Lokker kriminelle penge og hemmeligheder fra dine medarbejdere?
IT-kriminelle går i stigende grad efter medarbejderne, når de vil lokke fortrolige informationer eller penge ud af en virksomhed. Det er skræmmende effektivt – men kan forebygges. Læs mere her.
Når IT-kriminelle lokker medarbejdere til at give adgang til fortrolige data eller til at overføre penge, kalder man det social engineering.
Det er basalt set fup og svindel, der formentlig har eksisteret lige så længe som menneskeheden, men i IT-sikkerhedsmæssig sammenhæng har det fået en opblomstring de senere år.
Hvorfor vinder social engineering frem?
I dag har de fleste virksomheder så godt styr på tekniske forholdsregler, der beskytter mod hacking og skadelig kode, at det er svært at bryde gennem foranstaltningerne.
De fleste IT-kriminelle er imidlertid forretningsfolk, der investerer tid og penge, hvor det bedst kan svare sig. Så når det bliver for krævende at bryde ind i systemerne, satser man på at narre medarbejderne i stedet – og det er ofte skræmmende effektivt.
Hvor mange virksomheder rammes?
Tallene taler deres eget sprog. I 2018 offentliggjorde sikkerhedskoncernen Sophos resultatet af en storstilet britisk undersøgelse, hvor 45 procent af de adspurgte organisationer svarede, at de var blevet kompromitteret af phishingangreb.
Der findes masser af forskellige typer numre eller scams samt endnu flere variationer over hver enkelt – og der kommer hele tiden mere avancerede og udspekulerede typer til. Men blandt de mest almindelige typer social engineering er:
- Phishing, hvor man forsøger at lokke medarbejderen til at klikke på et link i en mail, der kan kompromittere sikkerheden. Ofte ved at åbne en ’bagdør’ ind i systemet, hvorfra hackeren kan grave sig længere ind og måske få adgang til økonomisystem eller forretningshemmeligheder. Læs mere om phishing her
- CEO fraud, hvor en person, der udgiver sig for at være leder på topniveau i virksomheden, mailer en ordre til en økonomiansat om at overføre et stort beløb til en ekstern bankkonto.
- Faktura- og kontosvindel, hvor de kriminelle sender fakturaer for ydelser, der aldrig er bestilt eller leveret. Eller hvor svindlerne kaprer en mailkonto fra f.eks. en leverandør, opbygger fortrolighed og overbeviser medarbejderen om, at virksomheden har skiftet kontonummer (til et, som svindleren kontrollerer!). Eventuelt kombineret med opkald fra ”leverandøren”, der beder om hurtig betaling.
Hvorfor virker social engineering?
Social engineering spiller sædvanligvis på følelser og kendte rutiner. Er en medarbejder f.eks. vant til at få mails fra direktøren med hasteopgaver i sidste øjeblik, vil man typisk være mindre tilbøjelig til at kontrollere mailens ægthed, når der kommer ordre om betaling af et beløb.
Travlhed og stress kan også være en medvirkende faktor, ligesom svindlerne gerne slår til i ferieperioder, hvor det kan være svært at få fat i topledelsen og verificere ordren.
Men svindlerne har mange ”instrumenter” at spille på. Det kan f.eks. være autoritetstro eller frygten for at gøre noget forkert – som når virksomhedens respekterede topchef giver en direkte ordre, man ikke tør stille spørgsmål til.
Andre gange forsøger den kriminelle at udnytte medfølelse med en samarbejdspartner, der ringer i yderste nød og er ved at gå konkurs, fordi en stor faktura ikke er betalt.
Samme mekanismer gør sig gældende i phishingangreb, hvor en troværdigt udseende mail fra f.eks. en samarbejdspartner eller offentlig myndighed lettere får medarbejderen til at klikke på et uskyldigt udseende link og – helt uforvarende – lader hackeren få en fod indenfor
Hvordan vaccinerer du virksomheden mod social engineering?
Der er navnlig tre elementer, som kan være med til at sikre virksomheden, nemlig
- Teknik – herunder sikkerhedsløsninger, der mindsker risikoen for snigangreb gennem f.eks. mails eller inficerede hjemmesider
- Processer – såsom regler for flere godkendere på betalinger over en vis størrelse
- Uddannelse – som gør medarbejderne opmærksom på risikoen og informerer om typiske angrebstyper
Ingen af disse elementer kan stå alene. Imidlertid har de fleste virksomheder over en vis størrelse relativt godt styr på det tekniske aspekt, ligesom de enten har eller relativt hurtigt kan indføre policies omkring f.eks. betalinger. Det efterlader ofte uddannelse som det element, hvor man mest effektivt kan sætte ind.
Her er løbende awareness kurser efterfuldt af regelmæssige opfølgningsforløb et effektivt middel. Gerne kombineret med løbende stikprøvekontroller med falske mails og telefonopkald for at holde medarbejderne til ilden og fastholde opmærksomheden på truslen.
Erfaringerne viser, at det er den mest effektive indsatsform mod en særdeles reel trussel. De seneste år har Forsvarets Efterretningstjeneste i hver eneste årsrapport f.eks. fremhævet cybercrime som den mest alvorlige trussel mod samfundet som helhed – og her er social engineering og den menneskelige faktor ganske enkelt det største enkeltstående risikoelement.
Hvad er awareness-træning?
Derfor arbejder IT Relation med udgangspunkt i et program, der lader medarbejderne lære af egne oplevelser. Derfor omfatter forløbet blandt andet:
- Månedlig video
- Månedlig pop quiz
- Kvartalsvise phishingmails