Social engineering (sociala manipuleringstekniker) avser alla tekniker som syftar till att övertala en målgrupp att avslöja specifik information eller utföra en specifik åtgärd av illegitima skäl. Även om denna form av bedrägeri alltid har funnits, har den utvecklats avsevärt med IKT-tekniken. I detta nya sammanhang kan social engineering inom IT betraktas ur två olika synvinklar:
- antingen genom att använda psykologisk manipulation för att få ytterligare tillgång till ett IT-system där bedragarens egentliga mål finns, till exempel att utge sig för att vara en viktig kund via ett telefonsamtal för att lura offret att surfa på en skadlig webbplats för att infektera offrets arbetsstation, eller
- använda IT-teknik som stöd för psykologiska manipulationstekniker för att uppnå ett mål utanför IT-sfären, till exempel att få bankuppgifter via en nätfiskeattack för att sedan stjäla offrets pengar.
Den ökande användningen av IT-teknik har lett till en ökad användning av sådana tekniker, liksom kombinationer av dem, till en sådan punkt att de flesta cyberattacker nuförtiden innehåller någon form av social engineering.
Det finns några olika tekniker för social engineering, till exempel pretexting, baiting, quid pro quo och tailgating. Phishing-attacker bygger också på social engineering.
Pretexting innebär att man använder en förevändning, en falsk motivering för en viss åtgärd, för att vinna förtroende och lura offret. Exempel på pretexting är att angriparen påstår sig arbeta för IT-support och ber om offrets lösenord för underhållsändamål. Korrekta identifierings- och autentiseringsprocesser, policyer och utbildningar bör finnas på plats för att kringgå sådana attacker.
Baiting innebär att offret lockas att utföra en viss uppgift genom att få enkel tillgång till något som offret vill ha. Exempel på baiting är ett USB-minne som är infekterat med en keylogger och märkt “Mina privata bilder” lämnas utanför offrets dörr. Säkerhetspolicyer som ett air gap (luftgap) och blockering av icke-auktoriserad programvara och hårdvara kommer att motverka de flesta försök, men personalen bör också påminnas om att inte lita på okända källor.
Quid pro quo innebär en begäran om information i utbyte mot en ersättning. Exempel på Quid pro quo-attacker är när angriparen ber om offrets lösenord och utger sig för att vara en forskare som utför ett experiment, i utbyte mot pengar. Quid pro quo-attacker är relativt lätta att upptäcka med tanke på det asymmetriska värdet av informationen jämfört med kompensationen, som är motsatt för angriparen och offret. I dessa fall är den bästa motåtgärden fortfarande offrets integritet och förmåga att identifiera, ignorera och rapportera.
Tailgating innebär att man följer efter en behörig person in i ett begränsat område eller system. Exempel på tailgating är när angriparen, som är klädd som en anställd, bär på en stor låda och övertalar offret, som är en behörig anställd som går in samtidigt, att öppna dörren till datacentret med hjälp av offrets RFID-pass. Tillträde till icke allmänna utrymmen bör kontrolleras genom tillträdespolicy och/eller användning av teknik för tillträdeskontroll, ju känsligare området är desto striktare kombination. Skyldigheten att bära en bricka, närvaron av en vakt och faktiska dörrar som hindrar tillträde, t.ex. mantlar med RFID-tillträdeskontroll, bör vara tillräckligt för att avskräcka de flesta angripare.