Sosial manipulering – Hva er det?

Dette innlegget er en forkortet versjon av en lengre artikkel som ble publisert i NSM/NorCERTs Kvartalsrapport for 1. kvartal 2012. Du kan lese hele artikkelen her

Kombinasjonen av sosial manipulering og teknologiske sårbarheter blir i større grad benyttet i det vi definerer som målrettede angrep mot enkeltansatte i virksomheter og bedrifter. Angrepene trenger ikke engang å være teknisk sofistikerte når man får ansatte ubevisst til å implementere angrepet mot sin egen arbeidsgiver. I denne artikkelen forsøker vi å sette fokus på hva sosial manipulering er og hvilke spørsmål den enkelte bør stille seg for redusere muligheten for og ubevisst hjelpe trusselaktørenes til å lykkes med sine forsøk på å infiltrere datasystemer.

Sosial manipulering er ikke noe nytt. Mennesker har lurt hverandre siden tidenes morgen og det finnes like mange variasjoner av sosial manipulering som det finnes løgner.

Sosial manipulering er ikke annet en løgner og illusjoner satt i system av en eller flere mennesker som benytter dette som et verktøy for å nå sine mål. Sosial manipulering kan f.eks. være å bruke reell informasjon til å skape en situasjon eller benytte forfalsket eller ikke-reell informasjon til å skape den samme situasjon.   Situasjonene som oppstår har ofte til hensikt å skape følelsesmessige reaksjoner hos mottaker som f.eks. å skape tillit gjennom utseende, språk og budskap for deretter å få til en bestemt reaksjon/handling hos mottaker.  Situasjonen som skapes kan være av fysisk eller elektronisk art med den felles hensikt å skape en reaksjon/handling som gjør det mulig å skaffe seg f.eks. informasjon. Informasjonen kan enten føre direkte til målet eller fremskaffe mer informasjon på veien mot et mål.

Målet kan være mangeartet, men økonomiske motiver er ofte en dominerende faktor.  Verdifull og sensitiv informasjon kan ha en høy økonomisk verdi når informasjonen havner i de «urette» hender.  For NSM/NorCERT er sosial manipulasjon noe vi i økende grad ser benyttet i målrettede dataangrep med den hensikt å skaffe tilgang til sensitiv informasjon.

Informasjon har en varierende verdi avhengig av hvem som trenger den og til hvilket formål. Informasjon som vi anser å være triviell kan være viktig for en som bedriver sosial manipulasjon. Det betyr ikke at vi skal beskytte vår trivielle informasjon bedre, men vi må forsøke å øke forståelsen for at ikke alt bestandig er hva det utgir seg for å være. Dersom vi hadde vært i stand til å leve etter ordtaket om at «du skal ikke tro på noe av det du hører og bare halvparten av det du ser» ville vi ha gjort det veldig vanskelig for trusselaktørene å bedrive sosial manipulasjon.

For å nevne noen av kategoriene vi kan plassere sosial manipulasjon inn i, kan det være alt fra brev, reklame, websider, telefonsamtaler, tekstmeldinger, e-post, til det fysiske møtet med en eller flere personer.

Med andre ord kan sosial manipulasjon være alt fra e-posten fra en forretningsmann i Nigeria med tilbud om å gjøre deg rik i en fei, brevet fra et advokatkontor i Hong Kong som forteller at du har arvet en onkel du aldri har hørt om, eller telefonen fra Microsoft som forteller at du har problemer med datamaskinen din. Dette er eksempler som er av global karakter og som i realiteten retter seg mot enhver som ikke forstår at de blir utsatt for sosial manipulasjon i den hensikt å loppe dem for penger. Når vi kaller dette eksempler av global karakter er det fordi mennesker over hele kloden utsettes for denne type manipulering 24/7 med en viss variasjon av budskap og presentasjon.

At trusselaktørene benytter denne type metodikk kan ikke forklares med noe annet enn at de tjener nok på metodikken til at det lønner seg rent økonomisk. Forhåpentligvis har du og din bedrift blitt i stand til og indentifisere å motstå denne type manipulasjon.

Den sosiale manipulasjon som benyttes i målrettede dataangrep har som regel en helt annen grad av individualitet og karakter. Budskap og presentasjon er ofte bearbeidet på en slik måte at den bare passer en enkelt person, eller en mindre gruppe nøkkelansatte i bedriften.

Selv om en trusselaktør sannsynligvis må bruke noe mer ressurser på å planlegge et målrettet angrep mot en ansatt i en bedrift er det grunn til å anta at dette også lønner seg. Et godt målrettet angrep er vanskelig å motstå fordi det som oftest tar utgangspunkt i enkeltindividets hverdag, personlige interesser og har et mer subtilt budskap enn tilbudet fra den nigerianske forretningsmannen. Vi i NSM/NorCERT ser hvordan denne metoden de siste årene er blitt benyttet i flere alvorlige saker som defineres som dataspionasje.

Les hele artikkelen her

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Internettsikkerhet, Sikkerhetskultur, Sosial manipulasjon. Bookmark the permalink.