4 Huskeregler Til At Undgå Social Engineering

Helt kort kan social engineering beskrives som forsøg på svindel, hvor afsenderen prøver at udnytte modtagerens sociale sider, som f.eks. tillid. Et klassisk eksempel er, at man modtager en e-mail fra sin chef, som vil have én til at overføre et beløb til en konto, man ikke har overført til før. Man har ofte tillid til, at en e-mail fra ens chef er troværdig. Man overfører derfor pengene. Det er altså et meget målrettet phishing-angreb.

Dette kunne undgås, hvis man dobbelttjekkede igennem et andet medie, som f.eks. ved at ringe til ens chef. Men dette gør man ofte ikke, da man har tillid til sin chef og gerne vil undgå at skabe unødigt bøvl.

Disse skræddersyede angreb kræver selvfølgelig, at de IT-kriminelle har personlige oplysninger at arbejde med. Oftest kan de dog finde disse på enten jeres virksomheds hjemmeside, sociale medier eller simple søgninger på Google. Jo flere personlige oplysninger der inkluderes, jo lettere er det at falde i fælden. At få fat i disse personlige oplysninger er blevet lettere over de senere år. Det skyldes især sociale medier, og dette er muligvis en af grundene til stigningen i social engineering. 

Disse forsøg på svindel vil jeres medarbejdere oftest møde i tekstform – enten over e-mail, SMS eller over sociale medier. I sjældne tilfælde kan man dog også opleve svindelforsøg over telefonsamtaler eller ved personlig kontakt. Det vigtigste værktøj, som jeres medarbejdere skal bruge til at håndtere disse angreb, er en kritisk indstilling.

Med en kritisk indstilling menes der, at de ikke tager alt for gode varer. Et eksempel på dette er, at man stiller spørgsmålstegn ved de mails, som man får. Giver det mening, at man får denne mail på dette tidspunkt? Sådanne spørgsmål vil ofte kunne afsløre et forsøg på social engineering, men i yderst sofistikerede tilfælde på social engineering vil de ikke være nok. Så hvad gør man så?

Hvis man vil være ét hundrede procent sikker på ikke at blive offer for social engineering, er det altså ikke nok bare at have en kritisk indstilling. Man skal også sørge for at få bekræftet de oplysninger og instrukser, man modtager. Det vil sige, at hvis man får en mail med instrukser, skal man søge bekræftelse gennem et andet medie eller ansigt til ansigt. Det kan være svært at gøre, da man kan være bange for at blive set som besværlig. Derfor er det vigtigt, at hele organisationen implementerer denne kritiske kultur, så at jeres medarbejdere ved, at det ikke skaber besvær, men derimod et sikkert digitalt miljø. 

Denne kritiske indstilling hører ikke kun til i det digitale, men også på det fysiske kontor. Ser du en person, som du ikke har set før gå rundt på kontoret, så henvend dig og spørg om, hvem de leder efter. Husk bagefter at følge dem helt hen til denne person. Dette kan virke aggressivt og mistroisk, men man skal huske, at det netop er denne trang til at vise tillid og være høflig, som de kriminelle udnytter.

For at opsummere, hvordan man bedst undgår at falde for social engineering har vi lavet disse fire huskeregler:

1. Er du i tvivl om, hvorvidt en e-mail fra en organisation er reel, så kontakt dem via et andet medie og få en bekræftelse på validiteten af e-mailen.

2. Overvej grundigt, om det giver mening, at du modtager en given forespørgsel. Er der forskel på tidligere forespørgsler af samme type? Eller er det den første af sin slags? Hvis det er den første af sin slags, skal du være ekstra opmærksom.

3. Møder du en person ved indgangen, som du ikke kender, så bed høfligt vedkommende om at anvende deres eget adgangskort. Hvis du lukker en gæst ind, burde du også følge dem hen til den relevante medarbejder.

4. Ser du en person gå uledsaget rundt i din afdeling, så spørg ind til personens ærinde, og følg ham/hende hen til den relevante medarbejder.