Nordea-kunder narret med social engineering
Chefen det nemmeste mål for social engineering
Måske var det mit regnvåde ansigt, der vakte medlidenhed.
Måske var det tidspunktet på dagen.
Måske var den fremmede mand bare på vej på arbejde, da han med et venligt 'godmorgen' tog sit adgangskort frem, kørte det gennem kortlæseren og lukkede mig med ind hos it-sikkerhedsfirmaet Symantec.
I hvert fald kunne jeg et 'godmorgen' senere spankulere ind i et storkontor, hvor der stod et par håndfulde computere - givetvis spækket med spændende informationer. Værdifulde informationer.
Jeg ventede dog artigt i hallens røde sofa. Min mission var ikke at hente data, men blot at interviewe Symantecs vicedirektør, Art Gilliand, som er produktansvarlig hos verdens største it-sikkerhedsselskab.
Pigen med pakken
Han slår ud med armene, da jeg fortæller ham, hvordan jeg er kommet ind. Art Gilliand har selv en anekdote klar, der handler om en ung smuk pige, som i en frokostpause i en større amerikansk produktionsvirksomhed går forbi de mandlige rygere ude på parkeringspladsen. I favnen har hun en stor pakke, og en af mændene træder galant frem og lukker hende ind i bygningen med sit adgangskort.
Inde på et kontor kvitterer hun for venligheden ved at sætte kassen fra sig, fiske to USB-sticks frem og fyre dem i to efterladte computere. Den kønne, unge kvinde forsvinder derefter ud af bygningen igen, mens hendes medsammensvorne bagmænd fjerner data fra produktionsvirksomhedens it-netværk.
Heldigvis for produktionsvirksomheden havde den både betalt bagmænd og den unge kvinde for at teste deres egne sikkerhedsproducerer, fortæller Art Gilliand.
"Historien indeholder alle de klassiske ingredienser i social engineering: Research omkring adgangsforholdene med hoveddøren og de rygende mænd, en smuk ung kvinde som afledningsmanøvre og relativ simpel teknik til at tilgå og stjæle firmaets data," forklarer han.
Folk er ikke dumme - men...
Begrebet social engineering dækker over moderne bondefangeri, hvor skuespil i stemmen og overtalelsesevner i øjnene er mindst lige så vigtige elementer som ferme programmeringsfingre.
Symantecs vicedirektør Art Gilliand fortæller, at social engineering er en af de nyeste og mest effektive former for it-kriminalitet, fordi de udnyttede personer sjældent fatter mistanke om, at de er ved at blive narret - og ofte selv hjælper til med at narre sig selv.
Og så er metoden med at narre folk for at få adgang til deres penge, data eller personlige informationer populær som aldrig før.
"Folk er ikke nødvendigvis dumme, men de kan godt finde på at gøre dumme ting. De kan jo ikke se, hvad der foregår bag kulisserne, når de prøver at være hjælpsomme," fortæller Art Gilliand.
Fra Nigeria-breve til harpunfiskeri
Teknikken med social engineering kendes i sin helt usofistikerede form fra de såkaldte Nigeria-breve, hvor afsenderen appellerer til empati, forståelse og ikke mindst penge hos modtageren.
Artiklen fortsætter på næste side...