Social Engineering : En studie om medvetenhet och förebyggande åtgärder mot Social Engineering på svenska organisationer

Lind, Jonas, Simonsson, Kim

January 2011

Abstrakt  Social Engineering är konsten att manipulera människor, för att på så sätt vinna deras förtroende. Med hjälp av detta förtroende kan attackeraren sedan kringgå säkerhetssystem och få tillgång till organisationers information. Vi har i denna uppsats genomfört elva intervjuer på tre stora organisationer med både IT-chefer och övrig personal. Med dessa intervjuer har vi sedan försökt få en bild av hur medvetenheten ser ut samt vilka åtgärder organisationerna tar för att förhindra Social Engineering. Med denna uppsats vill vi belysa den ovisshet som råder kring Social Engineering, men även farorna och hur effektiv en attack av denna typ kan vara. Slutsaten är att medvetenheten om Social Engineering är låg på de organisationer vi intervjuvat och att de åtgärder som finns inte alltid är tillräckliga.  Nyckelord: Social Engineering, Social manipulatör, Phishing, Dumpster diving, Säkerhetspolicy

Social Engineering

Phishing

Dumpster diving

Social manipulatör

Säkerhetspolicy

Computer Sciences

Datavetenskap (datalogi)

Moderna sociala manipuleringsangrepp : En kvalitativ intervjustudie med penetrationstestare / Modern social engineering attacks : A qualitative interview study of penetration testers

Ödman, Alina

January 2019

Dagens samhälle präglas av den växande digitaliseringen. Information flödar på alla håll och kanter, den bearbetas, lagras och kommuniceras konstant. Nuförtiden kan systemen byggas ganska säkra, men så fort man sätter en människa bakom tangentbordet introducerar man en rejäl sårbarhet och äventyrar att vår information hamnar i fel händer. SE (social engineering, social manipulering) är konsten att nyttja social interaktion som ett medel oavsett om det kräver ett tekniskt system eller övertygelse för att få tillgång till känslig information. Detta är en kvalitativ intervjustudie som försöker skildra hur penetrationstestare ser och arbetar med/mot SE (social engineering, social manipulering) sker. Studien tolkar penetrationstestares perspektiv på dagens sociala manipulerings angrepp, hur de arbetar med det och vad vi som individer kan göra för att skydda oss. Slutsatserna från studiens delfrågor hjälper att besvara studiens forskningsfråga “Hur ser penetrationstestare på dagens SE?” Studien visar på att majoriteten av respondenterna är överens om hur SE ser ut idag. Konklusionen visar på att angreppet “phishing” är en av de vanligaste angreppsformerna idag både trendmässigt och arbetsrelaterat just nu. Vidare skildrades även “varför sociala manipulatörer ofta lyckas med sina angrepp” vilket resulterade i att den psykologiska aspekten är ett av de viktigaste förbättringsområdena inom SE. Slutligen, redogjorde respondenterna viktiga skyddsåtgärder som kan tillämpas av både organisationer och privatpersoner. / Our modern World is filled with information everywhere. Information isconstantly processed, stored and communicated. However,we all know that information usuallyhas some value;therefore,we build secure and complex systems, whichare packed with data. Valuable data. Then we put humans behind those systems and introduce ahuge vulnerability and by that,we are risking our data falling into the wrong hands. Social engineering –it is used to deceive people and letting themgive up sensitive information. This qualitative interview study will attempt to disclose the perception of social engineering from people who perform penetration-testingservices. The results of the study are showing that participators are partially decided of their view of social engineering. They almost all agree that “phishing” is a common attack in bothinternet occurrences and in work-related matters. Furthermore, the conclusion shows that the psychological aspect of social engineering is an important improvement area. Lastly, the participants explain several preventative actions, whichcan be used by organizations and by individuals to minimize the risk of exposure to social engineering.

Social engineering

social engineer

social engineering attack

penetration testers.

Social manipulering

social manipulatör

sociala manipuleringsangrepp

penetrationstestare

Engineering and Technology

Teknik och teknologier