Apr 1, 2025

Social Engineering - Cyberbrottslingens bästa vän

Du har skaffat den bästa säkerhetsdörren på marknaden, toppmodern kameraövervakning och ett kassaskåp som hade fått Ludwig Dieter att ge upp i frustration. Sen lämnar du altandörren vidöppen, kassaskåpskoden på skrivbordet och sätter upp en skylt med texten: "Välkommen in, kaffet är på!".

Lite krasst och ironiskt är det nog så cyberbrottslingar ser på många företag idag. 70% av alla cyberattacker innefattar social engineering och det gör att vi människor är den svagaste länken i skyddet, inte senaste cybersecurity-produkten, ett SOC eller om du har det fräsigaste inpasserings-systemet. Det är du och jag som ger nycklarna till kassaskåpet.

Social engineering är ett enormt kraftfullt redskap som utnyttjar våra mänskliga svagheter genom manipulation och psykologi i kombination som sen kompletteras med teknisk kunskap.

Vad är Social Engineering?

Social engineering handlar om att utnyttja mänskliga brister, manipulation och psykologi snarare än tekniska sårbarheter. I stället för att hacka sig igenom en brandvägg, lurar angriparen en anställd att själv öppna dörrarna. Enligt en rapport från Verizon Data Breach Investigations Report inleds över 70 % av alla cyberattacker med någon form av social engineering. Det är alltså ingen nischmetod, det är huvudmetoden in.

Området är väldigt brett och jag är heller inte en expert på just själva definitionen eller exakt vad (om det skulle finnas en definition) som ingår. Jag bryr mig mest om att det är manipulation på hög nivå som kan få vem som helst att trilla dit om man inte är uppmärksam. Det innefattar, enligt mig, alla sätt där mänsklig interaktion gör att angriparen kan skaffa sig information som han / hon inte skall ha.

  • Visa inte din skärm med känslig information på tåget
  • Prata inte i telefon om känsliga saker i offentliga miljöer
  • Klicka inte på länkar du inte vet vad det är (phishing)
  • Var aktsam när "it-supporten" ringer och behöver dina uppgifter för en uppgradering (vishing)
  • Plocka inte upp USB-stickan på parkeringen och testa den

När jag skriver detta känns det som att jag nedvärderar oss som individer genom att ens tro att vi skulle gå på dessa aktiviteter, men vi gör det, vi alla gör det. De är så enormt duktiga på att manipulera så att vi alla kan gå på det.

....om vi inte är uppmärksamma, utbildade och även övade i hur vi skall identifiera och hantera dessa aktiviteter.

Förmågeportalen - Myndigheten för Psykologiskt Försvar (MPF)

Myndigheten för Psykologiskt Försvar har nyligen lanserat Förmågeportalen som ett stöd. De benämner området som "Otillbörlig informationspåverkan" och även om jag uppfattar det som lite bredare än det jag nämner i denna post så passar den väldigt bra in. Informationen är främst riktad till offentliga aktörer, men fungerar självklart för företag också.

MPF - Förmågeportalen

De nämner ofta en process i tre steg och nedan är klippt från Förmågeportalen hos MPF:

  1. Förebygga - Lär dig känna igen hotet Förbered och minska sårbarheten för otillbörlig informationspåverkan. Lär dig identifiera risker, förbereda kommunikationen och skapa ett samordnat internt arbetssätt.
  2. Hantera - Upptäck och möt hotet Agera effektivt när informationspåverkan pågår. Upptäck, analysera och hantera situationen genom samordning och strategisk kommunikation.
  3. Utveckla - Stärk organisationen Ta vara på kunskapen som organisationen har samlat in och att utveckla den. Utbilda och genomför övningar för att stärka organisationen.

Varför social engineering är så farligt

Det kan också vara värt att nämna att hade vi inte haft alla andra skydd så hade troligt inte social engineering varit lika populärt, det är lite av "the last outpost" dvs den sista svaga länken och vi människor är den svaga länken.

Här är tre anledningar till varför social engineering är en av de största riskerna idag:

  1. Det kräver minimalt tekniskt kunnande
    En välformulerad lögn eller kikandes över axeln på tåget kan ofta vara effektivare än den mest avancerade tekniken. Kunnande krävs så klart, men då mer inom manipulation och psykologi.
  2. Det är svårt att upptäcka
    Angreppet sker i den mänskliga interaktionen, inte i en kodrad eller nätverkspaket. Många känner dessutom skam när de drabbats vilket ger att många inte rapporterar att de utsatts.
  3. Det utnyttjar stress och rutinbeteenden
    Ett samtal mitt i lunchpausen eller en brådskande begäran från "chefen" kan få även den mest säkerhetsmedvetna att släppa garden.

Ibland när jag reser så brukar jag vara uppmärksam och se hur personer beter sig. Sista tiden har det resulterat i tre bloggposter. Hade jag varit illasinnad hade jag lätt kunna orsaka stor skada vid alla tre tillfällen.

Vad många missar vad gäller cybersäkerhet

Prata inte företagshemligheter på indiska lunchrestaurangen

Åker tåg igen, såg alldeles för mycket företagskänslig information

Sammanfattning

Social engineering är populärt och framgångsrikt för de som är illasinnade. Det är effektivt, svårt att upptäcka och kräver inga avancerade verktyg. Om du inte vill att din säkerhetsdörr ska bli meningslös, se till att du inte lämnar altandörren öppen genom att falla för en smart lögn. Det bästa försvaret? Kunskap, utbildning, övning, kritiskt tänkande och en rejäl dos sunt förnuft.

Eftersom 70% av alla intrång inleds genom social engineering är det inget vi bör negligera.


© 2025 Fredrik Stenbeck.