Vad är en social ingenjörsattack?

Har du sett några skrämmande rubriker om en ny "social ingenjörsattack" som går runt men inte säker på vad det egentligen betyder? Då är du på rätt plats eftersom vi har skapat den här guiden för att detaljera vad termen betyder, och några snabba tips om hur du undviker att bli offer för dem.

Den korta versionen är att en social ingenjörsattack är punkten där datormissbruk kombineras med gammaldags förtroendetrick. Specifikt är social ingenjörsattacker bedrägerier som utnyttjar den mest sårbara delen av alla tekniska system: användaren.

Sociala ingenjörsattacker kan utföras via webben, e-post, telefon och SMS eller snabbmeddelanden, eller personligen. De förlitar sig på att lura en användare att tro att den dåliga skådespelaren är en ärlig representant för t.ex. Amazon eller Microsoft tillräckligt länge för att ge den dåliga skådespelaren sina inloggningsuppgifter, tillgång till sin dator eller pengar.

Social ingenjörsattacker kan ske i realtid, med någon som aktivt pratar med dig i telefon eller fysiskt närvarande på ditt kontor; asynkront som genom ett utbyte av e-postmeddelanden med en dålig skådespelare som låtsas vara någon de inte är, eller vara en passiv fälla som levereras via ett e-postmeddelande, en webbplats eller till och med en fysisk USB-enhet.

Exempel på sociala ingenjörsattacker

Nätfiske, där en dålig skådespelare skickar ut meddelanden, ofta via e-post, utformade för att se ut som om de kommer från ett legitimt företag, med avsikt att få dig att lämna över dina inloggningsuppgifter eller godkänna en betalning är vanliga exempel på social ingenjörskonst attacker. De gör ofta detta genom att erbjuda en oemotståndlig, tidsbegränsad affär eller hota med allvarliga konsekvenser (som en överhängande överbetalning) för att få offret att få panik och skynda sig att klicka sig igenom utan att tänka på vad de är håller på med.

Vissa attacker av det här slaget fokuserar istället på att få skadlig programvara på en PC genom att övertyga en användare om att det är legitim programvara. När Adobe Flash fortfarande användes såg vi ofta skadliga webbplatser som distribuerade skadlig programvara i skepnad av en nedladdning av Flash-spelare. När användaren har blivit lurad att installera den kan skadlig programvara spionera på dem, försök att göra det äventyra deras nätverk, eller missbruka systemresurser för att delta i botnät, skickade skräppost eller mina kryptovaluta.

Bedrägerier med teknisk support. Bland de mest populära är falska supportsamtal låtsas vara från Microsoft. Ett ökänt exempel informerade användaren om att de hade en svår skadlig programvara infektion och "bevisa" detta genom att låta användaren öppna Windows Event Viewer, en loggvisare som visar många helt godartade fel och varningar som ser skrämmande ut för någon som inte vet vad de letar efter på.

Vissa bedrägerier med teknisk support använder webbläsarfrysande "screenlocker" webbpopup-fönster för att tillfälligt inaktivera ett offers dator och instruera dem att ringa ett "officiellt supporttelefonnummer", som fungerar på liknande sätt som icke-kryptering ransomware, som i sig använder element av social ingenjörskonst.

"Scareware", en relaterad kategori som ofta innehåller popup-fönster online som varnar dig om att din dator är infekterad med skadlig programvara, tillsammans med ett nedladdningsbart "anti-malware"-verktyg som i sig är skadligt.

Riktade falska samtal till eller från ett företags IT-supportteam, till exempel för att begära inloggningsuppgifter eller annan känslig information.

Fysiska sociala ingenjörsattacker kan förlita sig på distraktion eller inkonsekvens, såsom en Naomi Wus exempel av en lättklädd penetrationstestare, som filmar sig själv med en selfie-pinne och blir fullständigt ignorerad när hon valsar förbi receptionen och säkerheten, eller motsatsen, smälter in i bakgrunden, till exempel genom att se ut som om du ska vara någonstans genom att bära ett urklipp, gå målmedvetet och bär hi-viz för att få tillgång till en säker webbplats.

Väl in på en förment säkrad webbplats kan den dåliga skådespelaren komma åt datorer, nycklar eller data för att äventyra sitt mål. den "ond piga” attack Wu hänvisar till i sin video involverar ofta faktisk personal på ett företag (arketypiskt ett hotell) använder sin tillgång för att äventyra sitt måls elektroniska enhet, men detta kan också göras av en bedragare.

En annan fysisk attack, som snarare passerat sitt sista säljdatum men som inte kräver någon mänsklig interaktion alls är "bete". En USB-enhet som är infekterad med skadlig programvara lämnas någonstans inbjudande, potentiellt märkt för att uppmuntra sin hittare att koppla in den till en PC och kontrollera den. Även om vi har gått förbi tiden då Windows autorun-filer tillåts köras från flyttbara media, ett smart namn program och readme-fil på enheten kan fortfarande övertyga rätt mål att sabotera sin egen dator genom att köra dem.

Läs vår Säkerhetsguide för fler tips om hur du kan leva ett säkrare onlineliv.

Varför lita på vår journalistik?

Trusted Reviews grundades 2004 och finns till för att ge våra läsare grundliga, opartiska och oberoende råd om vad de ska köpa.

Idag har vi miljontals användare i månaden från hela världen och bedömer mer än 1 000 produkter per år.