Social engineering er ikke noget nyt. Langt før computere kom ind i vores liv, blev mennesker snydt ved hjælp af psykologiske tricks. Tilbage i 1947 blev der udgivet en bog med titlen "Illustrated Circular of Confidence Tricksters and Expert Criminals". Denne bog var et "Who's who af internationale svindlere". Vi spoler frem til 2021, og de internationale kriminelle bander anvender en mere digital tilgang til at snyde folk for penge, data og loginoplysninger fra virksomheder. Selv om der kan gå årtier, ja, endog århundreder, mellem svindleres svindelkampagner, har de alle én ting til fælles: gamle og nye svindlere bruger social engineering til at få det, de vil have.
Social Engineering: Tricks i Phishing-handel
Det kræver kun et enkelt klik at ende med en potentielt inficeret enhed. Denne infektion kan sprede sig som en steppebrand over virksomhedens netværk og alle tilsluttede enheder. Infektionen kan ende med at koste en virksomhed enorme summer i form af nedetid, tabte data og et skadet omdømme.
Oplevelsen med et enkelt klik er det, som både marketingfolk og cyberkriminelle stræber efter. Ved at skabe en situation, hvor folk ikke behøver at tænke for meget, før de handler, kan du bedre fange et publikum.
Markedsførere ønsker at fremkalde en følelsesmæssig reaktion på en markedsføringskampagne og engagere den enkelte med et produkt så meget, at de klikker for at få flere oplysninger eller, endnu bedre, klikker for at købe.
Cyberkriminelle ønsker også at få denne "knæ-rykte reaktion", så de bruger lignende taktik for at få mennesker til at klikke.
Digitale kriminelle har fordele i forhold til deres tilsvarende ikke-digitale svindlere. De har f.eks. en større rækkevidde, idet de cyberkriminelle anvender en "spray and pay"-tilgang, hvor de bruger massephishing-kampagner til at nå ud til millioner af målgrupper. Eller svindlere kan blive personlige og bruge målrettet spear-phishing, der fokuserer på en enkelt person.
Phishing-angreb er bygget op omkring menneskelig adfærd - det, der får os til at ticke, får os til at klikke. Meget af dette skyldes den stille træning, vi alle har fået i brugen af internettet. Web- og app-designere fokuserer på at skabe en "seamless UX", dvs. en nem brugeroplevelse, der er baseret på en problemfri interaktion mellem teknologi og mennesker. Resultatet er, at vi alle er vant til at følge bestemte adfærdsmønstre i den digitale verden. Det er disse mønstre, som cyberkriminelle bruger til at narre os til at klikke handling.
Spotte tegnene på social engineering
De teknikker, som cyberkriminelle bruger til at narre den menneskelige hjerne til at handle på en udløser, er typiske for den måde, vi normalt udvikler menneskelige relationer på:
Tillid: Ved at bruge et velkendt mærke som grundlag for en phishing-e-mail kan svindleren bruge tillid til at hacke et menneske. Populære mærker til phishing-kampagner med massemål omfatter Office 365, Facebook, Google og eBay. Mere målrettede kampagner kan dog vælge et mærke, der er tættere knyttet til en virksomhed, f.eks. en specifik webapp eller en leverandørportal. Disse kampagner kan gøre phishing-e-mails endnu vanskeligere at opdage og tilføje et ekstra tillidselement til angrebet, hvis det forfalskede mærke er tæt forbundet og meget genkendeligt for målet. Selv sikkerhedsleverandører kan blive ofre for brand-spoofing i phishing-kampagner: Check Point Software, en betroet sikkerhedsleverandør, fik sit mærke brugt på et phishingwebsted.
Nysgerrighed og hastværk: Dette er typiske elementer i en phishing-kampagne. Svindlere narrer brugerne til at udføre deres opgaver ved at få dem til at tro, at de har med en betroet enhed at gøre, og at opgaven haster. Et eksempel på dette er en Office 365-phishingkampagne fra 2020. Forskere identificerede en kampagne, der startede med, at en medarbejder modtog en e-mail med en "missed voice message". Brugerne blev bedt om at klikke på en knap for at gå ind på deres Office 365-konto for at få adgang til den glemte besked. Meddelelsen viste også en meddelelse om "Message from Trusted server" øverst i e-mailen for at bygge på "tillidselementet". Hvis brugeren klikkede på knappen og indtastede legitimationsoplysninger på det falske Office 365-websted, ville disse oplysninger blive stjålet.
Den overbevisende stemme: Overtalelse spiller en stor rolle i phishing-succes. Ifølge Cialdinis forskning i markedsføring er der seks grundlæggende principper, der bruges til at påvirke kundernes adfærd. Disse principper blev sammen med lignende forskning i overtalelse og påvirkning anvendt af et forskerhold, der undersøgte, hvordan social engineering fungerer i forbindelse med phishing. Forskerne fandt frem til fem nøgleelementer i meget overbevisende og dermed vellykkede phishing-kampagner:
- Myndighed: Brug af et autoritativt navn, f.eks. en virksomheds administrerende direktør
- Sociale beviser: Opbyg en kampagne, der bruger gruppepres til at tilskynde til adfærd
- Lyst, lighed, bedrag: Succesfuld overtalelse virker, når personer eller emner er velkendte
- Forpligtelse, gensidighed og konsistens: Folk kan lide at være konsekvente og kan lide at tro på, hvad andre siger og gør: at tilbagebetale en tjeneste, f.eks.
- Distraktion: Ved at skabe en følelse af, at det haster, f.eks. at en vare bliver dyrere, hvis du ikke handler nu, kan en svindler distrahere en person fra tegnene på svindel.
Følelser i forbindelse med social engineering
Følelsesmæssige reaktioner er de reaktioner, der er dybt forankret i os alle. Brugen af overtalelse og følelsesmæssig manipulation i phishing-kampagner blev undersøgt i en undersøgelse fra 2018, der blev offentliggjort af American Psychological Society. Forskerne kiggede på "følelsesmæssig ophidselse som en svindeltaktik". Undersøgelsen viste, at folk i alle aldre reagerede på både positive og negative overtalelsesbudskaber og traf dårlige beslutninger, når de reagerede. Undersøgelsen fastslår, at "følelsesmæssig ophidselse kan påvirke modtagelighed for vildledende information, og at denne effekt forekommer hos både ældre og yngre voksne". Denne adfærd spiller svindleren fint i hænderne, og phishing-meddelelser indeholder ofte en komponent, der fremkalder en følelsesmæssig reaktion, som det ses i eksemplerne ovenfor.
Sådan sikrer du dig mod social engineering
Social engineering er farligt, fordi det bruger vores naturlige adfærd til at få os til at klikke på et skadeligt link eller downloade en inficeret vedhæftet fil. Men phishing-svindlere tilpasser også teknikker og værktøjer for at sikre fortsat succes. De skiftende mønstre for phishing kombineret med en sofistikeret manipulation af målene gør denne lumske cyberkriminalitet til en af de vanskeligste at håndtere. Der findes ingen enkelt løsning til at forhindre phishing-succes. I stedet er der brug for en blanding af uddannelse i sikkerhedsoplysning og tekniske løsninger for at opdage og forhindre et phishingforsøg.
