Mennesket kan også blive hacket
– lær at beskytte dig!

Når Thomas fra it-afdelingen ringer til dig og fortæller, at din pc behøver backup, og han derfor behøver dit password – vil du så give ham det? De fleste siger nej, men virkeligheden er en helt anden.

Udnyttelsen af mennesker for at opnå adgang til en virksomheds systemer hedder ”social engineering” – og kan kaldes for hacking af mennesker. De kriminelle manipulerer os til at bidrage med informationer eller udføre handlinger, som eksempelvis at klikke på links, svare på mails, installere malware eller endda give dem fysisk adgang til virksomheden. Så selvom virksomheden måske er it-sikret, er det medarbejderne der i virkeligheden er sikkerhedsbristen.

“The weakest link in any security chain is always human”, Kevin Mitnick, sikkerhedskonsulent og tidligere verdensberømt hacker.

Vi er for flinke

Hacking er ofte forbundet med computere og teknik, men også mennesker kan blive hacket. De fleste medarbejdere er instrueret i at være hjælpsomme og servicemindede, og den indstilling kan de kriminelle udnytte til at skaffe sig adgang til ellers hemmelige oplysninger.

De fleste medarbejdere er instrueret i at være hjælpsomme og servicemindede, og den indstilling kan de kriminelle udnytte til at skaffe sig adgang til ellers hemmelige oplysninger

Et typisk forsøg på ”social engineering” kan være et opkald, hvor den kriminelle forsøger at lokke hemmelige eller personfølsomme oplysninger ud af dig ved f.eks. at udgive sig for at være en anden medarbejder fra samme firma. Det kan være it-medarbejderen, der lige skal bruge nogle oplysninger, økonomi-afdelingen, der skal bruge nogle tal, eller noget helt tredje. Samme scenarie kan også foregå via såkaldte phishing-mails, hvor tilsyneladende troværdige mails vil narre dig til at videregive fortrolige oplysninger eller installere skadelig software.

I disse digitale tider ligger rigtig mange oplysninger tilgængelige på nettet via hjemmesider og sociale medier. Med disse oplysninger kan hackeren spinde en troværdig løgn, når de vil narre oplysninger ud af offeret. Derudover kan de også manuelt undersøge affaldet og følge efter offeret for at skaffe sig yderligere oplysninger.

Pas på med at holde døren

Den sociale hacker kan også fysisk møde op på arbejdspladsen og skaffe sig adgang til ellers aflåste områder ved at følge tæt efter de ansatte, bede dem holde døren el.lign. Alt der kræves, er blot en troværdig ’forklædning’ som medarbejder, rengøring, planteservice eller andet personale, der normalt har sin daglige gang i lokalerne.

Hvis først den kriminelle på den ene eller anden måde har fået adgang til arbejdspladsen, så er det ingen sag at lægge lidt lokkemad ud. Det kan være en USB, CD eller lignende, der tilsyneladende hører til virksomheden, men er blevet ’tabt’ et trafikeret sted i virksomheden. Med stor sandsynlighed vil en nysgerrig medarbejder samle lokkemaden op og sætte den i sin computer, hvilket automatisk installerer skadelig software.

Oplyste kodeord for en kuglepen

Scenarierne ovenfor virker måske ekstreme for nogen, men den menneskelige hacking finder sted i virkeligheden. I 2003 blev der foretaget en informationssikkerhedsundersøgelse, hvor 90 % af deltagerne gav deres arbejdskodeord væk i bytte for en billig kuglepen. En del har ændret sig siden 2003, men lignende undersøgelser er siden blevet gennemført, hvor resultatet stort set var det samme. Så når Kevin Mitnick siger, at det svageste led i it-sikkerhedskæden er mennesket, så har han faktisk ret.

Sådan gennemskuer du et forsøg på social engineering

Hvis du får en henvendelse udefra, kan du blandt andet se på om vedkommende:

  • Nægter eller tøver med at oplyse præcis hvem han/hun er – og hvordan han/hun kan kontaktes. Specielt hvis du får at vide “Jeg kan ikke kontaktes i dag – jeg skal nok ringe tilbage til dig.”
  • Har travlt eller skynder på dig
  • Bruger meget “name-dropping” – eksempelvis “Din chef, Jens, har bedt mig om…” eller “Jeres it-mand, Simon, sagde du skulle…”
  • Forsøger at skræmme dig til at gøre noget. Eksempelvis “Hvis du ikke….., så kan du jo nok se, at vi ikke kan nå projektet indenfor tidsplanen” eller “Nu må du tage dig sammen, ellers er det dit job, der hænger i en tynd tråd”
  • Kommer med mærkelige spørgsmål, der ikke passer ind i sammenhængen eller ind i virksomheden, du arbejder for. Staver eller udtaler navne forkert.
  • Beder om personfølsom eller klassificeret information

HUSK at social engineering ikke altid er ensbetydende med en direkte henvendelse fra en person. Du kan også blive narret til at give følsomme oplysninger i webformularer, mails, og på papir. Pas på hvad du smider i din papirkurv; klassificeret information bør makuleres.

 Hvordan bliver du sikker – som medarbejder?

  1. Vær bekendt med virksomhedens sikkerhedspolitik
  2. Vær kritisk over for henvendelser fra personer, du ikke kender – især hvis det handler om følsomme oplysninger
  3. Åbn links og vedhæftninger med omtanke – uanset hvor officiel eller troværdig afsender fremstår
Se flere artikler
Der er ikke flere artikler. Se alle aktuelle temaer

Skriv en kommentar

Skriv dit navn og e-mail (e-mail vises ikke) eller log ind via en af dine sociale profiler. Vi bruger kun navn og billede til visning af din kommentar.