Danske virksomheder investerer i firewalls, antivirus og krypterede netværk. Men personer med en fjendtlig dagsorden kan også benytte en anden vej ind til virksomhedens fortrolige oplysninger og systemer, en vej der går uden om den teknologiske sikkerhed. Den vej går via dine medarbejdere.
Svindlere og konkurrenter kan skaffe sig adgang til din virksomhed og fortrolige oplysninger om din virksomhed via dine medarbejdere. Denne artikel dykker ned i, hvordan helt almindelige, positive menneskelige egenskaber uforvarende kan åbne døren til virksomhedens oplysninger for kriminelle, konkurrenter og industrispioner.
Hvem kan være interesseret i at udføre social engineering mod virksomheder og kommuner ?
• Konkurrenter, samarbejdspartnere og underleverandører som er interesserede i kundelister, prisaftaler eller kommende produktlanceringer for at erobre markedsandele.
• Aktivister og pressen, som leder efter skandalesager eller intern korrespondance, der kan skade virksomhedens omdømme.
• Industrispioner fra fremmede stater eller aktører, der søger viden om patenter, forskning eller infrastruktur.
• Organiserede kriminelle, der er ude efter virksomhedens adgangskoder og data, f.eks. ved at sende spear phishing mails til nøglepersoner i virksomheden. Formålet kan være at stjæle virksomhedens tegninger, patenter, opskrifter eller kildekoder for at sælge dem til konkurrenter, fremmede stater eller forlange en løsesum. Eller at narre nøglemedarbejdere i økonomiafdelingen til at overføre store beløb til en udenlandsk konto.
Svindlerne benytter sig af psykologisk manipulation, ved at udnytte hjælpsomme, pligtopfyldende og sociale medarbejdere. Her er en gennemgang af de medarbejdere som er i den største risiko for at blive udnyttet og manipuleret.
• Den hjælpsomme medarbejder.
Den hjælpsomme medarbejder ser svindleren som en person med en reel hensigt, som står med favnen fuld af mapper foran en låst dør, eller modtager et opkald fra en "it-supporter", der har brug for en kode for at løse et akut problem. Svindleren udnytter, at det føles unaturligt og uhøfligt at afvise en person der har brug for hjælp. Resultatet er, at døren åbnes eller at adgangskoden udleveres.
• Den pligtopfyldende medarbejder.
Denne medarbejder vil gerne sikre, at arbejdet glider. Hvis en svindler sender en falsk mail, der ser ud til at komme fra en leverandør om en ubetalt faktura, vil den pligtopfyldende bogholder ofte skynde sig at betale for at undgå rykkergebyrer eller dårlig stemning. Hastværk er svindlerens bedste ven.
• Den autoritetstro medarbejder.
Når en svindler ringer eller skriver og udgiver sig for at være den administrerende direktør med en "hastesag" eller en "hemmelig opgave", slår mange deres kritiske sans fra. Frygten for at stille spørgsmålstegn til chefer overskygger sikkerhedsprocedurerne. Svindleren bruger nogle gange en bestemt tilgang der får medarbejderen til at udføre opgaven med det samme uden at udvise mistro.
• Den sociale medarbejder.
Svindleren udnytter sociale situationer og samspil på forskellige måder:
○ Svindleren kan via opslag på sociale medier finde oplysninger om medarbejdernes navne i virksomheden og nævne IT chefens navn. Eller se at virksomheden lige har skiftet leverandør og ankomme til virksomheden i en t-shirt med leverandørens logo på for, at få udleveret et adgangskort der giver adgang til forskellige områder af virksomheden, f.eks. IT afdelingen hvor svindleren siger at han skal gøre rent eller fylde kaffebønner i kaffemaskinen. Den sociale medarbejder kan også komme til at røbe virksomhedens sikkerhedsprocedurer eller mangler på samme, når den nye usikre leverandør spørger ind til hvordan det hele fungerer.
○ Svindleren anvender psykologiske metoder indenfor spejling som at udgive sig for at være usikker og have brug for hjælp, hvilket vækker medarbejderens sympati for at hjælpe svindleren.
○ Svindleren anvender psykologiske metoder indenfor autoritet, som at nævne IT chefens navn og have firmatøj på, for at virke troværdig.
○ Svindleren udnytter hjælpsomme medarbejderes lyst til at hjælpe andre og føle sig værdsat.
• Den snaksalige medarbejder.
Over en frokost, til en konference eller på sociale medier kan de komme til at dele små brikker af et større puslespil. Det kan være detaljer om interne processer, hvornår chefen er på ferie, hvilke it-systemer man bruger eller at man er utilfreds med en bestemt sikkerhedsopdatering.
• Den konfliktsky medarbejder.
Svindlere kan være aggressive. De kan true med fyring, råbe i telefonen eller skabe en meget ubehagelig stemning. Den konfliktsky medarbejder kan komme til at give efter og udlevere oplysningerne blot for at få den ubehagelige situation til at stoppe.
• Den nysgerrige medarbejder.
Et klassisk trick er at efterlade et USB-stik på parkeringspladsen med etiketten "Lønforhandlinger 2026" eller sende en mail med overskriften "Se billederne fra julefrokosten". Nysgerrigheden vinder over fornuften, stikket sættes i computeren og virksomhedens netværk inficeres.
• Den utilfredse medarbejder.
En medarbejder, der føler sig overset eller uretfærdigt behandlet, kan være sårbar over for smiger eller bestikkelse fra konkurrenter. I værste fald kan de rationalisere, at det er i orden at lække oplysninger som en form for hævn.
• Den naive medarbejder.
Denne medarbejder tror simpelthen det bedste om alle. De har svært ved at forestille sig, at nogen vil virksomheden det ondt og opdager derfor aldrig, at de bliver manipuleret, før skaden er sket.
Her er nogle eksempler på hvordan uddannelse og åbenhed kan være vigtigt for, at beskytte virksomheden mod social engineering.
• Tal om de metoder svindlerne anvender.
Medarbejderne skal kende svindlernes tricks, så de kan genkende dem når de møder en potentiel svindler.
• Tal med medarbejderne om deres svagheder.
Den enkelte skal vide, om de er typen, der er "for hjælpsom" eller "bange for chefen", så de kan være ekstra opmærksomme i pressede situationer.
• Det er tilladt at sige nej.
Ledelsen skal gøre det klart, at det er positivt at stoppe op, stille spørgsmål og kræve legitimation, også selvom det er chefen eller en vigtig leverandør, der beder om adgang.
Professionelle sikkerhedsvagter kan beskytte virksomheder og kommuner
Social engineering kan starte med et fysisk besøg, hvor svindleren forsøger at omgå virksomhedens adgangskontrol ved at manipulere med medarbejderne.
Sikkerhedsvagter kan beskytte virksomheden i sårbare perioder og ved svagheder i adgangskontrollen, hvis virksomheden er udsat for tyveri af nøgler, indbrudsforsøg eller ved nedbrud af mekanisk sikring.
En professionel sikkerhedsvagt kan udføre bevogtning, adgangskontrol og føre opsyn med mistænkelig aktivitet i og omkring virksomheden og afvise uvedkommende personer fra virksomhedens område.