Social engineering

18 gode råd til at undgå social engineering

Når du tænker it-sikkerhed, er Søren og Sara fra regnskab formentlig ikke den første foranstaltning, du tænker på. Men det er en fejl. Dine medarbejdere er nemlig et af de vigtigste områder, hvis du vil højne sikkerheden i din virksomhed.

Der er efterhånden mange forskellige metoder, som hackere og svindlere bruger til at snyde sig til din virksomheds systemer og penge. Heldigvis kan du komme rigtig langt sikkerhedsmæssigt ved løbende at uddanne dine medarbejdere i at undgå de typiske faldgruber indenfor social engineering.

Hvad er social engineering?

Social engineering-begrebet bruges om teknikker, hvor kriminelle udnytter sociale interaktioner og psykiske kneb til at narre en person eller en virksomhed til at udlevere informationer, give adgang til systemer eller overføre penge til dem.

Langt hen ad vejen ligger forebyggelsen i at lære dine medarbejdere at slå autopiloten fra og tænke kritisk og selvstændigt.

Phishing

Du har formentlig prøvet at modtage en e-mail, hvor en udenlandsk advokat fortæller dig, at du har arvet en stor sum penge. Det er en velkendt phishing-mail. Men der florerer også mange mere overbevisende phishing-mails, hvor afsenderen fx udgiver sig for at være en offentlig instans eller bank. De kan være svære at skelne fra ægte mails. Formålet med en phishing-mail kan være mange. Oftest prøver de at skaffe informationer, overføre virus til dit system eller franarre dig penge.

Sådan sikrer du dig

  • Oplys aldrig kredit- eller kontonumre over e-mail
  • Husk, at e-mails fra fx e-boks aldrig indeholder links
  • Send aldrig personfølsomme data over e-mail
  • Overfør aldrig penge, før det er clearet ansigt-til-ansigt eller via telefonen med en kollega.


Smishing

Mange svindlere er gået over til at lave phishingforsøg via sms – kaldet smishing. Her forsøger svindleren ofte at presse modtageren til at handle ved at give dem en kort deadline. Ofte er formålet at lokke passwords eller andre personlige oplysninger ud af modtageren.

Sådan sikrer du dig:

  • Brug samme forholdsregler som ved phishing
  • Oplys aldrig passwords eller andre informationer over sms
  • Ring på det offentlige hovednummer til den instans, sms’en udgiver sig for at stamme fra, hvis du er i tvivl om, hvorvidt afsenderen er falsk.

Vishing

Når svindlere og hackere prøver at narre dig over telefonen, kaldes det vishing. Ofte vil du få en telefonsvarerbesked, der beder dig indtaste fx kortoplysninger eller passwords, hvor efter du bliver stillet om til en rigtig person. Mange af dem der ringer, prøver samtidig at skaffe yderligere informationer ved at stille forskellige ”sikkerhedsspørgsmål”.

Sådan sikrer du dig:

  • Udlevér aldrig følsomme oplysninger over telefonen, før du er helt sikker på, hvem du snakker med.
  • Spørg om du kan ringe dem op om lidt eller sende en e-mail – svindlere vil helst ikke ud med deres kontaktoplysninger.
  • Vær varsom, hvis personen i røret taler gebrokkent engelsk, og I normalt ikke modtager opkald fra udlandet.

Pretexting

En mere sofistikeret form for vishing kaldes pretexting. Svindlere, der allerede har visse informationer, bruger dem til at skabe et påskud – en pretext – for at ringe. Det kan være, de har en fødselsdag på den person de udgiver sig for. Ofte vil de fortælle en historie om, hvorfor det haster, at de får de informationer, de er ude efter hurtigst muligt.

Sådan sikrer du dig:

  • Hav faste procedurer for, hvordan og hvornår I udleverer information, og hold jer til den.
  • Uddan medarbejderne til at være kritiske og turde sætte spørgsmålstegn ved mærkelig opførsel fra dem, der ringer ind.

Tailgating

Nogle hackere får adgang til dine systemer fysisk. Især i store virksomheder kan det være let at følge i hælene på en medarbejder, når de låser sig ind. Det kaldes tailgating. Herefter er det bare at finde en ulåst computer et sted og tage for sig. Vi danskere er et flink folkefærd, der stoler på vores omgivelser, og det kan hurtigt udnyttes.

Sådan sikrer du dig:

  • Uddan dine medarbejdere i vigtigheden af at spørge nye ansigter, hvor de hører til.
  • Tilkald hjælp, hvis den fremmede hverken kan fortælle, hvem de skal besøge, eller hvilket ærinde de besøger virksomheden i.

Generelt er det vigtigt, at du og dine medarbejdere bliver mistænksomme, hvis I:

  • oplever at blive skyndet på
  • bliver overfuset, fordi I ikke gør som I bliver bedt om
  • føler, at den I snakker med gætter sig frem
  • ser nogen bevæge sig rundt i virksomheden, som virker malplaceret

Husk, at Codan tilbyder forskellige cyber- og it-kriminalitetsforsikringer, der dækker i tilfælde af hacker og svindelangreb.

Læs mere