Ledelse

Illustrasjonsfoto.

Saad Sharif / Unsplash.

– Du kan bli offer for sosial manipulering

I disse smarte it–tider kan du fortsatt bli hacket på gamlemåten – gjennom å bli lurt av folk som tar seg inn på arbeidsplassen. – Vær på vakt, anbefaler sikkerhetsekspert.

Bård Andersson

Publisert onsdag 23. mai 2018 - 07:36 Sist oppdatert onsdag 23. mai 2018 - 09:36

Leder for informasjonssikkerhet i it–selskapet Basefarm, Fredrik Svantes, anbefaler bedrifter å gjennomføre tiltak som gjør dem forberedt på sosial manipulasjon og det han kaller the Next Big Corporate Hack. Sistnevnte handler om store konsern som sitter på dine personopplysninger. Når disse blir hacket, slipper heller ikke du unna.

– Opplæring, øving og mottiltak kan forhindre dette. Det gjelder også etter the Next Big Corporate Hack, sier han.

Dobbelautentisering, ulikt brukernavn og passord for ulike tjenester, oppdatering / patching av datasystemer, brannmurer, kontroll på IoT-er (Internet of Things, journ. anm.) og å unnlate å åpne vedlegg eller klikke på lenker fra ukjente avsendere er metoder som virker godt mot hacking, anbefaler han.

– Alle disse metodene er it–baserte og ganske vanlige. Analyser av reelle datainnbrudd viser at disse metodene fungerer preventivt i de aller fleste tilfeller, påpeker Svantes.

Sosial manipulasjon

Foto Leder for informasjonssikkerhet i it–selskapet Basefarm, Fredrik Svantes, anbefaler bedrifter å gjennomføre tiltak som gjør dem forberedt på sosial manipulasjon. (Foto: Basefarm)

Har du møtt på håndverkere på vandring i korridorene uten å vite hvor de kommer fra, hvor de skal eller hva de skal gjøre? Er det vanlig med nye mennesker hos dere som for eksempel innleide konsulenter, slik at du ikke stusser ved et nytt ansikt? Dette er spørsmål Svantes mener du må stille deg, fremfor å anta at de sikkert har noe der å gjøre.

– Har du kjørt inn i et lukket garasjeanlegg som mange bruker, og bare nikket vennlig til den velkledde fotgjengeren som tok seg inn mens døren sto åpen? Eller stukket en ukjent USB–pinne inn i datamaskinen for å se hva som var på den? Mange har gjort ting som dette. I informasjonssikkerhets–sammenheng kan det ha handlet om psykologisk manipulasjon som på fagspråket blir omtalt som sosial manipulasjon, forklarer han.

Vær oppmerksom

Sosial manipulasjon handler om å skaffe seg informasjon ved sosiale ferdigheter. Det er en rekke svindelteknikker du må gjøre deg kjent med (se verktøyboks). Teknikkene kan virke både sære og lettere paranoide, og det er lett å tenke at dette er noe som skjer uhyre sjeldent.

Men, det usannsynlige kan bli sannsynlig, mener Svantes. Nettopp på grunn av at vi anser det for usannsynlig, er faren stor for at noen kan prøve seg og samtidig lykkes med å lure oss.

Derfor anbefaler Fredrik Svantes følgende mottiltak:

Inkludere sosial manipulasjon i virksomhetens informasjonsikkerhetsrutiner
Gi regelmessig opplæring og legge til rette for selvstudier: En måte er å lage e–læringsprogrammer som inkluderer prøver / eksamener (tips: bruk verktøy for spørreundersøkelser) som medarbeidere må bestå
Øvelser:

– De fleste av oss synes det er vanskelig å stoppe noen og spørre om hvorfor de er der de er. Øvelse gjør mester. Er det noe som fungerer godt, og som organisasjoner like fullt dropper av en eller annen merkelig grunn, så er det preventive øvelser på krisesituasjoner, sier Svantes.

Beskytt og forebygg

Mange er interesserte i data som gjør deg og arbeidsgiveren din sårbare, inkludert kredittkortinformasjon. Mens vi kan beskytte oss selv, kan vi vanskelig beskytte oss mot angrep som det velkjente innbruddet hos Yahoo i 2013 som berørte tre milliarder brukere.

Fire store lignende angrep har rammet brukere de siste årene: Adobe i oktober 2013, Disqus i oktober 2013, Dropbox i midten av 2012 og LinkedIn i mai 2016. I sistnevnte angrep ble 164 millioner e–postadresser og passord blottlagt for hackere, ifølge tjenesten «Have I Been Pwned», som drives av sikkerhetsanalytikeren Troy Hunt.

– Når disse Big Corporates blir hacket, blir du det også. Det er meget sannsynlig at nye angrep vil skje. Er du ivrig bruker av nettjenester og sosiale medier, vil risikoen øke for at du blir rammet. Enten du blir rammet gjennom phising, spyd–phising eller indirekte gjennom Big Corporate Hacks, bør du aldri gjenbruke passord. Skaff deg i stedet en passord–tjeneste som lar deg etablere unike brukernavn og passord for hver tjeneste du bruker, anbefaler Fredrik Svantes.

Er du ivrig bruker av nettjenester og sosiale medier, vil risikoen øke for at du blir rammet

Slike «password managers» kan gjøre dette for deg, og du identifiserer seg for passord–tjenesten med ett enkelt passord.

– Et slikt hovedpassord kan for eksempel være en lang setning som «jeg liker tog vil du fly med meg til Canada til neste år» (med eller uten mellomrom). En slik setning er både lettere å huske og vanskeligere å knekke enn kryptiske passord som u(!3%N,#. Enkelte passord–tjenester kan også automatisk logge deg på nettsteder som du har registrert deg på, noe som sparer deg for tid, sier han.

Dersom kredittkortet ditt har vært involvert i et eller annet angrep, anbefaler Svantes at du sørger for å blokkere det via utstederens blokkeringstjeneste.

Vær oppmerksom på disse svindelteknikkene:

Pretexting:

Hackeren skaffer seg noen personlige data for å fremstå troverdig overfor offeret
Informasjonen blir brukt for å øke sjansene for at offeret i neste omgang vil gi fra seg ytterligere informasjon eller iverksette handlinger som det ellers ikke ville ha gjort

Baiting / agn:

Noen etterlater seg malware på en minnepinne med troverdig logo / etiketter
Offeret setter minnepinnen inn i USB–porten på pc–en sin og skaden skjer

Tailgating:

En angriper følger etter deg i inngangspartiet, som du har åpnet med sikkerhetskort / kode
Du syns det er vanskelig å spørre en velkledd mann eller kvinne om å identifisere seg, siden dette ikke er din jobb

Phishing:

Phisheren sender en e–post som fremstår som om den er fra en velkjent virksomhet og dermed virker legitim i både innhold og utforming
I meldingen blir du bedt å om å bekrefte informasjon via lenke til et falskt nettsted

Spyd–phishing:

Mens phishing–angrep er e–poster til et stort antall mottakere, er spyd–phising et lavt antall e–poster som er skreddersydd den enkelte mottaker
Dette krever naturligvis mye mer arbeid for hackeren, men til gjengjeld er treffraten sannsynligvis så mye som 10 ganger høyere

Tillitvekkere:

Disse kan også bli sett på som sosiale hackere / manipulatorer
Gjennom manipulasjon vinner de andres tillit, og utnytter denne til å skaffe seg tilgang til kontorlokaler eller fortrolig informasjon

Kilde: Basefarm / Fredrik Svantes

lederverktøy hacking ledelse

– Du kan bli offer for sosial manipulering

I disse smarte it–tider kan du fortsatt bli hacket på gamlemåten – gjennom å bli lurt av folk som tar seg inn på arbeidsplassen. – Vær på vakt, anbefaler sikkerhetsekspert.

Sosial manipulasjon

Vær oppmerksom

Beskytt og forebygg

Er du ivrig bruker av nettjenester og sosiale medier, vil risikoen øke for at du blir rammet

Vær oppmerksom på disse svindel­teknikkene:

Tar du livsløgnen fra en politiker … hva tar du da fra han?

Strategi | Still gode spørsmål

Magne Lerø: Krig som nødvendig risikosport

Hva innebærer 'forbud mot gjengjeldelse'?

Nødvendige prioriteringer må skje, selv om det kan gå på tilliten løs

Magne Lerø: Vedums urene trav i lei bondeskvis

Hallo, skal det beregnes feriepenger av bonus?

Marius Jones | Psykologisk trygghet skraper overflaten på noe som ble godt beskrevet for lenge siden

Slaget om EØS-avtalen er ikke over i Fellesforbundet

Selvledelse | Bli flinkere til å ta imot kritikk

Magne Lerø: Straffebølge slår inn over landets småbedrifter

Åtte nye forskningssentre for miljøvennlig energi

Vanskeleg klima for klimadebatt

Magne Lerø: Et forsvar for den uthengte Ingvild Kjerkol

Blir ledere bedre ved å stoppe opp?

Enighet i hotell og restaurant

Psykiske helseplager utgjør en fjerdedel av alt sykefravær: 3 av 10 får ikke hjelp

Diskriminering på grunn av aldersgrense

Magne Lerø: Støre ut av Kjerkol-kattepinen

Tor W. Andreassen| Frontfagsmodellen må moderniseres

Bioingeniørene glemmes i støyen fra sykepleiere og leger

Storebrands HR-direktør: – Kunstig intelligens kan gi bedre muligheter i arbeidslivet for flere

Magne Lerø: Økokrim – enda et slag i løse luften

Enige om lønn i byggebransjen: Entreprenører frykter for framtiden

Kultur- og mangfoldsminister: Et skritt mot ekte likestilling?

Rett til permisjon ved religiøse høytider

Ledere drikker mer og oftere enn andre

Magne Lerø: Vi tåler kontroversielle 17. mai-talere

Lise Lyngsnes Randeberg: Hvor fattig er ‘passe fattig’ for studentene?

Tor W. Andreassen: Vi trenger et bærekraftig helsevesen

Oppsigelse på grunn av soning?

Det usynlige arbeidet på jobben - en kvinnefelle

Truls Liland: Det grønne skiftet og samfunnsengasjement

Enighet i lønnsoppgjøret: Mer å rutte med for alle

Magne Lerø: Ap fomler – løser ikke problemene i skolen

Runder 70 år: Noen mener han er stokk konservativ, andre at han er en opprørsk radikaler – det passer Magne Lerø godt

Øk din innflytelse, inviter på «fiendekaffe»

Magne Lerø: Nye nødvendige forsvarsmilliarder – sikkerhet som velgermagnet

Synspunkt | Frode Solberg og Hege Tunstad: Den store kvinnejakten

Overbevise en gruppe? Ikke gå rett i «enighetsfella»

Fersk IMDI-rapport: 37 prosent av innvandrere opplever barrierer for sysselsetting i Norge

SYNSPUNKT | Trenger vi (enda) mer snakk om psykologisk trygghet?

Bruk av advarsler til ansatte

Synspunkt | Maiken Furre: Medarbeiderskap krever mer av lederen

Telenor nedbemanner over 100 ansatte: – Dette er en tung beskjed å motta

Magne Lerø: Helse må få større lønnsøkning enn alle andre

– Vi må ikke gi dem opp

Overtidsarbeid: Kan sjefen kreve at du jobber doble vakter?

Synspunkt | Fire tips for en mer inkluderende ledelse

Synspunkt | Espen Husstad: Elbiler trenger 16 ukers helvete

Vær oppmerksom på disse svindelteknikkene: