Vi oroar oss mycket över hur vi ska skydda vår information mot inkräktare. Därför lägger vi också mycket tid, resurser och pengar på bra skydd på flera nivåer i vår it-miljö. Fienden är en person med avancerade kunskaper om hur man finner hål i system och program, och som använder de hålen för att stjäla information. Men hur skyddar du sig mot inkräktare som snarare specialiserat sig på att "hacka" det mänskliga operativsystemet?

Social engineering, social ingenjörskonst, handlar om att utan (eller med begränsade) tekniska hjälpmedel försöka komma över information. Tekniken går ut på att vinna människors förtroende, spela på deras känslor och hjälpsamhet och utnyttja brister i säkerhetstänk eller karaktär. På många sätt påminner den sociala ingenjören om en klassisk bedragare, en specialist på att lura, manipulera och övertyga.

Där en hacker lägger tid på att undersöka ett företags system eller nätverk, studerar den sociala ingenjören företagets anställda, vilka som gör vad och hur de interagerar med varandra. Till exempel kan den sociala ingenjören hålla koll på när vissa medarbetare inte befinner sig på arbetsplatsen för att kunna ringa och utge sig för att vara den personen. i extrema fall kan bedragaren till och med lära sig att härma röster och dialekter för att vara så övertygande som möjligt. Syftet kan vara att komma över inloggningsuppgifter eller till och med att själva beviljas åtkomst till företagets information.

Omvänd social ingenjörskonst går ut på att bedragaren skapar ett problem i it-miljön och sen utger sig för att vara någon som kan åtgärda problemet. Och för att åtgärda exempelvis ett nätverksproblem "måste" han få tillgång till vissa inloggningsuppgifter och lösenord. Ofta kan den här typen av social ingenjörskonst vara svår att upptäcka och den kan dessutom lättare ge bedragaren tillgång till informationen han söker efter.

Chris Hadnagy är expert på social engineering och författare av boken "Social engineering: The art of human hacking". I boken tar han upp flera exempel på hur han anlitats som säkerhetskonsult och visat hur lätt det kan vara att komma över information. Ett företags chef beskrev sig själv som "omöjlig att lura" och att han "vaktade sina hemligheter med sitt liv".

Efter att ha gjort grundläggande research hade Hadnagy kunskap om de anställda och deras uppgifter, var företagets servrar fanns, ip-adresser, epost och telefonnummer och mycket mer. Han lyckades också få reda på att chefen hade en familjemedlem som överlevt cancer och att han därför var väldigt engagerad i välgörenhet. Genom chefens facebook fick Hadnagy dessutom veta vilken som var hans favoritrestaurang och vilket idrottslag han hejade på.

Därefter ringde Hadnagy upp honom och utgav sig för att representera en cancerfond som chefen tidigare stött. Hadnagy berättade att man just nu hade en tävling bland sina donatorer där priserna bland annat var biljetter till matcher med just chefens favoritlag och presentcheckar till ett flertal restauranger, däribland, givetvis, hans favoritrestaurang.

Hadnagy bad ödmjukt om att få sända över en pdf med information om tävlingen, vilket chefen gick med på. Sagt och gjort. Hadnagy skickade pdf:en som chefen omedelbart öppnade utan att veta att den innehöll en shell/backdoor som gav Hadnagy full åtkomst till hans dator.

Hadnagy berättar att chefen förmodligen hade förberett sig på att någon skulle ringa honom eller hans kollegor och fråga efter lösenord eller försöka lura någon att ge bedragaren tillgång till information. Han var inte beredd på att någon skulle utnyttja saker i hans egen bakgrund eller personlighet.

Hadnagys exempel visar hur lätt och snabbt en skicklig bedragare kan komma över känslig information. De skickligaste hackar dig utan att du har någon aning om att det händer.

Har du eller ditt företag utsatts för social engineering?
Det är inte längre tillåtet att rösta.