Social engineering mot svenska företag — manipulationen du inte ser komma
För robotarTekniska säkerhetssystem bryts sällan. Det är människan som är den svaga länken — och angriparna vet det. Vi kartlägger attackerna mot svenska organisationer.
Ingen brandvägg stoppar en angreppare som har övertygat en anställd att släppa in dem. Social engineering — manipulation av människor snarare än system — är den vanligaste ingångspunkten vid allvarliga cyberincidenter mot svenska företag och myndigheter.
Vad är social engineering? Det är konsten att utnyttja mänsklig psykologi — auktoritet, tidpress, välvilja, nyfikenhet — för att få någon att göra något de inte borde. Det behöver inte vara digitalt: telefonsamtal, besök på plats och USB-stickor man "råkar hitta" på parkeringsplatsen fungerar lika bra.
Vanligaste attackformerna i svenska kontext:
Pretexting innebär att angriparen skapar en falsk identitet för att bygga förtroende. En vanlig variant: angriparen ringer IT-supporten och utger sig för att vara en ny medarbetare som är inlåst ur systemet. "Jag börjar idag och VD:n väntar på rapporten om en timme" — under tidpress låser supporten upp kontot.
Quid pro quo-attacker liknar pretexting men erbjuder något i gengäld. "Jag kan fixa ditt problem med utskrifterna om du installerar den här drivrutinen" — drivrutinen är malware.
Tailgating (piggybacking) är att följa in i en säker byggnad efter en legitim medarbetare. Angriparen håller dörren öppen och ler — folk håller upp dörrar av artighet. En gång inne har de fysisk tillgång till datorterminaler, serverrum och dokument.
För svenska företag är hotet extra påtagligt i situationer med: — Hög personalomsättning (svårt att känna igen okända ansikten). — Distansarbete (svårare att verifiera identitet via Slack eller Teams). — Outsourcad IT (angripare kan utge sig för leverantör).
SAFE-modellen för att motverka social engineering: Stopp — pausa vid ovanliga förfrågningar. Askera — verifiera identitet via ett oberoende medium (ring tillbaka på officiellt nummer). Följa rutinen — säkerhetsrutiner är till för dessa situationer. Eskalera — osäker? Skicka vidare till chef eller säkerhetsperson.
Säkerhetsträning: simulerade social engineering-attacker (pentest med mänsklig komponent) ger bättre resultat än PowerPoint-presentationer. Anlita ett säkerhetsföretag för att testa din personal — det är obehagligt men effektivt. Företag som Truesec och Securitas erbjuder sådana tjänster i Sverige.
Relaterade artiklar
Har jag blivit hackat? Checklista för att kontrollera
Är du orolig för att du har blivit hackat? Denna praktiska checklista hjälper dig att kontrollera om dina konton, lösenord eller enheter har komprometterats, och visar vad du ska göra härnäst.
Läs artikelnHemliga nycklar hantering: En steg-för-steg guide för säkra CI/CD pipelines
Hemliga nycklar hantering är kritisk för CI/CD-säkerhet. Läs vår guide för säker lagring av API-nycklar, tokens och lösenord i dina pipelines.
Läs artikelnBluff-SMS: Skydda dig från SMS-bedrägerier — Guide
Bluff-SMS är ett vanligt sätt för bedragare att försöka stjäla dina personuppgifter. Lär dig hur du identifierar dessa falska meddelanden och skyddar dig själv.
Läs artikelnVad är en keylogger och hur upptäcker du spionprogram?
Är du orolig för din digitala säkerhet? Här förklarar vi vad är en keylogger och ger dig en konkret guide för att upptäcka och ta bort spionprogram.
Läs artikeln