Social Engineering Attack

Social engineering er et angreb, hvor mennesker udnyttes som angrebsvektor i stedet for tekniske sårbarheder. Angriberen manipulerer adfærd, tillid eller autoritet for at få adgang til systemer, data eller penge.

Det er et low-tech, high-impact angreb med høj ROI.

Hvad er et Social Engineering Attack?

Et social engineering-angreb bruger psykologiske greb til at få offeret til at:

• Udlevere credentials

• Installere malware

• Udføre handlinger, der kompromitterer sikkerheden

• Omgå interne kontroller

Angrebet kræver typisk ingen teknisk adgang ved start.

Hvordan opstår problemet?

Angrebet lykkes, når:

• Tillid antages i stedet for verificeres

• Processer er uklare eller kan omgås

• Medarbejdere presses på tid, frygt eller autoritet

• Sikkerhed opfattes som et IT-problem, ikke et forretningsproblem

Mennesker er den svageste kontrol i enhver organisation.

Hvorfor er Social Engineering alvorligt?

Sikkerhed

• Omgår tekniske sikkerhedslag

• Fører ofte til credential theft

• Bruges som indgang til større angreb (ransomware, databrud)

Forretning

• Direkte økonomisk tab (CEO fraud, wire fraud)

• Driftsforstyrrelser

• Reputationsskade

Compliance

• Brud på interne kontroller

• Audit findings

• Overtrædelse af sikkerhedspolitikker og regulatoriske krav

Typiske angrebsformer

Klassiske varianter

• Phishing

• Spear phishing

• Whaling

• Vishing (telefon)

• Smishing (SMS)

Avancerede varianter

• Business Email Compromise (BEC)

• Pretexting

• Impersonation attacks

• Tailgating / Piggybacking

• Quid pro quo

Typisk angrebsscenarie

1. Indsamling af information (LinkedIn, hjemmeside, leaks)

2. Opbygning af troværdig kontekst

3. Skabelse af urgency eller autoritet

4. Offeret udfører handlingen

5. Eskalering til teknisk kompromittering

Hvad beskytter ikke mod Social Engineering?

• Firewalls

• Antivirus alene

• Stærke passwords uden MFA

• “Vi har policies”

Teknologi uden adfærdsændring fejler.

Best Practice – forebyggelse

Organisatorisk

• Klar ansvarskæde og godkendelsesflows

• Separation of duties

• Zero Trust-mentalitet

Menneskelig

• Regelmæssig awareness-træning

• Phishing-simulationer

• Kultur hvor verifikation er accepteret

Teknisk

• MFA overalt

• E-mail security (DMARC, SPF, DKIM)

• Least privilege

• Logging og anomaly detection

Forretningsmæssig realitet

Social engineering er svært at eliminere fuldstændigt.

Målet er ikke perfektion, men:

• Hurtig detektion

• Begrænset blast radius

• Klare recovery-processer

Udfordringer og løsninger

Udfordring: Medarbejdere vil være hjælpsomme

Løsning: Formaliser verifikation, ikke tillid

Udfordring: Træthed over træning

Løsning: Korte, realistiske simulationer

Udfordring: Ledelsen undtages

Løsning: Whaling er netop rettet mod ledelsen

Opsummering

Social engineering udnytter mennesker, ikke maskiner.

Så længe mennesker har adgang, vil denne angrebstype eksistere.

Sikkerhed stopper ikke ved kode og infrastruktur.

Den stopper ved adfærd.