Social ingenjörskonst innebär i ett digitalt sammanhang att någon försöker lura till sig lösenord eller annan känslig information, inte genom tekniska attacker utan genom list och den mänskliga faktorn. Det kan ske öga mot öga eller via exempelvis e-post och sociala medier.

När attackerna riktar sig mot privatpersoner kan de bestå av falska mejl från en bank, där mottagaren ombeds dela ut sina kontouppgifter, eller telefonsamtal från personer som påstår sig ringa från en supporttjänst och ber användaren att öppna ­datorn för fjärrstyrning.

Liknande taktiker används även mot företag. Ett exempel: Någon ringer upp it-supporten och presenterar sig som en av kollegorna. Mottagningen är lite skraltig och det är svårt att riktigt höra rösten. Personen säger att hen är på väg till ett viktigt möte men har fått problem med sin dator där alla handlingarna finns. Kan inte supporten generera ett nytt lösenord så att personen kan logga in?

– Folk vill hjälpa andra människor, det är vi väldigt måna om och det är ofta det angriparna utnyttjar, säger Anne-Marie Eklund Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktur.

Hon ger flera exempel på hur attacker kan gå till och det är inte bara med hjälp av tekniken. ”Hackarna” kan till exempel gå igenom ett företags elektroniksopor och pappersåtervinning i
jakt på information eller försöka bluffa sig in på arbetsplatsen.

Lär alla vara hälsosamt misstänksamma

Enligt Anne-Marie Eklund Löwinder är grunden i arbetet att utbilda alla medarbetare till att vara ”hälsosamt misstänksamma”. Med hjälp av några ­enkla regler som alla på företaget känner till kan ­risken för attacker genom social ­ingenjörskonst minskas. Här är några av hennes tips på riktlinjer som kan skydda din verksamhet.

Tekniken

Alla bör vara försiktiga med osäkra hemsidor, i synnerhet sådana som kräver inloggning. Kontrollera dem i till exempel Google page rank om du är osäker.

Se upp med usb-stickor.
 Vissa hackare har lyckats få information genom att lägga ut stickor med spionprogram som anställda sedan använt. Hittar någon ett usb-minne de inte känner igen ska rutinerna vara att de lämnar in det till säkerhetsavdelningen eller slänger det.

Var försiktig med appar. Läser man användarvillkoren och ser att de vill kunna skicka betal-sms och sprida ens kontaktinformation vidare till tredje part kan appen bli en säkerhetsrisk.

Uppdatera virusskyddet kontinuerligt.

Tänk på att en offentlig statusuppdatering på Facebook kan nå fler än användaren tänkt. Skriver någon att man ska vara på semester i två veckor kan obehöriga räkna ut att denne kommer att vara borta både från sitt hem och från sitt arbete.

På kontoret

Utbilda alla anställda i säkerhetsrutiner. Anne-Marie Eklund Löwinder berättar att på hennes egen arbetsplats försökte en obehörig ta sig in under förra året, men blev hindrad av receptionisten. Kräv att alla, även inhyrd personal, känner till rutinerna.

Om en anställd stöter på en okänd person på arbetsplatsen, som inte bär besöksbricka, ska han eller hon fråga vem denne är. ”Är det en nyanställd får ni chansen att prata”, säger Anne-Marie Eklund Löwinder.

Och så håller du igång ­kunskapen

Testa företagets säkerhetsrutiner. Be en kompis eller en konsult att agera ”mystery shopper” och försöka ta sig in genom att till exempel blanda sig in i ett lunchsällskap. Personalens rutiner behöver testas på samma sätt som man kan testa sitt virusskydd.

Utbilda alla i företaget kontinuerligt. För att kunskapen ska sätta sig måste ni nöta in den.