Brand & Sikring DBI-projekt skal forhindre social hacking Medarbejdere udgør den største risiko for IT-sikkerheden. Især når de bliver udsat for Social Engineering, der bedst kan beskrives som hacking af mennesker. Det skal et nyt projekt ved navn SAVE forhindre. E n ny medarbejder i en virksomhed falder i snak med en tilfældig person på en café. Det viser sig, at de arbejder med det samme, og at de endda holder med det samme fodboldhold. De taler samme sprog. Efterfølgende tager personen kontakt og spørger, om medarbejderen har tid til et frokostmøde på hans arbejdsplads. Netværket skal jo plejes, så de mødes et par gange, og personen har en naturlig interesse i medarbejderens arbejde, som han måske viser på sin computer over en frokost. Pludselig kommer der en henvendelse fra en kunde, så han træder ud af lokalet i et kort øjeblik. Situationen virker måske ganske tilforladelig, men i virkeligheden bliver medarbejderen manipuleret, og virksomheden er under angreb. For personen er en Social Engineer, og han er godt i gang med at skaffe sig adgang til virksomhedens IT-systemer ved at menneskehacke medarbejderen. - Social Engineering er i stigende grad en sikkerhedstrussel. Der er ikke megen fokus på det i forhold til cybersikkerhed, men det men- neskelige element, brugerne, udgør den største risiko for IT-systemer i dag, siger Dennis Hansen, der er efterforskningskonsulent hos DBI. Derfor har DBI sammen med Alexandra Instituttet startet projektet SAVE – Social Engineering and Vulnerability Assessment Framework, der skal skabe opmærksomhed om truslen ved Social Engineering og cyberangreb. Projektet tager udgangspunkt i de systemer, der ligger bag kritisk infrastruktur, som f.eks. finansielle institutioner, sygehuse, elforsyning, vandforsyning og telekommunikation. Svindel version 2.0 Social Engineering er ikke nyt i sig selv. Men det bliver anvendt på ny vis i disse år. - Teknikken har udviklet sig. Tidligere handlede Social Engineering meget om det menneskelige møde, men i takt med den samfundsmæssige udvikling har det udviklet sig til en 2.0-version, hvor man forud for mødet benytter sig af informationer fra åbne kilder, forklarer Dennis Hansen. Hvis en angriber f.eks. udser sig en virksomhed som mål, er det nemt at finde ud af, hvor mange ansatte der er, hvad de hedder, hvad deres e-mails og telefonnumre er, hvem der er bedst at rette henvendelse til, og hvem der formentlig er gatekeeper på den information, man vil have. - Og ved hjælp af sociale medier som Facebook, LinkedIn og Pinterest kan man kortlægge relationer og bestemme medarbejdernes personlighedstyper; hvem er åbne, hvem er lukkede, hvor længe har de været på arbejdspladsen, er de glade eller utilfredse, hvilke interesser har de, og hvor færdes de. De informationer bruger man til at bestemme, hvor muligheden for at lykkes med et angreb er størst, som f.eks. ved et phishing-forsøg, hvor man forsørger at narre folk til at klikke på links eller indtaste deres brugernavn og password, som herefter kan udnyttes af angriberen. Vi deler mere information, den er lettere at få fat på, og dermed er den lettere at misbruge, siger Dennis Hansen. SAVE SAVE (Social Engineering and Vulnerability Assessment Framework) er et projekt, der skal påvise, at Social Engineering er en trussel for den kritiske infrastruktur i Danmark og samtidig komme med anbefalinger til, hvordan man håndterer risikoen. Projektet udføres i et samarbejde mellem DBI og Alexandra Instituttet, som er en non-profit-virksomhed og et GTS-institut, der arbejder med IT-teknologi og -forskning. Forsvarsakademiet finansierer projektet, som løber frem til slutningen af 2015. Social Engineering Social Engineering handler om at manipulere folk til at gøre noget, de ellers ikke ville gøre, gennem psykologisk manipulation og bedrageri. Betegnelsen dækker en bred vifte af metoder og tricks til at skaffe sig adgang til informationer og data, som ellers ikke ville være tilgængelig. I modsætning til traditionel hacking bevæger Social Engineering sig i grænselandet mellem den fysiske og virtuelle sikkerhed, hvor angriberen interagerer med brugeren for at skaffe sig adgang til systemerne. 26
Download PDF fil
Se arkivet med udgivelser af Brand & Sikring her