Att luras för att komma åt information är inte bara ett otyg. Det finns till och med ett engelskt vetenskapligt begrepp för att beskriva det hela: social engineering. I generella sammanhang står begreppet för olika metoder för att påverka många människor, vilket brukar kallas för social ingenjörskonst på svenska.

Sådana här metoder har sin grund i beteendevetenskap, i kunskap om hur människor reagerar på olika budskap och ageranden. I it-säkerhetssammanhang handlar det om att lura sig till åtkomst och information. På svenska kanske man skulle kunna säga ”åtkomstmanipulation”?

Det handlar inte bara om att få tag på användarnamn, lösenord och adresser av olika slag som hör till mjukvara. Det kan också vara frågan om fysisk åtkomst till hårdvara som terminaler eller till och med servrar.

Problemet med sådant här lurendrejeri är så klart att det kan vara oerhört svårt att skydda sig mot. Det bygger ofta på att den som luras inte förstår att det egna agerandet lämnar ut åtkomst till känslig information. Om man inte ens förstår att man lämnar dörren öppen till hemligheter är det lätt hänt att glömma bort att skydda hemligheterna. Och det kan baseras på en ”acceptabel” nivå av okunskap. Alla kan inte vara it-experter.

Det finns hur många exempel som helst på hur lurendrejeri kan gå till. De är ofta oväntade.

En yrkesgrupp som funderar mycket på det här är säkerhetsexperter. Faktum är att det finns ett utbud av tjänster som går ut på att säkerhetsföretag får till uppgift att lura sig till åtkomst till sina kunders information. Syftet är inte bara att upptäcka svaga punkter, utan ofta även att lyckade intrång ska bli en väckarklocka för kundens personal, när man berättar om dem.

Läs också: FRA: Sverige hårt utsatt för cyberangrepp

Techworld har pratat med svenska säkerhetsexperter som anonymt har delat med sig av exempel på framgångsrika försök att nästla sig in, på uppdrag av kunder. Här är fyra fall:

1. ”Vi är säkerhetsexperterna”

Vid ett tillfälle utgav sig två personer för att vara inhyrda säkerhetsexperter. De traskade helt sonika fram till en säkerhetsvakt vid receptionen och berättade att de behövde logga in på en av terminalerna, vilket de fick hjälp med.

Därefter berättade de att de behövde komma in i serverrummet, men att de hade glömt nycklarna. Säkerhetsvakten hjälpte till med det också. När de två personerna kommit innanför spärrarna vid entrén avvek en av de två personerna och gick åt ett annat håll, utan reaktion från vakten.

2. Spänstigt intrång

Många företag har spärrar vid sina entréer, där det krävs passerkort för att komma in i företagets lokaler. Vid ett tillfälle hoppade en konsult helt enkelt över en sådan spärr och tog sig in i lokalerna, utan att någon reagerade. Ungefär som när folk plankar i tunnelbanan.

3. Hjälp med installation

Ännu ett fall utspelar sig vid en reception hos ett företag. En person går fram till receptionisten och ber om hjälp med att installera ny hårdvara på en av terminalerna och fick också hjälp med det. Hårdvaran i fråga var avlyssningsutrustning.

4. Intern telefon fanns externt

I ett företags publika konferenslokaler fanns det interna snabbtelefoner. En person plockade upp en sådan och presenterade sig som en högt uppsatt chef på företaget. Han bad om hjälp med att bli kopplad till it-supporten.

När han fick kontakt med en supportperson bad han om hjälpa att ”patcha in” utrustning från konferensrummet han befann sig i, innanför brandväggar och andra intrångsskydd. Han fick hjälp med det.

Läs också: Säkerhetsexperten: ”Sluta tro att människor är korkade”

Vad kan man lära sig av de här historierna? Antagligen att det bör råda nolltolerans mot att ge någon som helst åtkomst till någonting. Och att det ska finnas information om vilka personer som ska kunna installera hårdvara och mjukvara, och att de ska kunna legitimera sig. Ännu bättre att de ska ha sällskap av egen it-personal.

Man bör dessutom undersöka om fysiska hinder mot passage verkligen uppfyller sina syften.