«De som er villige til å ofre grunnleggende frihet for en smule midlertidig trygghet, fortjener verken frihet eller trygghet.» – Benjamin Franklin
Sosial manipulering, eller «social engineering», har lenge vært et sentralt tema innenfor sikkerhetsdiskusjoner. Mange eksperter i bransjen har viet den mye oppmerksomhet. Likevel er det ikke alle som fullt ut forstår den potensielle risikoen og hvor alvorlig den faktisk kan være.
For hackere representerer sosial manipulering ofte den enkleste og mest effektive måten å omgå sikkerhetstiltak. Internettets fremvekst har gitt oss utrolige muligheter for kommunikasjon og tilkobling, men det har samtidig skapt sårbarheter som kan utnyttes for å krenke personlig informasjon og privatliv.
Helt siden de tidligste tider har mennesker benyttet seg av metoder for å kode og beskytte informasjon. En velkjent metode fra antikken er Caesar-chifferet, der meldinger kodes ved å forskyve bokstavene i alfabetet. For eksempel, «hei verden» kan med en forskyvning på 1 plasseres som «iffmm wfsefo». For å dekode denne meldingen, må mottakeren flytte bokstavene en plass tilbake i alfabetet.
Denne enkle kodingsteknikken holdt stand i nesten 2000 år!
I dag har vi mer avanserte sikkerhetssystemer, men sikkerhet er fortsatt en kontinuerlig utfordring.
Det finnes et bredt spekter av teknikker som hackere bruker for å skaffe seg tilgang til viktig informasjon. La oss ta en kort titt på noen av disse teknikkene for å forstå hvorfor sosial manipulering er en så alvorlig trussel.
Brute Force- og ordbokangrep
Et brute force-angrep innebærer at en hacker benytter spesialverktøy for å forsøke å trenge inn i et system ved å prøve alle mulige passordkombinasjoner. Et ordbokangrep går ut på at angriperen prøver å gjette passordet ved hjelp av en liste med vanlige ord fra en ordbok.
Selv om et brute force-angrep i dag kan være svært effektivt, er det mindre sannsynlig å lykkes på grunn av dagens komplekse sikkerhetsalgoritmer. For å illustrere, hvis passordet mitt er «min_passord@123!!», med totalt 22 tegn, ville det ta en datamaskin 22 faktorial beregninger for å gjennomgå alle mulige kombinasjoner. Det er et astronomisk antall.
I tillegg brukes hashing-algoritmer som konverterer passordet til en hash-verdi, noe som gjør det enda vanskeligere for et brute force-system å knekke. For eksempel kan passordet nevnt over hashes til d734516b1518646398c1e2eefa2dfe99. Dette legger til et betydelig lag med sikkerhet. Vi skal se nærmere på sikkerhetsteknikker senere.
Dersom du er en WordPress-eier og trenger beskyttelse mot brute force-angrep, finnes det gode veiledninger for det.
DDoS-angrep
Kilde: comodo.com
Distribuerte tjenestenektangrep, eller DDoS-angrep, oppstår når en bruker hindres i å få tilgang til legitime internettressurser. Dette kan skje på brukersiden eller på tjenesten brukeren prøver å nå.
Et DDoS-angrep kan føre til tap av inntekter eller brukere. For å utføre et slikt angrep, kan en hacker ta kontroll over flere datamaskiner over hele internett og benytte dem som en del av et «botnett» for å destabilisere nettverket. I noen tilfeller overbelastes nettverket med unyttig trafikk, noe som fører til at nettverksressurser og noder kollapser.
Phishing
Phishing er en form for hacking der angriperen prøver å stjele brukernavn og passord ved å lage falske nettsider som ser ut som legitime påloggingssider. Angriperen sender ofte en e-post som ser ut til å komme fra en pålitelig kilde, som en bank eller et sosialt medie, og inneholder en lenke der brukeren blir bedt om å skrive inn sin påloggingsinformasjon. Disse lenkene fører gjerne til falske nettsteder som er designet for å ligne de ekte.
For eksempel har en phishing-lenke brukt «paypai.com» for å lure Paypal-brukere til å dele sine innloggingsdetaljer.
Et typisk phishing-eksempel:
«Kjære bruker,
Vi har oppdaget uvanlig aktivitet på kontoen din. Klikk her for å endre passordet ditt umiddelbart for å unngå at kontoen din blir sperret.»
Det er en 50 % sjanse for at du har blitt utsatt for phishing. Har du noen gang logget deg på et nettsted, og etter å ha klikket på «Logg inn», blir du likevel ført tilbake til innloggingssiden? Da har du sannsynligvis blitt utsatt for phishing.
Hvordan foregår sosial manipulering?
Selv om krypteringsalgoritmer stadig blir mer avanserte, er sosial manipulering fortsatt en effektiv trussel.
En sosial manipulatør samler inn informasjon om deg for å få tilgang til dine nettbaserte kontoer og andre beskyttede ressurser. Ofte manipulerer angriperen offeret til å avsløre personlig informasjon frivillig. Det som er skummelt, er at denne informasjonen ikke nødvendigvis trenger å komme direkte fra deg.
Målet er ofte ikke den som blir manipulert.
Et kjent telekommunikasjonsselskap i Canada opplevde tidligere i år et sosialt manipulasjonsangrep mot en av sine kunder. Kundeservicepersonalet ble lurt til å avsløre kundens detaljer. Dette førte til et omfattende SIM-bytte-angrep som resulterte i et tap på 30 000 dollar.
Sosiale manipulatører utnytter folks usikkerhet, uforsiktighet og uvitenhet for å lure dem til å avsløre sensitiv informasjon. Med utbredt bruk av fjernhjelp, har organisasjoner opplevd en økning i slike angrep på grunn av menneskelig feil.
Hvem som helst kan bli et offer for sosial manipulering, og det skremmende er at du kan bli hacket uten å være klar over det!
Hvordan beskytte deg mot sosial manipulering?
- Unngå å bruke personlig informasjon som fødselsdato, kjæledyrnavn, barnas navn osv. som passord.
- Ikke bruk et svakt passord. Hvis du sliter med å huske komplekse passord, bruk en passordbehandler.
- Vær oppmerksom på åpenbare løgner. En sosial manipulatør har ofte ikke nok informasjon til å hacke deg direkte. De gir uriktige opplysninger i håp om at du skal gi dem de riktige. Ikke la deg lure!
- Verifiser avsender og domene før du reagerer på e-poster.
- Kontakt banken din umiddelbart hvis du oppdager mistenkelig aktivitet på kontoen din.
- Hvis du plutselig mister mobilnett, kontakt mobiloperatøren din umiddelbart. Det kan være et SIM-bytte-angrep.
- Aktiver tofaktorautentisering (2FA) på tjenester som støtter det.
Konklusjon
Disse tiltakene er ikke en garanti mot sosial manipulasjon, men de gjør det vanskeligere for en hacker å ramme deg.