Tidens virkelig store trussel mod it-sikkerheden er ifølge analyseselskabet Gartner ikke evnen til teknologisk at gennemskue, hvordan man opnår uautoriseret adgang til it-systemer. Den største trussel er derimod evnen til at manipulere med andre mennesker.
Gartner opererer med begrebet »social engineering« der henviser til virusskribenters, hackeres og andre it-kriminelles evne til at manipulere med mennesker snarere end maskiner. Den sociale evne er en forudsætning for at opnå adgang til virksomheders, organisationers og privates it-systemer.
Gartner forudser at it-kriminelle bliver stadig mere opfindsomme og sofistikerede i årene fremover, når det eksempelvis gælder evnen til at overbevise modtagere af e-mails om at klikke på links, de inderst inde ved, at de ikke burde klikke på.
»Mennesker er fra naturens hånd nysgerrige og modtagelige over for manipulation. Mange af de mest ødelæggende it-indbrud lykkes snarere ved brug af evnen til social manipulation frem for hacking,« siger Rich Mogull, der er forskningschef for it-sikkerhed hos Gartner.
Især anses identitetstyverier som et stort problem.
»Kriminelle anvender social manipulation til at overtage andres identitet for profittens skyld eller for at få adgang til fortrolig virksomhedsinformation. Det er ikke alene ulovlig indtrængen. Det udgør også en trussel mod den personlige integritet,« siger Mogull.
Identitetstyveri har ændret sig fra mindre lommetyverier af identitetskort til teknologisk indtrængen i virksomheder, hvor hackere tilegner sig kreditkortsinformation eller installerer spyware på computere.
Et andet område, hvor social manipulation spiller en stor rolle, er svindelmetoden phishing. Svindlerne »fisker« efter bankkonti- og kreditkortsinformation, som de får adgang til via e-mails og falske internetsider, der ser ud til at stamme fra anerkendte virksomheder, som modtageren kunne tænkes at være kunde hos.
Et eksempel udspillede sig for nyligt i Australien, hvor en række arbejdsløse modtog en e-mail med tilbud om mulighed for at søge ansættelse hos Credit Suisse. Jobbet skulle søges via en internetformular, der til forveksling lignede Credit Suisses internetside. I virkeligheden blev de personlige informationer sendt videre til hackere og ikke til Credit Suisse.
Ifølge Mogull illustrer eksemplet meget præcist de it-kriminelles manipulationstaktik, hvor man definerer en bestemt samfundsgruppes behov, og udnytter resultatet til egen gevinst - i dette tilfælde arbejdsløse, der søger arbejde.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt