Teknikkene for sosial manipulering, også kalt «Social Engineering», har til formål å stresse de ansatte slik at de fraviker sikkerhetsrutinene i bedriften.
For eksempel kan dette gjøres rundt jul og andre høytider der fokuset er et annet sted, og det er lettere å trå feil. De ondsinnede hackerne utnytter ytre hendelser til sin fordel.
Sosial manipulering - hvordan?
Det finnes mange ulike teknikker for sosial manipulasjon, og de er hele tiden i endring.
Her er fem teknikker som du som bruker bør være på vakt for:
1. Tidspress
Målet er å få deg til å bli stresset til å ta irrasjonelle handlinger.
Eksempel:
Du får en e-post om at det har blitt trukket et stort beløp fra kontoen din som vil gå gjennom hvis du ikke logger inn og stopper overføringen innen en viss tid.
2. Frykt og autoritet
Her vil svindleren skremme deg til å oppgi opplysninger.
Eksempel:
Du får e-post om at det allerede har skjedd et sikkerhetsbrudd, og at du derfor må endre passord. I realiteten vil du da oppgi påloggingsinformasjonen til svindlerne.
3. Nysgjerrighet
Svindlerne utnytter nysgjerrigheten i oss.
Eksempel:
Du finner en gjenglemt pinnepenn utenfor kontoret. Ved å koble denne til PC-en kan du få inntrykk av at den er tom, men i realiteten har den allerede installert et virus.
4. Belønning og økonomi
Her prøver svindlerne å få deg til å fokusere på den potensielle belønningen, heller enn de mulige skadelige konsekvensene.
Eksempel: Du får en e-post om at du har vunnet, og at du må oppgi personopplysninger for å få utlevert premien din.
5. Sjarm, vennlighet og empati
Ved hjelp av sjarm og vennlighet spiller svindlerne på empati for å få deg til å oppgi informasjon.
Eksempel: Du får en e-post fra en bekjent som ønsker støtte til en god sak. I virkeligheten er denne avsenderkontoen hacket eller forfalsket.
Phishing
Alle disse teknikkene kan brukes i svindelmetoden «phishing», også kalt nettfiske på norsk. Her brukes sosial manipulasjon for å «fiske» etter sensitive opplysninger som brukernavn og passord, betalingsopplysninger og liknende.
Svindlerne kan gjerne vente i flere måneder fra de får tak i informasjonen til de slår til. Det gjør det vanskelig å oppdage når du har blitt hacket.
Ofte vil også denne typen svindel slippe gjennom et vanlig spamfilter i den første perioden. E-posten inneholder ingen farlig kode, og den falske påloggingssiden kan se legitim ut.
Det er derfor viktig å være skeptisk hvis grammatikken eller innholdet i e-posten virker mistenkelig.
Et av de viktigste sikkerhetstiltakene du kan gjøre er å lære opp de ansatte til å være årvåkne og kritiske til hvor de oppgir sensitive opplysninger.
Vi har tidligere skrevet om hvordan du kan avsløre et phishingangrep
Vil du lære mer om hvordan kan du styrke IT-sikkerheten i din bedrift?
Se opptaket av vårt gratis webinar «Hvordan jobbe sikkert og effektivt?» hvor vi forteller om dagens trusselbilde og hvordan du kan beskytte bedriften din.
Se opptaket av webinaret om IT-sikkerhet
Fyll inn skjemaet for å bli videresendt til opptaket. Du vil også få tilsendt en lenke på e-post.