Publicerad: 2020-11-12
Senast ändrad: 2023-10-13
Som namnet låter antyda handlar angreppssättet här mer om psykologisk manipulation än om teknik, vilket tyvärr underlättar för bredragare att lura även de mest skeptiska offren in i fällan.
Teknikutvecklingen öppnar upp en rad möjligheter för att underlätta för oss i vardagen. Dessvärre öppnar det upp nya möjligheter för brottsligheten också.
De digitala bedrägerimetoderna och verktygen finslipas, språk- och tonalitet gentemot de tilltänkta offren förbättras och blir allt mer trovärdiga. Parallellt med de många dataintrång från stora tjänster som exempelvis Adobe, Facebook eller Linkedin finns numera en oändlig mängd e-postadresser, mobilnummer, yrkestitlar, intressen och andra typer av kontaktdata som IP- eller MAC-adresser lättillgängliga på dark webb för brottslingarna.
”So what, alla vet ju ändå min e-postadress?”, kanske du tänker nu. Sant. Men resonemanget håller inte riktigt fullt ut.
Den stora mängden tillgänglig data möjliggör nämligen för illasinnade aktörer att lägga ihop datapunkterna till ett heltäckande pussel över dig och ditt liv. Parallellt med att bedragarnas ekonomiska muskler ökat finns nu också tid att noga kartlägga dig och identifiera lämpliga attackytor för att utsätta dig för social manipulering.
Skydda dig själv genom att lära dig reagera på eventuella avvikelser i tid. Nedangår vi igenom de allra vanligaste metoderna som du behöver se upp för.
Kanske den allra mest kända formen av social manipulation. Bedragarnas uppfinningsrikedom är stor och innehållet i nätfiskeposten som landar i din inkorg kan handla om allt från att du till exempel ska få återbetalning från din teleoperatör (bara du klickar och verifierar dina uppgifter) eller att din domän går ut om du inte betalar i dag. Kännetecknande för nätfiskeposten är att de numera ofta är ganska välgjorda och vid en ytlig anblick därför kan verka korrekta.
Genom att föra muspekaren över avsändaradressen innan du öppnar e-posten kan du dock lätt se att avsändaren är en bedragare och att det kommer från en icke trovärdig adress.
Lär dig mer om hur du känner igen och undviker nätfiske .
Precis som namnet låter antyda handlar baiting om att slänga ut ett lockbete av något slag. Kom ihåg att bakom all framgångsrik social manipulation döljer sig en duktig cyniker som förstår att utnyttja våra mänskliga svagheter. Baiting handlar om att göra offren eller offret så nyfiket att hen helt enkelt inte kan stå emot impulsen att göra någon form av aktivitet. Det kan till exempel handla om att plantera ett fejkat USB-minne maskerat med företagets logga eller varumärke i receptionen eller företagets lunchrum.
En tillräcklig lockande etikett på USB-minnet, till exempel “Bilder, firmafest 2020” eller “Lönerevision” triggar troligtvis nyfikenheten hos många anställda. Och när nyfikenheten vinner över det sunda förnuftet och USB-minnet åker in i en av företagets datorer är det fritt fram för angriparens skadliga program att ta sig in. Nu kan bedragaren i lugn och ro börja spionera på verksamheten och förbereda sitt nästa drag.
Genom att skapa en falsk profil – i regel på en dejtingsajt – försöker bedragare vinna andra medlemmars hjärtan för att lura till sig pengar i transaktioner. Dessa profiler brukar påstå sig arbeta med spännande och attraktiva yrken, ofta internationellt, och bedrägeriet kan pågå flera månader eller till och med år.
Plötsligt dyker frågan om pengar upp i sammanhanget och du kan bli ombedd att genomföra transaktioner till utlandet för att hjälpa personen ur en knivig situation. Denna typ av bedrägeri kallas för romansbedrägeri och är en typ av social manipulation där offret manipuleras genom att utnyttja känslor av förtroende och kärlek. De kan vara oerhört skickliga manipulatörer som vet precis vilka strängar de ska spela på för att locka in människor i förälskelse. Ofta ligger organiserad brottslighet bakom dessa falska profiler.
Utöver vanlig, brett riktad phishing förekommer det även spear phishing, det vill säga en riktad attack. Det obehagliga med spear phishing är hur välgjorda attackförsöken är. I de fall att angriparen riktat in sig på en specifik organisation eller individ sker också ett gediget researcharbete där man kartlägger till exempel organisationens beteendemönster, rutiner, e-postadresser eller i det fall det rör sig om en specifik individ, noga kartlägger personens tonläge och kommunikationssätt i sociala medier för att kunna skicka trovärdiga mejl.
Scareware är en form av social manipulation som går ut på att skrämma upp offret på olika sätt. Typiskt sett kan det ske via popup-annonser om att datorn är infekterad där måltavlan för attacken uppmanas att ladda ner programvara som hjälper till att få bort infektionen. Oftast är den här mjuk- eller programvaran som laddas ner helt värdelös eller rentav skadlig.
Stressad, på väg att betala parkeringen? På väg att skanna en QR-kod och ladda ner parkeringsappen? Se upp! Social manipulation i form av falska QR-kodern är något vi kan komma att se mer av framöver.
Precis som med alla annan form av nätfiske syftar de falska QR-koderna till att leda dig fel. Du riskerar antingen att ladda ner skadlig kod till mobilen, eller i värsta fall omdirigeras till en falsk webbsida där du luras att ge ifrån dig dina kortuppgifter
Den allra vanligaste typen av social manipulation är att utge sig vara från en myndighet eller bank, och på så sätt utnyttja sin ställning som en auktoritet för att få personer att lämna ifrån sig viktig information eller privata uppgifter. Detta kallas mer specifikt för ett befogenhetsbedrägeri. Personen som ringer påstår sig ofta vilja hjälpa dig att skydda eller verifiera dina konton. Du uppmanas därför att logga in på din internetbank eller BankID, där du i själva verket genomför överföringar eller betalningar till bedragarens konto. Med samma motiv kan bedragaren skapa falska e-postadresser och skicka ut meddelanden som ser ut att komma från en bank, ett företag eller annan myndighet. I dessa mejl uppmanas du att lämna ut uppgifter via länkar till falska sidor, eller ladda ned bilagor som i själva verket består av skadlig kod som infekterar din dator. Liknande utskick med falska länkar sker även via sms.
Bedragaren utnyttjar människors förhoppningar och drömmar om ekonomisk vinning. Investeringsbedrägerier sker både mot privatpersoner och mot företag, där du blir kontaktad av någon som uppmanar dig att investera i en kryptovaluta, råvara eller företag med helt otrolig avkastning. När du investerar försvinner pengarna spårlöst. Även här kan bedrägeriet äga rum under en lång tid, med diverse manipulativa försök att övertala dig till att du måste investera direkt för att ta del av denna unika möjlighet. Många investeringsbedrägerier fortsätter även efter att du har investerat, och du kan till och med hänvisas till en sida där du tror dig se hur pengarna växer.
Bedragarna kan vara oerhört skickliga manipulatörer och denna typ av brottslighet drabbar såväl privatpersoner som företagare. Genom att ha tydliga regler kring vilka uppgifter vi är beredda att ge ut till en annan part är det lättare att inte låta sig luras. Det spelar i själva verket ingen roll om det är banken eller polisen som kontaktar dig – du ska ALDRIG lämna ut privata uppgifter eller logga in på ditt BankID efter uppmaning från någon annan. Om du känner dig det minsta osäker kan du alltid kontakta banken eller myndigheten själv för att höra huruvida informationen verkligen stämmer eller inte. För romans- och investeringsbedrägerier gäller att om det verkar för bra för att vara sant är det förmodligen så det är. Genom att vara källkritisk och söka efter bilder, personer och uppgifter i ditt sökverktyg online, kan du skaffa dig en ärligare bild av vad det är som försiggår. Om du misstänker att någon försöker manipulera dig för att lura dig på pengar eller andra känsliga uppgifter ska du alltid polisanmäla händelsen.