Så blir du lurad att lämna i från dig hemlig information
Vi människor gör inte alltid som vi lärt oss och organisationer är dåligt förberedda på IT-säkerhetsattacker riktade mot mänskliga svagheter. Eftersom det är svårt att förändra människors beteenden hjälper det inte att utbilda i hur man ska agera säkert. Det visar Marcus Nohlberg, Stockholms universitet i en avhandling där han har undersökt attacker som i IT-säkerhetssammanhang kallas social engineering.
Begreppet social engineering anspelar på konsten att genom sociala koder och kunskaper om mänskligt beteende få oss att lämna uppgifter eller utföra handlingar vi inte borde. Ett aktuellt exempel skedde alldeles nyligen i Sverige, då människor blev uppringda av en person som sade sig vara en representera IT-avdelningen på deras bank och bad dem identifiera sig med hjälp av sin bankdosa. Angriparen använde sedan dessa koder för att stjäla pengar från offrets konto:
– Redan för ett par år sedan förutspådde jag att den sortens attacker skulle bli vanliga, särskilt kontobedrägerier, säger Marcus Nohlberg.
Trots den allvarliga utgången då många bedrägeriförsök lyckas, har tekniken studerats ganska lite bland andra forskare. Marcus Nohlbergs forskning har lett till ökade kunskaper inom vilka metoder som angriparna använder och vad det är som gör människor och organisationer sårbara. Lite nedslående visar Marcus Nohlbergs forskning att information och utbildning inte fungerar så bra som man tror:
– Det finns alltid en liten grupp människor som inte gör som de lärt sig. Dessutom utbildas människor alltför sällan i säkerhetsfrågor generellt sett. För att förändra ett beteende måste man jobba med detta hela tiden inom en verksamhet. Det bästa är praktiskt träning och troligen måste organisationer gå mer mot att göra interna kontroller där man helt enkelt skapar fiktiva attacker för att se var svagheterna finns, menar Marcus Nohlberg.
Social engineering som bedrägerimetod är kostsamt för angriparen eftersom den kräver engagemang och tid. Redan idag finns dock programvaror och teknik som automatiskt kan interagera med andra människor:
– Det går bara att föreställa sig allvaret när sådana program i framtiden angriper offer via digitala mötesplatser som till exempel Facebook. När det blir lika enkelt som att sprida spam, då kan det bli stort hot mot social verksamhet på internet.
Med forskningen presenterar Marcus Nohlberg en beskrivning av bedrägliga brott utifrån offer-, gärningsman- och försvararperspektiv, men också förslag till åtgärder för att förebygga attacker, baserade på egna erfarenheter från kontrollerade angrepp.
Disputationen äger rum den 15 januari 2009, kl 13.00 på Institutionen för data- och systemvetenskap, Sal C, Forum, Isafjordsgatan 39, Kista.
Opponent: Professor Angela Sasse, Department of Computer Science, University College, London. Disputationen hålls på engelska.
Avhandlingens titel: Securing Information Assets – Understanding, Measuring and Protecting against Social Engineering Attacks.
Kontaktinformation
Marcus Nohlberg, telefon: 0709-538575, e-post: marcus@nohlberg.com
För bild, kontakta press@su.se eller tfn 08-16 40 90