Cybersäkerhet

Social engineering, eller förmågan att få folk att göra som du vill

I förra veckan var jag på en föreläsning om social engineering på Dataföreningen. Trots att jag tidigare läst en del i ämnet, så var det vissa saker som fick mig att hajja till.

Social engineering – definition

Först och främst – vad är det för något? Wikipedia lämnar följande beskrivning:

…refers to psychological manipulation of people into performing actions or divulging confidential information. A type of confidence trick for the purpose of information gathering, fraud, or system access, it differs from a traditional ”con” in that it is often one of many steps in a more complex fraud scheme.

Det handlar alltså om att få folk att göra saker de inte vill/förstår, eller att göra saker som de (faktiskt) vill/förstår. Konkret – beteendepåverkan.

Exempel från verkligheten

I juli, under semesterperioden, skrev jag ett inlägg om bl a VD-bedrägerier. I inlägget kanske det lät som att de s.k. ”VD-bedrägerierna” är begränsat till semesterperioder, men så är givetvis inte fallet utan det försiggår i princip dygnet runt, året om.

I förra veckan läste jag artikeln ”The latest weapon in the business email scammers’ arsenal? Small talk”, vilket beskriver upplägget för vissa av VD-bedrägerierna. Istället för att bara skicka ett mail med ”för över pengar från X till Z” är bedragarna denna gång mer förslagna och använder sig av social engineering.

Jag fastnade lite extra när jag såg detta i artikeln:

The scheme has become so successful the FBI has warned that $3.1 billion has been lost to CEO scams.

Någonstans runt 24 miljarder SEK, i snabb överslagsräkning. Det är alltså ofantliga summor det handlar om.

Varför fungerar social engineering?

Till största del är det grundläggande, mänskliga egenskaper som ställer till det för oss.

De flesta människor har t ex en inneboende vilja att hjälpa till och hjälpa andra. Det finns en vilja att vara till lags (att passa in i gruppen). Många har en respekt för auktoriteter och vi reagerar positivt om någon är vänlig och trevlig mot oss.

På vissa arbetsplatser kan individer tyvärr känna en avsaknad av personligt ansvar och det kanske saknas medvetenhet kring begreppet social engineering och vilka följderna skulle kunna bli, vilket förenklar för bedragarna.

Till viss del kan social engineering sägas vara som en sån där jobbig telefonförsäljare som är hej-och-tjenis och verkar känna till allt om dig. Nu är det självklart så mycket mer, men jag tycker ändå att artikeln ”14 psychological tricks to get people to do what you want” är intressant i sammanhanget, trots att det är mer av säljtricks.

Förebygg social engineering

En sak som jag tjatat om, och som det tjatas om i många sammanhang:

Om något verkar för bra för att vara sant, så är det inte sant

Det tål att tjatas på om och om och om igen. Gång, på gång, kommer nya vågor av människor som drabbats av olika typer av bedrägerier, som superbilliga Ray-Bans (vilket jag skrev om i januari).

Våra mänskliga beteenden är svåra att påverka, men det finns områden som behöver ses över.

Först och främst måste medvetenheten öka. Konceptet social engineering måste lyftas upp till ytan och diskuteras inom organisationen, så att alla vet vad det är och hur de ska agera om/när de utsätts. Det behövs tydliga processer, säkerhetsanalyser och konsekvensbedömningar som underlättar proaktivt arbete framöver – innan något händer.

Dessutom måste det tas fram policys och regelverk kring hur såväl den enskilde som organisationen ska agera om det sker påtryckningar. Alla måste känna till detta – från personal i reception, växel och vaktmästeri till högsta ledningsfunktion. Om det finns en väg in kommer bedragaren att identifiera denna. Det största ansvaret ligger på cheferna som behöver veta hur de ska agera om en medarbetare kommer och anmäler ett bedrägeriförsök.

Till sist kan det även behövas en översyn av den fysiska miljön, för att säkerställa att såväl information som individer skyddas på bästa sätt (eller vad som måste åtgärdas för att uppfylla rätt skyddsnivå).

Viktigast av allt – människan (den enskilde medarbetaren)

Social engineering handlar ju om mänsklig interaktion, vilket innebär att den enskilde medarbetaren är avgörande för att säkerhetsarbetet ska fungera.

En glad och nöjd medarbetare innebär en låg risk och kommer troligen höra av sig till chefer när/om personen råkar ut för någon form av social engineering.

Däremot kan en missnöjd medarbetare vara betydligt mer farlig för verksamheten, då den personen kan vara öppen för yttre påverkan.

Det borde ligga i varje arbetsgivares egenintresse att ha glada, nöjda och engagerade medarbetare som presterar sitt bästa varje dag. I och med det jag beskrivit ovan finns det nu  ytterligare en orsak till att säkerställa medarbetarens välmående.

Kommentera gärna, tack!

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s