Social engineering er en type angrep som bruker psykologiske teknikker til å overtale mennesker til å dele sensitive opplysninger eller gjøre handlinger som kan skade organisasjonen eller individet selv. Dette kan inkludere å utgi seg for å være noen andre, bruke autoritet eller manipulering, eller utnytte folks godtroenhet og uvitenhet. Social engineering-angrep kan skje gjennom forskjellige kanaler, som e-post, telefon, sosiale medier, eller personlig kontakt.
Nyere statistikk viser at social engineering-angrep fortsetter å øke og blir stadig mer sofistikerte. Ifølge Verizon's 2021 Data Breach Investigations Report står social engineering for 22% av alle sikkerhetsbrudd som involverer menneskelige feil. En annen rapport fra IBM viser at social engineering-angrep økte med 50% i 2020 sammenlignet med året før.
Det finnes forskjellige typer social engineering, inkludert:
-
-
Phishing: Dette er den mest kjente og utbredte formen for social engineering angrep. Det innebærer å lure ofrene til å gi fra seg sensitive opplysninger, for eksempel passord eller kredittkortinformasjon, ved å utgi seg for å være en pålitelig kilde. Phishing kan skje via e-post, SMS, eller andre meldinger.
-
Preteksting: Dette er en type social engineering angrep der angriperen utgir seg for å være noen andre, for eksempel en autorisert bruker eller en annen person som ofte vil ha tilgang til informasjon eller ressurser. Preteksting kan også brukes for å få tilgang til en persons informasjon eller tilgangskoder.
-
Baiting: Dette er en type angrep der angriperen frister offeret med noe for å få dem til å gi fra seg informasjon. For eksempel kan de love en premie eller tilgang til eksklusive informasjon eller tilbud.
-
Fysisk social engineering: Dette er en type angrep der angriperen prøver å få tilgang til et fysisk område eller system ved å lure seg inn ved å late som om de har rett til å være der, for eksempel ved å kle seg ut som en ansatt eller ved å utgi seg for å være en leverandør.
-
Tailgating: Dette er en type angrep der angriperen bruker manipulasjon for å få tilgang til et fysisk område. De vil for eksempel følge etter en annen person som allerede har fått tilgang for å komme inn.
-
Dumpster diving: Dette er en type angrep der angriperen leter etter sensitiv informasjon i søppelkasser eller papirkurver. De kan finne informasjon som kan brukes til å utføre et annet angrep eller for å utnytte personen eller organisasjonen.
-
Spear phishing: Dette er en mer sofistikert form for phishing, der angriperen målretter en spesifikk person eller gruppe i stedet for å sende ut en masse-e-post til mange personer. Dette kan gjøre det vanskeligere å gjenkjenne angrepet.
-
For å beskytte seg mot social engineering-angrep er det viktig å være oppmerksom på de ulike typene angrep og lære hvordan man kan gjenkjenne dem. Det er også viktig å gi opplæring til ansatte om hvordan man kan oppdage og unngå social engineering-angrep.
Her er noen ressurser som kan hjelpe deg med å lære mer om social engineering:
-
The Social Engineering Framework (SEF): en ressurs som gir informasjon om ulike typer social engineering-angrep og hvordan man kan beskytte seg.
-
The National Cyber Security Centre: en britisk organisasjon som tilbyr gratis opplæringsressurser om social engineering.
-
SANS Security Awareness: en organisasjon som tilbyr kurs og ressurser for å hjelpe bedrifter med å forstå og bekjempe social engineering-angrep.