Hacket med psykologi som våpen

Det er mennesket som er det enkleste målet når privatpersoner og virksomheter blir hacket.

Hassan Ahmad, Senior Security Engineer/Senior, Sopra Steria.
Hassan Ahmad, Senior Security Engineer/Senior, Sopra Steria. (Foto: Sopra Steria)

Det er mennesket som er det enkleste målet når privatpersoner og virksomheter blir hacket.

  • Debatt

Mange virksomheter blir utsatt for dataangrep, men det er ikke alltid en sårbarhet i et datasystem som er årsaken. Uavhengig av hvilken trusselaktør man snakker om, enten det er svindlere, organiserte kriminelle eller stater, har de en ting til felles: De tar den enkleste veien til mål.

I dagens samfunn har vi etter hvert avansert sikkerhetsteknologi, og da blir dessverre mennesket ofte den enkleste angrepsvektoren. Hvorfor skal man knuse et vindu for å bryte seg inn, når man heller kan banke på døra og bli sluppet inn? Det skaper mindre støy og man tiltrekker seg ikke uønsket oppmerksomhet.

Autoritet og knapphet

Majoriteten av såkalte sofistikerte dataangrep starter med en utspekulert, troverdig og målrettet e-post til en ansatt i virksomheten – såkalt «spear phishing». I denne e-posten brukes det aktivt psykologiske påvirkningsfaktorer for å trigge mottakeren av e-posten til å utføre en tilsynelatende legitim handling. Robert Cialdini, professor i psykologi, har dokumentert hvordan mennesker kan påvirkes til å gjøre noe de i utgangspunktet ikke ville ha gjort. Noen av påvirkningsfaktorene vi ser mye brukt i målrettede dataangrep er autoritet og knapphet.

Får du en e-post fra noen med en viss autoritet i eller utenfor virksomheten, vil du håndtere den på en annen måte enn andre e-poster. Det samme gjelder om det er noe som haster, og noe du blir bedt om å ta tak i umiddelbart. Da vil du prioritere dette. Den psykologiske effekten forsterkes ytterligere når flere påvirkningsfaktorer kombineres.

Et scenario er at du mottar en e-post fra HR-avdelingen (autoritet) med emne «lønnsjustering 2019» (nysgjerrighet) som kun er tilgjengelig for deg i en begrenset periode (knapphet). En slik e-post vil utvilsomt trigge nysgjerrigheten til mottakeren, og sannsynligheten er stor for at det vedlagte dokumentet åpnes eller at man oppgir passordet sitt for å få tilgang.

Tre konkrete tips

Hva kan man gjøre for å redusere risikoen for å bli utsatt for et slikt målrettet angrep? Her er tre konkrete tips:

  1. Minimer offentlig tilgjengelig informasjon. Vi deler mye informasjon bevisst eller ubevisst på sosiale medier, ofte med hele verden. Dette er informasjon som kan være svært nyttig i utarbeidelse av en målrettet e-post. Påse at du har satt de riktige personvern-innstilingene og vær kritisk til hvem du godtar inn i nettverket ditt.
  2. Ha god «cyberhygiene». Ikke bruk samme passord overalt, og ta gjerne i bruk et passordhåndteringsverktøy. Dette gjør det enkelt å ha gode, sterke passord som er unike på tvers av ulike tjenester man bruker. Dette vil gjøre livet ditt enklere og samtidig være med på å begrense skadeomfanget dersom et passord kommer på avveie, eller en tjeneste blir kompromittert.
  3. Ha risikoforståelse og god sikkerhetskultur, både i virksomheten og privat. Tenk litt på hvorfor du som en ansatt i en organisasjon kan være et attraktivt mål. Det kan være at en trusselaktør tar kontakt over private kanaler for å få tilgang til PCen din, som igjen har tilgang til virksomhetens systemer. Sikkerhetsteknologi stopper de fleste generiske angrep, men det er viktig å huske på at man ikke er immun mot målrettede angrep.

Et enkeltmenneske har mye makt. Med denne makten kan du enten muliggjøre eller avverge et dataangrep som potensielt kan få store konsekvenser.   

Les flere kommentarartikler på våre debattsider! »

Les også

Kommentarer (7)

Kommentarer (7)
Til toppen