Akta dig för vd-bedragare och andra sociala ingenjörer!
Svenska företag och myndigheter verkar just nu vara under attack – och de cyberkriminella fortsätter hitta nya vägar in. Nyligen rapporterades det om hur Tillväxtverket bestulits på flera miljoner av så kallade sociala ingenjörer. Vi lär dig känna igen dem och deras tricks.
Dagens Nyheter rapporterade nyligen om att Tillväxtverket bestulits på åtta miljoner kronor genom fejkade mejl som verkade komma från generaldirektören. Och de är långtifrån de enda som utsatts. Ofta kallas detta för vd-bedrägerier, där en bedragare utger sig för att vara företagets vd, och ber en anställd att göra en överföring på en stor summa pengar.
När man pratar om säkerhetsintrång tänker många på hackare, eller någon annan teknisk svaghet, men många attacker riktar in sig på oss människor som den svaga länken. Det här kallas ”social engineering”, alltså social ingenjörskonst, där människor manipuleras att lämna ut information. För bedragaren kan det vara betydligt enklare att få ut information den vägen än att hacka sig in i ett supersäkert system och sno åt sig vad man vill ha. För säkerheten är aldrig starkare än den svagaste länken. Ibland får man tag på mindre bitar av information om ett företag eller en verksamhet, men ihoppusslade kan de innebära en rejäl säkerhetslucka.
3 social engineering-taktiker
Mänskligt möte.
Telefon.
Digitalt.
Här är några vanliga taktiker på respektive område för att få tillträde, samla på sig information eller plantera utrustning. Se upp för dessa!
Mänskligt möte
Elektrikern, eller fruktbudet. Någon låtsas vara exempelvis elektriker som bara ska fixa en grej, för att komma in på företaget.
Dörröppnaren. När man håller upp dörren för en person, som på så sätt kan komma in.
Open access. Någon har glömt sin mobil eller dator och ber att få låna din en kort stund för att lösa en grej, och lämnas utan uppsyn.
Telefon
Panik! Någon som säger sig vara från support ringer, är superstressad, och ber dig att snabbt godkänna fjärråtkomst eller uppge ditt lösenord, så att hen kan hjälpa dig.
Vishing. Bluffsamtal där någon fiskar efter uppgifter via telefonen. Kanske låtsas man vara från banken eller en myndighet och ber dig logga in på ett konto. Eller så låtsas man vara chefen som vill att du snabbt gör en stor transaktion.
Digitalt
Phishing. Nätfiske. Någon kanske låtsas vara från ett företag som ni är kunder hos. Du uppmanas besöka en sajt för att uppdatera dina uppgifter. När du klickar där installeras skadlig programvara som ger hackaren tillgång till info.
Spear phishing. Nätfiske riktat mot en specifik person. Här har bedragaren tagit fram personliga detaljer för att vinna ditt förtroende. Kan också vara ett mejl från en kollega, som innehåller en trojan som avlyssnar din dator.
Vd-bedrägeri. Mejl som kommer från en högt uppsatt person, som ber dig att snabbt hjälpa hen med en grej. Kan komma från en snarlik mejladress. En felstavad bokstav är lätt att förbise. Exempelvis info@tillvaxtvrkt.se
Tips till dig!
Snåla med info. Ju mer info du delar online, desto större risk att utsättas för en attack.
Lita på magkänslan. Verkar ett mess eller mejl konstigt, så är det troligen det.
Se upp för bilagor. Kan innehålla skadlig programvara.
Stå stark. Låt inte bedragarens uppjagade ton påverka dig. Fortsätt tänka kritiskt och göra noggranna granskningar.
”Företag har aldrig haft större möjlighet att övervaka anställda”
Detta är ett innehåll från Unionen Opinion.
Har du ibland en känsla av att någon iakttar dig när du sitter vid jobbdatorn? Då är du högst troligen inte paranoid, utan har helt rätt. Under pandemin, när vi
tjänstemän
i hög grad började jobba hemifrån, blev det nämligen allt vanligare med program som på olika sätt övervakar anställda. Enligt research-bolaget Gartner har 60 procent av stora amerikanska arbetsgivare installerat sådan mjukvara – och experter tror egentligen inte att andelen är lägre här i Sverige. Inte heller sedan vi övergick till hybridjobbande verkar övervakningen minska. Den är helt enkelt här för att stanna.
– Arbetsgivare har aldrig haft större möjlighet att ingående övervaka sina anställda, säger Daniel Bodén, etnolog vid Södertörns högskola.
Däremot är övervakning inget nytt, vilket han visar på i boken ”Från vällingklocka till minutjakt.”
– Ibland tenderar vi att prata om det här som något nytt, men övervakning har varit en del av arbetslivet sedan slutet av 1700-talet. Då använde man sig av karvestockar för att dokumentera hur många dagsverken olika personer gjort. Steg för steg har man sedan förfinat övervakningen, och den digitala utvecklingen har gjort det möjligt att kontrollera arbetstagare ner på minutnivå, ja, ner på minsta knapptryckning, säger Daniel Bodén.
Kollad ner på minsta knapptryckning
Företag hänvisar ofta till att man vill följa upp produktiviteten, men om man tidigare framförallt kollade folks resultat, så kan arbetsgivare nu följa anställdas aktivitet genom hela dagen – via tangent- och knapptryckningar på dator och mobil, man ser vilka sajter folk surfar på, och kan till och med kolla deras hälsostatus. Det finns program som lyssnar till om man låter glad eller irriterad när man pratar i jobbmobilen, och kameror som följer kropps- och ögonrörelser.
Varför finns det ett sådant behov av att övervaka anställda?
– Inom
privat sektor
vill man få ut så mycket som möjligt inom ramen för de timmar man betalar för.
Man känner sig misstrodd
På frågan om det har önskad effekt, är svaret däremot nja.
– Kortsiktigt kanske, men en konsekvens av övervakningen, i alla fall i mina studier, är att man känner sig misstrodd, inte har chefens tillit. Det gör i sin tur att man inte känner sig uppskattad, utan tappar engagemang. Det föder också en stress, som kan leda till utbrändhet. Men framför allt gör det att man tappar lusten.
Men även om det alltså är en chimär att all denna kontroll skulle öka produktiviteten, är det viktigt att vi förstår att övervakningen ändå pågår.
– Det pratas ofta om att cykel- och bilbud är övervakade via olika appar. Och generellt inom LO-kollektivet känner många till att de är övervakade, kanske via kameror i butiken eller industrilokalen. Bland
tjänstemän
däremot tror jag att medvetenheten är betydligt lägre.
Fler tjänstemän tagna på sängen
Han säger att
tjänstemän
historiskt sett har haft en tendens att identifiera sig med företaget man jobbar för, snarare än man ser sig själv som en proletär.
– Man är i högre grad solidarisk med arbetsgivaren, vilket innebär att man inte lika snabbt som arbetare intar det kritiska förhållningssättet.
Därmed vet man kanske heller inte vilka risker det innebär för integriteten.
– Du kanske tänker att det spelar ingen roll om chefen ser exakt vilken minut jag loggar in på datorn. Men jag tror vi måste bli medvetna om alla de olika dimensioner som kan övervakas, och den totala konsekvensen när insamlad data sätts ihop. Arbetsgivaren kan skaffa sig en nästan heltäckande bild av dig, dina rörelser och din kommunikation.
Om jag nu börjar tycka att övervakningen känns kymig, vad ska jag göra?
– Vänd dig till facket, och be dem lyfta frågan med arbetsgivaren för att ha en öppen diskussion om vad som är okej och inte. Generellt tycker jag att facket behöver vara mer aktiva i de här frågorna. För när tekniken inte längre utvecklas på företaget, utan köps in från jättar som Microsoft och Google, försvinner en stor del av vad MBL,
medbestämmandelagen
, handlade om. Facket behöver ta tillbaka initiativet här, så att anställda får vara med och styra vilken teknik som köps in och hur den som används.