Bli medlem

Akta dig för vd-bedragare och andra sociala ingenjörer!

Svenska företag och myndigheter verkar just nu vara under attack – och de cyberkriminella fortsätter hitta nya vägar in. Nyligen rapporterades det om hur Tillväxtverket bestulits på flera miljoner av så kallade sociala ingenjörer. Vi lär dig känna igen dem och deras tricks.

Detta är ett innehåll från Unionen Opinion.

Publicerad 04 sept. 2023

Nätfiskare i farten

Dagens Nyheter rapporterade nyligen om att Tillväxtverket bestulits på åtta miljoner kronor genom fejkade mejl som verkade komma från generaldirektören. Och de är långtifrån de enda som utsatts. Ofta kallas detta för vd-bedrägerier, där en bedragare utger sig för att vara företagets vd, och ber en anställd att göra en överföring på en stor summa pengar.


När man pratar om säkerhetsintrång tänker många på hackare, eller någon annan teknisk svaghet, men många attacker riktar in sig på oss människor som den svaga länken. Det här kallas ”social engineering”, alltså social ingenjörskonst, där människor manipuleras att lämna ut information. För bedragaren kan det vara betydligt enklare att få ut information den vägen än att hacka sig in i ett supersäkert system och sno åt sig vad man vill ha. För säkerheten är aldrig starkare än den svagaste länken. Ibland får man tag på mindre bitar av information om ett företag eller en verksamhet, men ihoppusslade kan de innebära en rejäl säkerhetslucka.

3 social engineering-taktiker

  1. Mänskligt möte.
  2. Telefon.
  3. Digitalt.

Här är några vanliga taktiker på respektive område för att få tillträde, samla på sig information eller plantera utrustning. Se upp för dessa!   

Mänskligt möte

  • Elektrikern, eller fruktbudet. Någon låtsas vara exempelvis elektriker som bara ska fixa en grej, för att komma in på företaget.
  • Dörröppnaren. När man håller upp dörren för en person, som på så sätt kan komma in.
  • Open access. Någon har glömt sin mobil eller dator och ber att få låna din en kort stund för att lösa en grej, och lämnas utan uppsyn.

Telefon

  • Panik! Någon som säger sig vara från support ringer, är superstressad, och ber dig att snabbt godkänna fjärråtkomst eller uppge ditt lösenord, så att hen kan hjälpa dig.
  • Vishing. Bluffsamtal där någon fiskar efter uppgifter via telefonen. Kanske låtsas man vara från banken eller en myndighet och ber dig logga in på ett konto. Eller så låtsas man vara chefen som vill att du snabbt gör en stor transaktion.

Digitalt

  • Phishing. Nätfiske. Någon kanske låtsas vara från ett företag som ni är kunder hos. Du uppmanas besöka en sajt för att uppdatera dina uppgifter. När du klickar där installeras skadlig programvara som ger hackaren tillgång till info.
  • Spear phishing. Nätfiske riktat mot en specifik person. Här har bedragaren tagit fram personliga detaljer för att vinna ditt förtroende. Kan också vara ett mejl från en kollega, som innehåller en trojan som avlyssnar din dator.
  • Vd-bedrägeri. Mejl som kommer från en högt uppsatt person, som ber dig att snabbt hjälpa hen med en grej. Kan komma från en snarlik mejladress. En felstavad bokstav är lätt att förbise. Exempelvis info@tillvaxtvrkt.se  

Tips till dig!

  • Snåla med info. Ju mer info du delar online, desto större risk att utsättas för en attack.
  • Lita på magkänslan. Verkar ett mess eller mejl konstigt, så är det troligen det.
  • Se upp för bilagor. Kan innehålla skadlig programvara.
  • Stå stark. Låt inte bedragarens uppjagade ton påverka dig. Fortsätt tänka kritiskt och göra noggranna granskningar.

Se upp för deepfake-chefen!

Detta är ett innehåll från Unionen Opinion.

Bild på deepfake-chef

Det pratas mycket om källkritik i skolan, men även i jobbet behöver man öva upp sitt källkritiska öga.

– Inte minst för att kunna fatta korrekta beslut. I alla jobb som handlar om att dra slutsatser utifrån information för att sedan fatta beslut är det viktigt att vara källkritisk, säger Mattias Svahn, forskare på med fokus på desinformation, på FOI totalförsvarets forskningsinstitut.

Syftet är att påverka dina beslut

För vi utsätts i princip dagligen för felaktig information. Mattias Svahn säger att man visserligen bör skilja på desinformation och misinformation, där den senare har blivit felaktig av misstag. Desinformation däremot är medvetet skapad och planterad för att vara felaktig. 

Mattias Svahn

Mattias Svahn, FOI

– Vad gäller beslutsfattande så kan båda leda till samma utfall, alltså ett felaktigt beslut. Men det är bra att förstå att vi lever i en värld där aktivt planterad desinformation, med syfte att påverka handläggningsbeslut, förekommer.

Det är inte ovanligt att man borstar av sig risken med ”varför skulle någon gå på mig”, men där invänder Mattias Svahn.

– Ingen är en obetydlig människa! Varje medarbetare som fattar beslut i sin yrkesroll är intressant för bedragare att påverka.

På vilket sätt kan felaktig information skada mig och min arbetsplats?

– Informationspåverkan kan användas i ekonomiska syften, som klassiska svindlerier eller att man vill sälja på dig något som inte är lämpligt.

Deepfake-chefer – inte längre science fiction

Han påpekar att bara de senaste månaderna har det dykt upp allt fler deepfakes, där man bygger en digital kopia av en person, som kan säga eller göra vad som helst. Exempelvis kom det en deepfake-video där Ukrainas president Zelensky uppmanade sitt folk att kapitulera. Och det finns ett färskt exempel där en anställd på ett finansbolag i Hongkong blev uppringd av sin ”chef” i ett videomöte, och tillsagd att föra över 25 miljoner dollar till ett annat konto.

– Än så länge är deepfake-chefer mest anekdotiska historier. Det är vanligare att göra deepfakes på offentliga personer, politiker och kändisar, där det finns stora mängder träningsdata för AI att använda sig av, men det är inte science fiction längre. I en nära framtid kan det komma mindre spektakulära saker, som offentliga dokument eller licenser, eller en pdf på ett beslutsunderlag som ser korrekt ut, som får dig att röja affärshemligheter eller flytta pengar till fel konto, säger han och lägger till:

– Fast förmodligen är klassiska bedrägerier, där en människa kontaktar dig, fortfarande vanligare.

Källkritik och källtillit behöver samspela

Men vi behöver inte bara ifrågasätta information, utan också ha tillit till vissa källor. Kritik och tillit måste samspela. Därför pratar allt fler nu även om källtillit.

– Man ska inte vara källkritisk in absurdum, för då kanske man börjar misstro även det som är trovärdigt och sant. Så tro på de källor du är van att tro på, som etablerade nyhetsmedier med ett långt ”track record”.

Mattias Svahn, forskare på FOI, totalförsvarets forskningsinstitut, tipsar.

Källkritik: Tänk efter två gånger
Tänk efter två gånger innan du agerar. Framförallt om du ska fatta ett större beslut. Ganska ofta finns det diskrepanser, som att länken du uppmanas klicka på är lite för lång eller att det finns något stavfel. Om något känns konstigt, är det ofta konstigt. Och det är sällan det är så brådskande att du inte kan lägga fem minuter på att fundera ett varv till, kontakta en kollega eller myndighet för dubbelkoll.


Källtillit: Välj vilka du litar på
Idag är antalet källor i stort sett obegränsat, och valet mellan dem faller på dig som enskild individ. Det finns en fara i att bli cynisk och tro att allt är fejk. För jo, det finns seriös journalistik, välunderbyggd forskning och myndigheter som vill väl. Våga lita på det.
 

Välkommen till källkritikens dag 2024 och ett kostnadsfritt digitalt eftermiddagsevent om informationspåverkan och desinformation på digitala plattformar. Arrangör är Internetstiftelsen.

Anmäl dig här: Desinformation, propaganda och lögner – så sprids falska berättelser på nätet

Lär dig om hur falska berättelser om verkligheten sprids på nätet, vem som sprider dem och varför.

  • Ta del av erfarenheter och lärdomar från verksamheter som drabbats av desinformationskampanjer
  • Få kunskap om hur falska berättelser om verkligheten sprids på nätet
  • Lär dig mer om hur informationspåverkan från främmande makt ser ut och varför

Eventet riktar sig till alla som jobbar för att öka informationskunnigheten och bygga motståndskraft mot informationspåverkan, både hos befolkningen och i den egna verksamheten.

Ett perfekt tillfälle att få nya kunskaper och omvärldsbevakning för dig som är lärare, bibliotekarie, anställd inom offentlig förvaltning, verksamhetsansvarig, beslutsfattare, eller arbetar med kommunikation, säkerhet och beredskap.

Anmäl dig här: Desinformation, propaganda och lögner – så sprids falska berättelser på nätet