Brand & Sikring Social Engineering Social Engineering handler om at manipulere folk til at gøre noget, de ellers ikke ville gøre, gennem psykologisk manipulation og bedrageri. Betegnelsen dækker en bred vifte af metoder og tricks til at skaffe sig adgang til bygninger, informationer eller data, som ikke burde være tilgængelige. I modsætning til traditionel hacking bevæger Social Engineering sig i grænselandet mellem den fysiske sikkerhed og cybersikkerhed, hvor angriberen interagerer med brugeren for at skaffe sig adgang til systemerne. Simulerede angreb afslører sikkerhedshuller Danske virksomheder er sårbare over for angreb med Social Engineering. Halvdelen af alle angreb trængte igennem, da DBI og Alexandra Instituttet angreb tre virksomheder med metoden. Ny service skal derfor hjælpe virksomheder med at sikre sig mod den avancerede form for IT-angreb. D e fleste virksomheder har styr på deres tekniske ITsikkerhed. Firewalls, antivirus, spamfiltre og alskens andre sikkerhedsforanstaltninger er på plads og hindrer hackere i at få adgang til systemer og data. Det er besværligt at hacke sig igennem opdaterede sikkerhedsforanstaltninger – og dermed betydeligt hurtigere og mere enkelt at narre virksomhedens medarbejdere til at give sig adgang. Teknikken hedder Social Engineering, og metoderne er mange. Fælles for dem er dog, at de ofte er vel planlagte, og at hackeren bringer offeret i en situation, hvor det føles rigtigt at hjælpe ham. Over for den type angreb er de danske virksomheder væsentligt dårligere sikret. Det viser resultaterne af det såkaldte SAVE-projekt, som DBI og Alexandra Instituttet har udført i løbet af det seneste år. Projektet gik i al sin enkelthed ud på at teste, hvor godt beredskabet hos de danske virksomheder er over for cyberangreb, der benytter Social Engineering. Tre virksomheder, der helt eller delvist er del af kritisk infrastruktur i Danmark, som teleindustri, elforsyning og hospitalsdrift, blev angrebet. Knap halvdelen af alle angreb lykkedes. » Selv folk, der var informeret om, at de ville blive ang rebet, faldt i. Dennis Hansen, Open Source Intelligence (OSINT)-konsulent, DBI Kan ramme alle Den høje succesrate for angrebene bør være et advarselstegn for alle danske virksomheder. Også dem, der ikke var med i projektet, og som ikke mener, at Social Enginee ring er en trussel mod deres forretning. - Alle virksomheder har noget, der er værd at gå efter – om det er immaterielle rettigheder, bankforbindelser eller bare adgang til systemer. Det afhænger af målet med angrebet. Det er derfor for nemt at sige, at det aldrig sker for os, så vi behøver ikke at sikre os, siger Christian W. Probst, der er lektor på DTU Compute med flere års erfaring med interne trusler i systemer, herunder Social Engineering. En af udfordringerne med Social Engineering er nemlig, at det kan udspille sig i mange scenarier. Generelt handler det om at få nogen til at gøre noget, de ikke burde gøre – f.eks. få en receptionist til at lukke én ind i virksomheden. - Social Engineering udnytter vores menneskelige lyst til at hjælpe andre. F.eks. ved at komme som bud med en meget tung pakke i hænderne. Selvom receptionisten godt ved, at hun eller han ikke skal lukke hvem som helst ind, vil vedkommende gerne hjælpe og kan derfor være tilbøjelig til at bryde reglerne i sådan en situation, siger Christian W. Probst. Et andet eksempel kunne være at dukke op forklædt som julemand den dag, der er julefrokost i virksomheden. For hvem stopper julemanden? Og når man først er inde, kan man hurtigt klæde om, så man ligner en medarbejder, og så har man i mange tilfælde uhindret adgang til f.eks. computere. I virkeligheden behøver man dog slet ikke at dukke op i virksomheden for at udføre Social Engineering. - I 2014 blev en tysk stålfabrikant udsat for angreb med phishing, dvs. en mail med en troværdig historie, der gav medarbejderne indtryk af at være vigtig og noget, de skulle reagere på ved at trykke på et link i mailen. Linket installerede malware på nogle computere, som gav hackerne adgang til virksom- 28
Download PDF fil
Se arkivet med udgivelser af Brand & Sikring her