Det räcker att ha otur en gång

Begreppet är inte nytt, men metoderna blir alltmer avancerade. Så pass avancerade att det numera är avsevärt enklare att trilla dit om man inte är vaksam.

Idag är social engineering ett effektivt sätt att ta sig in bakom de fysiska och tekniska barriärerna för att komma åt IT-systemen. Syftet är lägga vantarna på värdefull information eller ett kunna plantera skadlig kod från insidan.

Varje pusselbit räknas och metoderna för att kartlägga en person eller ett företag är många. Ett vanligt sätt att fiska information från en person är att genom email som ser ut att komma från en trovärdig källa, men innehåller infekterade bilagor.

En annan klassiker är mejl med länkar till  ’roliga’ videos eller ’söta hundar’, mejlen kommer från en gammal bekant, och det råkar vara fredag eftermiddag så du har redan börjat slappna av lite. Lite underhållning kan ju inte skada, eller?

Andra metoder är mer fysiska, som att regelbundet hänga vid företagets lunch-ställe och snappa upp konversationen som sker samtidigt som några medarbetare försöker trycka i sig en sushi innan nästa kundmöte. Lite skvaller, några skämt, kanske lite missnöje som ventileras innan blodsockret har stabiliserat sig.

Eller bara titta över axeln på folks laptops, i hotellobbyn eller i flygplanet, där man på kort tid kan samla stora mängder användarnamn och lösenord.

Alla de här tillvägagångssätten går ut på att man gör en sak och får tillbaka en pusselbit. Men är informationen tillräckligt viktig så ser man till att etablera en relation, digital eller analog. Genom att ge mycket av sig själv så skapar man ett förtroende som man vill kapitalisera på över tid. Och bit för bit läggs pusslet med målet att skörda så mycket information som möjligt.

Är förövarna tillräckligt motiverade så ser man till att metodiskt bearbeta medarbetarna på en arbetsplats. Ett klassiskt exempel är att hänga på samma rökruta under lång tid och bara småsnacka lite då och då för att normalisera närvaron. När man efter en tid utvecklat en kompisrelation så kan förövaren hänga med in genom grindar och kodlås utan att det uppfattas som märkligt. Kanske till och med med en till synes identisk ID-bricka till kortlåset.

Väl inne öppnas oceaner av möjligheter att placera preparerad hårdvara som innehåller key-log för att kunna avläsa allt som skrivs i klartext. Eller att plantera hårdvara i ett system som inte är anslutet till öppet nät, för att få en brygga och ta kontrollen över IT-systemet inifrån.

Ett annat scenario är när förövare går in i ett kontor och plockar så många laptops de hinner med innan de slinker ut. Kommer datorerna från ett högprofil företag så finns det mer pengar att tjäna på informationen som finns på datorerna än att sälja dem på begagnatmarknaden.

Riskerna med social engineering ställer extra krav på stora arbetsplatser där alla inte känner varandra eller företag som växer från små till medelstora med mycket ny personal och ofärdiga processer.

Aningslösheten stor

Det största hotet kommer inifrån och är lika utbrett i små som stora företag. I Sverige har vi en öppenhet och tillit till varandra som är unik i världen. Vi vill gärna tro gott om andra, och tror oftast att ingen i grunden vill oss något illa. Den inställningen ska vi värna om, men vi ska också lägga på ett lager av uppmärksamhet och vaksamhet så att vi slipper den där sura eftersmaken av att ha blivit blåsta.

Botemedlet till social engineering stavas inte tekniska lösningar, utan handlar istället om utbildning. Ibland är de enkla lösningarna de bäst, till exempel att ta bort namn och företagsnamn på passerkorten. Det gör att det inte lika enkelt går att ta sig till en adress och smita in om kortet kommit bort och någon plockat upp det från trottoaren.

Företag och organisationer behöver hålla tätt varje dag. För de kriminella räcker det med att ha turen med sig en enda gång.