<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=2942705&amp;fmt=gif">

Sosial manipulasjon

Erik Vetle Larsen
28.okt.2022 09:41:16

Hvordan jobber angripere, og hva kan du gjøre som bruker og selskap for å forhindre det?

Når det kommer til sosial manipulasjon og angriperes mulighet til å kompromittere deg og dine systemer er det ikke lenger snakk om hvis, men når, du møter et slikt angrep. Det er derfor helt nødvendig å ha et bevisst forhold til sosial manipulasjon. For å holde tritt med angripernes raske utvikling er vi nødt til å være klar over hvilke teknikker og verktøy de benytter for å forsøke å lure oss. På den måten vil vi enklere kunne identifisere når vi står ovenfor en trussel.

Så hva er sosial manipulasjon?
Her fins det flere definisjoner, men en av de enkleste og mest omfattende er å beskrive det som diverse former for kommunikasjon og beskjeder hvor en angriper forsøker å påvirke deg til å gi fra deg informasjon eller ta valg som ikke er i dine egne beste interesser. For mange vil den mest kjente typen sosial manipulasjon være phishing, men en bred definisjon av begrepet er nødvendig ettersom alle kommunikasjonskanaler kan brukes til å bedrive slik manipulasjon.

Mange forbinder sosial manipulasjon med eposter som inneholder lovnader om store summer eller attraktive goder. Disse er ofte skrevet på gebrokkent språk og med dårlig design. F.eks prinser som lover bort store summer og gavmilde premier i et lottospill du ikke visste du deltok i. Dette bildet av sosial manipulasjon tilhører dessverre fortiden da angriperne har innovert på sine teknikker i tråd med vår egen sikkerhetsutvikling. Menneskene har blitt en primærvektor for angrep mot din organisasjon. Våre forretningsverdier er i økende grad digitale, og angriperne finner stadig mer kreative måter å nå dem på.

I mange tilfeller er det helt tydelig at angriperne er ute etter å få tak i passordet ditt eller at du skal laste ned skadevare, men i andre tilfeller er ikke målene deres like åpenbare. I målrettede angrep kan informasjonen en angriper henter ut være deler av et større «puslespill» i en pågående operasjon. Det kan være noe så enkelt som navnet på hvem som er ansvarlig for eksempelvis tilgangskontroll eller annen nyttig informasjon. Ved å sette sammen slik informasjon kan angripere bygge en plan for hvordan de skal enten bedrive direkte angrep mot dine forretningsverdier, eller hvordan de på annet vis kan påvirke deg og din organisasjon til å ta valg som ikke er i deres egen beste interesse.

Hvilke former kan sosial manipulasjon ta?
Sosial manipulasjon er som beskrevet tidligere et noe abstrakt begrep som omfatter alle kommunikasjonskanaler. De aller fleste har allerede et forhold til phishing, som er sosial manipulasjon via epost. Det fins også mange relaterte typer sosial manipulasjon, som eksempelvis manipulasjon via SMS (smishing), telefon (vishing) og direkte fysisk kommunikasjon. Essensen er at angripere kan bedrive manipulasjon gjennom alle kanaler hvor de kan få sendt et budskap til oss, og det er nettopp derfor det er nødvendig å være årvåken på hvordan slike angrep ser ut.

I tillegg til manipulasjon som kommer via eksterne kanaler er det også viktig å være observant på potensielle angrep som kommer fra innsiden. Vi ser stadig tilfeller av svindel hvor en angriper på et eller annet vis har kommet seg på innsiden av miljøet, for eksempel ved å ta over epost kontoen til en ansatt. Ofte forholder de seg rolig der de leser epost og annen kommunikasjon for å finne transaksjoner de kan ta over. Et klassisk eksempel er angripere som tar over kontoen til noen som jobber i økonomi, og prøver å få byttet bankkontonummer på diverse kontrakter og transaksjoner. Dette betyr ikke at man skal gå rundt og konstant mistenke sine kollegaer, men det krever en viss årvåkenhet rundt kjente tegn og teknikker som blir brukt av angripere.

Hvordan jobber angriperne?
Sosial manipulasjon har i bunn og grunn en veldig vitenskapelig og målrettet fremgangsmåte. Dette representeres godt av det engelske begrepet for det, social engineering, ettersom det handler om å konstruere sosiale kontekster og elementer som fremmer angriperen sine interesser. Sosial manipulasjon handler i stor grad om to elementer: frykt og tillit. Akkurat hvordan dette ser ut vil kunne variere stort, men det er helt tydelige virkemidler. Formålet med disse virkemidlene er at du skal føle at du kan stole på budskapet samtidig som du skal være presset nok, enten av frykt eller tidspress eller noe annet element, til å ikke ta deg tid til å tenke kritisk gjennom hva du mottar.

Angriperne forsøker ofte å oppnå tillit ved å utgi seg for å være en autoritet eller annen tillitsverdig entitet, som kan være enten generelt akseptert eller spesifikk for deg og din organisasjon. Dette kan vi se gode eksempler på i phishing eposter som utgir seg for å være alt i fra Posten til Microsoft og andre store, velkjente aktører. Ved å misbruke kjente navn prøver angriperne å få deg til å blindt stole på budskapet. Et annet eksempel på målrettet misbruk av tillit er scenarioet hvor en angriper har kommet seg på innsiden av bedriften sitt miljø. Ved å sende angrep direkte fra en kollega sin epost vil det kunne se ut som om det faktisk er dine kollegaer som du stoler på, og det er derfor ekstra kritisk at man er årvåken til hva man leser, samt har prosesser for å verifisere høyrisiko transaksjoner.

Frykt oppnås ofte ved at budskapet inkluderer en form for trussel mot deg og dine verdier. Veldig gode eksempler på dette er phishing eposter som sier at din konto har blitt kompromittert, eller at du har blitt hacket og en angriper truer med å lekke dine data. Her føler man seg angrepet, og dine egne verdier står i fare. Dette vil gjøre det vanskeligere for deg å tenke kritisk og rasjonelt rundt hva du leser. Hvis du selv er stresset og redd vil du ikke ta deg tiden til å lete etter de nødvendige elementene av budskapet som kan avsløre at det er et angrep, og ikke en reell beskjed. Den samme effekten kan også oppnås av virkemidler som ikke trenger å spille på direkte redsel, men en form for fristelse. Budskapet kan for eksempel være at du har vunnet i lotto, og at du må legge inn kredittkortet ditt innen en kort tidsfrist for å ikke gå glipp av premien. Her ser man at elementet ikke er frykt, men angriperen forsøker å oppnå det samme resultatet, nemlig at du ikke tar deg tid til å tenke kritisk gjennom budskapet og tar forhastede avgjørelser.

Sosial manipulasjon trenger ikke utelukkende være en ondsinnet prosess, selv om det er den delen av det vi snakker om nå. Eksempelvis er lærere og selgere ofte fremragende sosiale manipulatører. De legger sosiale premisser og bruker sosiale virkemidler for å overbevise barn til å lære og kunder til å kjøpe et produkt. I disse kontekstene er ikke læreren eller selgeren sitt mål ondsinnet, men likevel benyttes ofte de samme virkemidlene som ondsinnede angripere bruker. Det hele har sin bakgrunn i psykologi, og hvordan hjernen vår prosesserer informasjon og tar avgjørelser. Ved å gjøre deg kjent med noen av grunnprinsippene i dette vil man i større grad kunne være klar over når man møter på dette i det virkelige livet, og viktigst av alt, identifisere når det brukes for ondsinnede formål.

Hvordan motarbeider vi disse angrepene?
Ditt beste forsvar er kritisk tenkning og tålmodighet. Hvis du leser en epost og du får følelsen av at «dette MÅ du gjøre NÅ», så ta det som et tegn til å stoppe opp, og tenke godt igjennom hva du leser. Er beskjeden relevant for deg? Ber den deg om å gjøre noe som faktisk er riktig eller passende? Prøver beskjeden bevisst å stresse deg? Hvis budskapet for eksempel utgir seg for å være Posten og snakker om en pakke, har du faktisk en pakke på vei? Og selv hvis du har det, er det budskapet ber om faktisk relevant i denne konteksten?

I bedriftssammenheng ser man ofte svindelforsøk som forsøker å be en part om å bytte bankkonto på en avtalt transaksjon eller lignende som kan føre til at penger kommer på avveie. Da er det lurt å ha måter å få bekreftet slike «høy-risiko» endringer på, som gjøres via flere kanaler. Hvis en økonomiansatt eller account manager blir kompromittert og plutselig ber om å bytte innbetalingskonto, så kan det være lurt å ha en rutine for å ta en telefon eller kontakte vedkommende via en kanal som ikke er den du mottok budskapet via. Da får du verifisert at det faktisk er vedkommende som prøver å initiere endringen, og ikke en mulig angriper.

Det finnes også flere tekniske løsninger som kan hjelpe med å redusere slike risikoer, blant annet at alle eposter som kommer fra eksterne domener blir markert med nettopp det. Dette vil gjøre det lettere å identifisere svindelforsøk hvor eksterne angripere har forsøkt å utgi seg for å være noen interne. Da får du ett ekstra varsel på å være kritisk til det du leser. Dette er likevel ikke perfekt, blant annet ettersom svindelforsøk kan komme fra interne eposter som er kompromittert, så man må fortsatt jobbe med å være årvåken og klar over egne rutiner.

I tillegg er det veldig viktig å ha rutiner for hva man gjør hvis man oppdager at man er blitt kompromittert. Du har ikke tapt slaget idet en angriper har kommet seg inn, det skjer først hvis angriperne klarer å få klørne i dine verdier. Og historien viser at et vellykket angrep kan skje den beste, dermed er det kritisk at man har planer og rutiner for hvordan man skal agere når en slik hendelse oppstår. Alt fra varsling, kommunikasjon og rutiner for låsing av kontoer og mer bør være på plass slik at man kan få identifisert og kastet ut angripere før de er i stand til å gjøre skade.


Hvis du og din bedrift eller organisasjon ønsker bistand i hvordan motarbeide og identifisere sosial manipulasjon så har Aztek ressurser og verktøy som kan bistå dere i dette arbeidet. Vi kan hjelpe dere gjennom hele livsløpet fra å starte arbeidet med sikkerhetsårvåkenhet, gjøre punktvurderinger av nivået før, under og etter tiltak, samt bistå i kontinuerlig sikkerhetsarbeid. Ta kontakt for en uforpliktende prat om mulighetene!

Anbefalt lesning

Relaterte innlegg Security

Abonner på Aztek Insights!