler om å bygge opp tillit på lengre sikt. Cyberkriminelle som velger denne angrepsvinkelen må klare å overbevise deg om at de tilhører vennekretsen eller organisasjonen din.
De foretar grundige undersøkelser for å komme opp med en vanntett løgn og et realistisk skenarie for hvorfor de kontakter deg med forespørsler om sensitiv informasjon.
Slike angrep er ofte intrikat utformede plott og kan involvere falske identiteter, fabrikerte bilder og realistisk kommunikasjon i bedriftens interne språkbruk. Det endelige målet er å posisjonere seg i en situasjon hvor de kan skaffe informasjon fra noen høyt oppe i bedriften.
Det kan være vanskelig å oppdage denne typen svindel grunnet det ofte dyktige arbeidet som ligger bak den falske personligheten. Det gjelder derfor å være på den sikre siden, og alltid være veldig forsiktig med hvem du deler data med. Ikke vær redd for å spørre om hvorfor kontakten din trenger informasjon fra deg og hva som er formålet
Topp nettsikkerhet med førsteklasses VPN-kryptering.
I Catfishing-angrep lager svindlerne oppdiktede brukerprofiler ved å bruke andre personers bilder, videoer og personlig informasjon. Disse falske identitene brukes som oftest i digitale mobbeangrep eller for å søke oppmerksomhet. Noen ganger kan identitetstyvene overbevise andre personer på nettverket om å overføre penger eller dele sensitiv informasjon. Ressursene kan senere brukes i videre cyberangrep eller identitetstyveri.
Har du fått en ny venn på sosiale medier i det siste som virker veldig hyggelig, men som stadig vegrer seg for å dele mer om seg selv eller å møtes ansikt til ansikt? Det er sannsynlig at du har med en catfisher å gjøre. Andre varselstegn inkluderer:
Lokking eller baiting er – som navnet tilsier – et forsøk på å lure personlige detaljer fra offeret ved bruk av agn. Dette agnet kan være ulike filer eller fysiske gjenstander som offeret „tilfeldig“ støter på, men som i virkeligheten er strategisk utplassert. Hackeren kan, for eksempel, legge fra seg en minnepinne på en flyplass eller i en restaurant med klistrelapper som „Sjefslønninger 2019 Q4“. Mange personer som finner slike gjenstander vil av nysgjerrighet plugge dem inn i datamaskinene sine og få enheten infisert av skadelig programvare.
Minnepinner er imidlertid ikke like allestedsnærværende som de en gang var, så lokking foregår nå hovedsaklig på fildelingsnettsider. Sosiale manipulatører legger ut lignende nettsider som åte, hvor ulykksalige besøkere får et virus på enheten istedenfor en film. Du inngår alltid en viss risiko når du laster ned filer fra upålitelige kilder. For å unngå å bli hacket kan du ta visse forhåndregler. Du kan, for eksempel, dobbeltsjekke typen fil du er i ferd med å laste ned, og du bør alltid bruke et oppdatert antivirus.
Et „Quid Pro Quo“ – angrep er når en svindler tilbyr deg en tjeneste mot betaling eller informasjon. En kjent type Quid Pro Quo er den beryktede svindelen hvor en nigeriansk prins tilbyr deg formuen sin i bytte mot en overføringsavgift eller bankdetaljer. Selv om de færreste faller for denne typen svindel, er de likevel relevante den dag i dag.
Nå til dags er den vanligste typen QPQ-angrep tilfeller hvor angriperen gir seg ut for å være IT-støtte. Offeret har ofte et mindre problem eller har programvare som må oppdateres, så oppringingen virker naturlig. Bedrageren forteller offeret at de trenger tilgang til datamaskinen for å fikse problemet. Får de det som de vil kan de installere skadelig programvare eller stjele sensitiv informasjon.
På savannen liker løver å ligge på lur nær byttets vannhull. De vet at før eller senere er byttet nødt til å besøke området for å slukke tørsten, og da vil det være svært utsatt for angrep. Det samme prinsippet gjelder på den digitale savannen, bare at løvene er byttet ut med hackere. Waterholing er når hackerne finkjemmer en nettside som en bedrift eller et kundesegment benytter hyppig for å finne svakheter i sikkerhetsstrukturen.
Hvis de finner hull de kan benytte, kan de bruke svakhetene for å installere malware på offerets datamaskin uten at de er klare over det. Enda verre er det faktum at digitale „vannhull“ som regel er nettsider besøkerne har høy tillit til. Ofte kan de derfor lures til å laste ned besudlede filer fra nettsiden direkte.
Det er som oftest store datalekkasjer og innbrudd på servernettverk som dominerer trussebildet og kaprer avisoverskriftene. Som vi har sett, kan imidlertid relativt små forglemmelser eller lavteknologiske knep ha ødeleggende konsekvenser for cybersikkerheten. Av alle metodene vi har dekket i denne artikkelen er nok „Tailgating“ den simpleste og sleipeste av dem alle.
Det består i å skaffe seg adgang til et område ved å gli inn med folkemengden, eller gi seg ut for å være en legitim arbeidstager. Mange er ikke tilstrekkelig oppmerksomme på omgivelsene sine og oppdager ikke om noen, for eksempel, følger dem gjennom en åpen dør på vei inn i bygningen. Så snart bedrageren er inne kan de forsøke å stjele sensitive dokumenter eller infisere bedriftsnettverket med et virus installert på en minnepinne. Det er viktig at alle i organisasjonen tar ansvar for å forhindre at de blir forfulgt, låser datamaskinen når den ikke er i bruk, og rapporterer mistenkelige aktiviteter.