Har du också fått mail där det står att du vunnit pengar eller kan tjäna miljoner kronor genom en enkel transaktion? Det finns bara ett litet problem. En mindre avgift måste betalas innan allt går i lås.
Det här är ett klassiskt nätfiske som bara 3 promille faller för, berättar Marcus Nohlberg under seminariet om social engineering som SAIS anordnat. Däremot är kostnaden och risken för att genomföra bedrägeriet nästan obefintlig. Det finns organiserad brottslighet i Ryssland som är så strukturerad att de till och med har picknick med personalen. Brottsligheten sköts som ett modernt företag.
Torbjörn Lofterud,
senior säkerhetskonsult på Cybercom.
De tekniska hjälpmedlen för social engineering blir allt mer avancerade. Ett exempel är en tjänst som raggar åt killar, berättar Marcus Nohlberg, doktor i informationssäkerhet. En dator kommunicerar på nätet med ett antal kvinnor. När någon av dem är villig att träffas, då tar mannen som köpt tjänsten vid.
Men det finns det väldigt få exempel på renodlade social engineering attacker där någon pratar sig in i en byggnad och installerar en trojan på en viktig server. Anledningen är att de människor som är vältaliga, har hög teknisk kompetens och ser trovärdiga ut ofta har för mycket att förlora. Risken är för stor.
– De har av naturliga skäl familj, jobb, bil, båt och överlag ganska bra liv. De kommer inte att genomföra en social engineering attack annat än om de är anställda av säkerhetstjänsten, säger Torbjörn Lofterud, senior säkerhetskonsult på Cybercom.
Men just faktumet att den typen av attacker är så ovanliga gör dem ytterst farliga. Vi är helt enkelt inte förberedda. Då och då dyker det upp en person som t ex hackern Kevin Mitnick som under nittiotalet lyckades bryta sig in hos bland annat Nokia, Fujitsu och Motorola. Han främsta vapen var inte teknisk kompetens utan den inom social engineering. Ingen var förberedd på att möta hans metoder.
– Traditionell utbildning fungerar inte för att skydda en organisation mot den här typen av attacker.
Medarbetarna måste istället träna på hur de ska agera i olika situationer, anser Marcus Nohlberg. Men främst ska det tekniska stödet vara sådant att de utsätter sig för så lite risker som möjligt. Anställda är alltid fokuserade på att arbeta med kärnverksamheten. Säkerheten är inget de sätter i första rummet.
SAIS – The Swedish Association for Information Security
SAIS är en intressegrupp för säkerhetsinformatiker som varit inskrivna vid DSV, SU (tidigare SU/KTH). Föreningen agerar som en brygga mellan yrkeslivet och utbildningen och vill både påverka och främja utbildningen i säkerhetsinformatik och förmedla nyheter och aktuell forskning. Genom sina aktiviteter vill de få akademi, näringsliv och förvaltning att mötas genom att samla gamla och nya säkerhetsinformatiker. Genom SAIS aktiviteter kan medlemmarna bli en viktig del i ett exklusivt nätverk för kompetens och kontaktskapande.