Beteendefaktorer bakom Social Engineering-angrepp

Vid ett vishingangrepp ställer måltavlan upp på att delta i en telefonenkät. Mot samtalets slut tillfrågas måltavlan att hjälpa till med ytterligare frågor fast denna gång skriftligen i ett formulär som skickas via email. Måltavlan accepterar ännu en gång att delta. Redan innan måltavlan har börjat besvara frågorna i formuläret har angriparen stulit exempelvis användarnamn och lösenord eller lyckats köra skadlig kod på enheten.

En strävan att leva upp till vår självbild

Vårt beteende påverkas ständigt av omgivningen och denna påverkan sker på tre sätt: konformism, följsamhet och lydnad. Vid vishing och phishing används scenarion som är grundade på Foten-i-dörren-effekten (Freedman & Fraser, 1966), vilken innebär att när en person gått med på en första begäran går denna även i regel med på en andra. Effekten förklaras utifrån att vi alltid försöker leva upp till vår självbild. När en person accepterat en första begäran stärks känslan att man är en hjälpsam person och således även godkänner en andra begäran. Ett par förutsättningar måste dock gälla – den inledande begäran måste vara tillräckligt stor för att måltavlan ska reflektera över sig själv och sitt beteende och måltavlan måste uppfatta det hela som ett fritt val.

Att lyda order från en överordnad

En angripare skickar ett phishingemail till en ekonomiassistent signerat från högsta chefen för ekonomiavdelningen. Instruktionerna säger att en stor summa pengar ska överföras snarast och att assistenten ska bortse från den vanliga ärendehanteringsprocessen. Ekonomiassistenten lyder order och genomför överföringen. Det lyckade cyberangreppet är därmed ett faktum.

Lydnad innebär att tillmötesgå en begäran som sker i form av en order av en överordnad. År 1963 utförde Stanley Milgram ett av de mest berömda men också mest kritiserade lydnadsexperimenten i psykologins historia. Milgram undersökte hur man kan få människor att utföra handlingar som de vet är fel. Försökspersonen i experimentet informerades och instruerades av en försöksledare att ge en elev elchocker vid felaktiga svar (eleven var placerad i ett intilliggande rum och var i själva fallet en medarbetare till Milgram). De flesta försökspersonerna var beredda att lyda försöksledaren – den överordnade – trots vetskapen om att det innebar skada på eleven och stor fara för dennes liv. Slutsatsen av experimentet är att lydnad är ett betydelsefullt inslag i samhället och kan förklara många svårförklarliga beteenden.

Vikten i att förstå den bakomliggande faktorn: människans beteende

Det är av vikt att förstå hur människans beteende utnyttjas i relation till cyberangrepp. För hur ska vi annars hitta åtgärder mot att förebygga cyberangrepp via den mänskliga faktorn? Tekniska implementationer i all ära men den mänskliga faktorn kan inte byggas bort. I alla fall inte i dagsläget.

Jag är beteendevetare och kriminolog och arbetar som informationssäkerhetsrådgivare. Jag strävar alltid efter att bygga upp säkrare och motståndskraftigare IT-miljöer ur ett strategiskt och organisatoriskt perspektiv åt kunden. Organisationer måste fokusera på mer än teknik, höja sin kunskap om människan som faktor vid cyberangrepp och upprätta en säkerhetskultur. Jag håller bland annat awarenessutbildningar. Vill du veta mer?

I kommande inlägg kommer du exempelvis att kunna läsa om fysiska angrepp och få ta del av ett uppdrag från min verklighet där vi blev upptäckta!

Inlägget har belyst mänskligt beteende, beteendefaktorer, lydnadsexperiment, säkerhetskultur och Foten-i-dörren-effekten.