Social engineering er en manipulationsteknik, hvor angribere udnytter menneskers tillid, vaner eller stress i stedet for at bryde tekniske sikkerhedsbarrierer. Målet er ofte at få nogen til at udlevere følsomme oplysninger, klikke på et skadeligt link, overføre penge eller give adgang til en konto eller et system. I cybersikkerhed handler det altså ikke kun om at hacke computere, men om at påvirke mennesker.
Hvordan social engineering virker
Angribere spiller typisk på følelser som tillid, frygt, nysgerrighed eller tidspres. En medarbejder kan for eksempel modtage en e-mail, der ligner en besked fra it-afdelingen, med krav om at nulstille sin adgangskode med det samme. En privatperson kan blive ringet op af en person, der udgiver sig for at være fra banken eller en offentlig myndighed og beder om MitID-oplysninger eller en kode.
Metoden kan tage mange former, herunder phishing, falske sms-beskeder, telefonbedrageri og fysisk adgangssnyd, hvor en person forsøger at komme ind i en bygning ved at virke troværdig. Fælles for angrebene er, at de udnytter menneskelige fejl og sociale normer, som høflighed og hjælpsomhed.
Hvorfor det er svært at opdage
Social engineering kan være effektivt, fordi beskederne ofte virker troværdige og passer ind i en travl hverdag. Angribere undersøger ofte deres mål på forhånd og tilpasser deres historie, så den fremstår overbevisende. Derfor kan selv erfarne brugere blive narret, hvis situationen virker legitim.
Beskyttelse handler i høj grad om vaner. Man bør være skeptisk over for uventede henvendelser, kontrollere afsenderen, undgå at dele koder og personlige oplysninger, og bekræfte følsomme anmodninger gennem en anden kanal. For virksomheder er uddannelse og klare procedurer afgørende.