Psykologiska faktorer som möjliggör social manipulation

En angripare utnyttjar psykologiska faktorer hos människor i syfte att utföra dataintrång. Vanligt förekommande angreppssätt inom Social Engineering är fysiska intrång och phishing för att på så sätt få tillgång till känslig information, lokaler, nätverk och andra mål. Oavsett val av angreppssätt bygger attacken ofta på specifika scenarion. Ett scenario kan exempelvis vara att få måltavlan att hjälpa till på ett sätt som gynnar angriparen.

Medmänsklighetens baksida

En faktor angriparen kan utnyttja vid konstruktionen av ett scenario är människans benägenhet att frivilligt vilja hjälpa andra medmänniskor, oavsett konsekvenser, risker och kostnader. Generella faktorer som ökar sannolikheten att få hjälp är exempelvis om kraven på hjälp anses rimliga och legitima eller om personen ej har åsamkat sina problem själv. Det kan även påverkas av att du är kvinna, att du identifierar dig med personen kulturellt eller socialt, samt om du anses vara en attraktiv person.

Konsten att hjälpa andra

Vi lär oss från barnsben att i vissa situationer ska man hjälpa andra. Exempelvis öppna och hålla upp dörren för personen bakom dig och speciellt göra det om personen bär på ett tungt paket. Det är ett scenario en angripare kan använda sig av för att fysiskt ta sig in innanför ett företags skalskydd. Väl inne i lokalerna kan angriparen placera ut skadliga USB-stickor i syfte att få användare att koppla in dem i sina datorer. Därefter körs skadlig kod, vilket kan leda till olika konsekvenser beroende på angriparens syfte med attacken.

Den empatiska förmågan

Ett annat scenario kan bygga på empati. Sannolikheten att hjälpa ökar när en person upplever empati gentemot en annan människa. En angripare kan nyttja empati i en dialog med en måltavla genom att exempelvis gå fram till personalen i receptionen, stressad och med tårfyllda ögon, fråga om man får låna skrivaren för en mycket viktig utskrift. Angriparen kan krydda sin historia genom att visa kaffet som spillts över de papper som behövs vid en viktig presentation. Väl vid skrivaren kan angriparen utnyttja åtkomsten för att plantera en så kallad Låda. Lådan används med syftet att ta sig in i företagets nätverk.

Duktighetsfenomenet

Genom att utföra goda handlingar känner vi oss duktiga och nöjda med oss själva. Beteendet är självförstärkande eftersom det upplevs som en form av belöning. Ett scenario jag använt under kunduppdrag är att kontakta måltavlan via telefon och be dem delta i en enkätundersökning som syftar till att förbättra en process i organisationen. Måltavlan känner sig duktig och nöjd med sitt beteende i och med sitt deltagande och därmed sitt bidrag till företagets förbättringsarbete.

Den som blir hjälpt i första läget hjälper den andre i andra läget

En positiv människosyn ligger också till grund för att hjälpa en annan människa. Genom att hjälpa en annan ökar sannolikheten att få hjälp tillbaka. Det kan röra sig om något så simpelt som att angriparen håller upp den olåsta porten för en måltavla, de delar hiss upp till kontoret och väl vid den låsta entrédörren är det måltavlan som låser upp och håller upp dörren för angriparen.

Våra egna drifter kan slå tillbaka emot oss

Ytterligare en förklaring till varför vi hjälper en annan person grundar sig i människans försvarsmekanismer. I och med att hjälpa andra tillgodoses våra egna drifter och därmed upprätthåller vi en tillfredsställande självbild.

En ensam måltavla

Ju fler personer som närvarar när en människa behöver hjälp, desto mindre benägna är vi att faktiskt hjälpa till. En orsak till fenomenet förklaras utifrån att ansvaret sprids när fler personer närvarar, vilket leder till osäkerhet angående vem som äger ansvaret för att agera. Detta är den så kallade Åskådareffekten (Latané & Darley, 1968). En angripare kan således öka sannolikheten att få hjälp genom att genomföra attacken när måltavlan är ensam.  Angriparen kan agera skadad och fråga måltavlan efter hjälp och förbandslåda. Syftet med attacken kan exempelvis vara att komma nära måltavlans inpasseringskort så att angriparen kan få möjligheten att scanna av det. Därefter kan angriparen använda scanningen för att tillverka ett giltigt inpasseringskort som kan komma att användas för att komma innanför det fysiska skalskyddet i senare delar av attacken.

Sårbarhet: Människan

För att uppnå en motståndskraftig organisation så är det grundläggande att öka förståelsen för mänskligt beteende och de psykologiska processer som sker. Annars kommer angripare alltid dra nytta av sårbarheten som användarna utgör och lyckade dataangrepp kommer fortsätta att vara ett faktum. Det enda som begränsar angripare är således deras egen kreativitet vid skapandet av scenarios.

Ett fullt reellt hot

Vi som representerar etiska manipulatörer tar hänsyn till etik, moral och lag. Tillsammans skapar vi dialoger, ökar medvetenheten och motståndskraften mot dataangrepp. Det är dags att ta ansvar för det fullt reella hot som Social Engineering innebär. När ska du ta ansvar och påbörja arbetet med att stärka din organisations medvetenhet och motståndskraft mot manipulation?

Inlägget har belyst psykologiska faktorer som möjliggör social manipulation. Resonemangets utgångspunkt grundar sig i prosocialt beteende, främst altruism. Flera perspektiv finns representerade, så som det socialpsykologiska, psykoanalytiska, evolutionspsykologiska, behavioristiska och det kognitiva.

Jag vill rikta ett stort tack till er alla som läst artikelserien jag skrivit på ämnet social engineering under hösten. Tack och på återseende!

Här nedan hittar du samtliga 8 inlägg i artikelserien: