Knowit Secure

Vi gjør IT sikrere!

Social Engineering – Hacking av mennesker

SESosial manipulasjon, eller social engineering (SE) som det kanskje er bedre kjent som, er ganske enkelt «å bruke billige skitne triks for å få folk til å gjøre det du vil» (fritt oversatt definisjon av Brian Brushwood). Det er en form for hacking, en veldig fascinerende og skremmende form for hacking… Og den kan gjennomføres med minimal bruk av datamaskiner!


Målet med social engineering er å lure folk til å gi ut sensitiv informasjon og er ofte ett av flere steg en angriper bruker for å få tilgang til nettverk, systemer eller informasjon.

Social engineering er ikke noe nytt, bare tenk på den originale trojanske hesten hvor grekerne lurte seg inn bak murene i Troja og kunne angripe fra innside. Store, hule, trehester er kanskje ikke vanlig i dag, men andre former er:

  • Phishing: Hvem er vel ikke på utkikk etter snarveier til rikdom og lykke? Generelt nysgjerrig? Eller vil gjerne blidgjøre andre? Disse menneskelige egenskapene kan utnyttes på flere måter. E-poster som lover gull og grønne skoger om du bare tar kontakt med avsender og gir fra deg litt personlig informasjon er neppe ukjent for de fleste, eller andre e-poster som prøver å få deg til å klikke på linker eller åpne vedlegg som kan lede til at programvare installeres på maskinen din?
  • Baiting: En annen måte å utnytte vår nysgjerrighet. Finner du en USB minnepinne eller en CD på veg til jobb, ikke plugg den inn i datamaskinen din! Om du må se hva som finnes der må du sjekke at det ikke er noe ondsinnet som lurer der først.
  • Elicitation: Samtaler som i utgangspunktet virker normale og uskyldige kan være en måte for andre å få tak i sensitiv informasjon etter som det etableres et tillitsforhold.
  • Pretexting: Noen presenterer seg som noen de ikke er for å få tak i personlig informasjon. Kan for eksempel være at noen sier de ringer fra banken din og ber deg oppgi sensitiv informasjon over telefonen slik at de kan være sikre på at de snakker med riktig person.
  • Tailgating: Om noen klarer å lure seg inn på et område som normal ter avgrenset ved å følge etter noen som har tilgang.
    Om du stopper og tenker etter vil du sikkert innse at social engineering er urovekkende. Relativt enkle metoder kan lede til katastrofale konsekvenser for deg eller din virksomhet.

Noen tiltak som hjelper deg redusere risikoen for å bli utsatt for social engineering er:

  1. Start en bevissthetskampanje med å finne ut hva målgruppen vet om sikkerhet. På den måten vil du vite hva du må fokusere på.
  2. Gjennomfør opplæringen, helst ved at du deler budskapet opp i mindre, lett fordøyelige, biter som kommer regelmessig.
  3. Simulerte angrep kan være en god måte å synliggjøre utfordringene med social engineering og vil vise hvor godt forberedt din virksomhet er.

Andre tester

Så, sosial manipulasjon kan brukes alene eller som ett av stegene i en penetrasjonstest og kan bruke menneskelige svakheter eller uvitenhet til å få tilgang eller informasjon som kan utnyttes videre. I en sikkerhetstest fokuserer vi som regel på sikkerheten i ett eller noen få systemer med tette bånd, og prøver å finne sårbarheter i disse.

Uansett hva slags test som skal gjøres er det mange, mange, muligheter. Vil du vite mer, eller har du behov for å gjennomføre en test, er det bare å ta kontakt!


Bjørn-Are (med hjelp fra andre i Knowit Secure),
Seniorkonsulent hos Knowit Secure; Et firma med spisskompetanse på IT- og informasjonssikkerhet, der de ansatte er Norges dyktigste på sine felt innen sikkerhetstesting og sikkerhetsrådgivning.

Om BA Karolius

Seniorkonsulent innen informasjonssikkerhet hos Knowit Secure AS.

2 kommentarer på “Social Engineering – Hacking av mennesker

  1. Tilbaketråkk: Sikkerhetstesting av applikasjoner | Knowit Secure

  2. Tilbaketråkk: IT sikkerhet | THM blogging

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Informasjon

Dette innlegget ble postet den desember 2, 2015 av i Social Engineering med stikkord , , , , , , , , , .

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: