– Vi är mycket lättare att manipulera än vad vi själva tror. Det finns grundläggande principer som gäller oavsett kulturella och sociala skillnader, och de är svåra att skydda sig mot. Det handlar om att hitta rätt pitch i rätt tid, och det finns ingen teknisk lösning som skyddar mot manipulation, säger Marcus Nohlberg.
Många har fördomar om vilka som blir drabbade.
Marcus Nohlberg , doktor i informationssäkerhet
Ett vanligt exempel som ofta tas upp är de så kallade Nigeriabreven som fyller skräpkorgarna. Det är lätt att avfärda dem som orimliga, inte minst på grund av de ofta är skrivna på dålig engelska, men det i sig är en del av manipulationen menar Marcus Nohlberg.
– Bedragarna vill inte lägga tid på att övertyga dem som genomskådar dem och ställer jobbiga frågor tillbaka utan man vill nå dem som är lättlurade nog att inte ifrågasätta. Forskning visar att det bara är cirka 0,0003 procent som går på det här, men om man för en kostnad av fem dollar kan nå tio miljoner personer inser man snabbt att det är lukrativt.
Ett av problemen med social manipulation är att vi idag har integrerat it och sociala medier i en sådan utsträckning att vi inte kan särskilja vårt yrkesliv från våra privata liv. Vi surfar privat på arbetsdatorer och ansluter till e-posten på våra privata enheter. Det gör oss extra sårbara för en duktig manipulatör.
– Tekniken är så bra idag att det knappast lönar sig att attackera den, men vi är dåliga på att förstå att det digitala livet är allt vi har idag. Det gör oss mer utpressningsbara. Vi är också så avtrubbade att vi inte förstår hur nära vi är riktig internationell organiserad brottslighet. De är oftast inga amatörer utan tjänar stora summor på det här och de är skoningslösa.
Felaktiga fördomar om offren
Många har fördomar om vilka de är som blir drabbade, och att det är äldre personer som är ovana vid tekniken som är mest utsatta, men Marcus Nohlberg håller inte med om det.
– Det pratas ofta om att man ska sikta på den här gruppen på olika forum, men det finns ingen forskning som säger att de skulle vara mer benägna att gå på social manipulation. Tvärtom kan det vara så att de är it-tvivlare som vet att de inte behärskar tekniken och därför till exempel inte klickar på länkar, medan yngre kan ha väldigt hög och falsk självbild som gör att de slarvar. Facebook har till exempel ett högt defaultförtroende och ett kapat konto blir därför trovärdigt.
Marcus Nohlberg
Marcus Nohlberg är doktor i informationssäkerhet med inriktning på social manipulation. Hans forskning visar att vi i allmänhet är mer godtrogna än vad vi själva tror att vi är. I ett experiment med ett falskt mejl lyckades han tillsammans med sina kollegor komma över 70 procent av alla studentkonton på sex timmar, detta bland studenter som studerade just det - it-säkerhet!
Marcus Nohlberg menar att ett av problemen för företagen när det gäller social manipulation är att man inte vågar ställa de anställda till svars.
– Du kan klicka på länkar och göra bort dig utan att ställas till svars för det är ändå it-avdelningens fel. Så resonerar man men jag tror att vi måste våga införa konsekvenser för enskilda medarbetare på företagen. Det behöver inte handla om att få sparken, men beter du dig vårdslöst måste det kännas. På andra sidan tror jag på att införa incitament för den som sköter sig. ”Det har inte varit några it-incidenter kring dig i år och för det får du en extra hundring i månaden.” Man måste göra säkerhet roligt. På produktionssidan finns belöningar för den som kommer på något sätt att öka effektiviteten, men varför finns det ingen belöning för den som kommer på en bra säkerhetsrutin?
Stäng den mänskliga säkerhetsluckan
Säkerhetsprogrammen blir allt mer avancerade men den mänskliga faktorn kvarstår, något som duktiga bedragare utnyttjar i allt högre utsträckning. Marcus Nohlberg, doktor i informationssäkerhet med fokus på social manipulering av människor, ger råd om hur du undviker att falla i fällan.
- Inse att folk vill åt dig även om du själv menar att du är ointressant och inte ser anledningarna. Du måste även förstå att du har ett eget ansvar och att du inte kan lita blint på att någon annan löser problemet.
- Definiera enstegsscenarier. It-policyer har en tendens att bli långa och tråkiga så att ingen läser dem. Enkla scenarier som bygger på ”jag har gjort det här, vad gör jag nu?” gör det enklare för de anställda agera även när de gjort något dumt. Alla kan göra fel, men det är hur man agerar direkt efteråt som är viktigt.
- Undvik att ha bråttom via policy utan undantag. Ytterst få saker är minutkritiska. Får du ett stressat samtal från någon som vill ha någon information från dig och du får en konstig känsla, be att få ringa tillbaka om två minuter. Om det är chefen som ringer från ett möte i Vietnam spelar ingen roll, policyn ska vara undantagsfri för annars skapas utrymme för manipulering.
- Se till att säkerheten blir roligt. Ofta blir säkerheten något som hamnar på minus, en begränsning snarare än en positiv konsekvens. Att till exempel stänga av möjligheten att dela filer på olika sätt kan också ses som en positiv förenkling för användaren eftersom de slipper hålla koll på olika sökvägar. Inför incitament som gör det roligare att jobba med säkerhet och öva så att alla förstår vad det handlar om.
- Glöm inte bort att det handlar om människor. Säkerhet handlar ofta mycket om företagen, men den som blivit drabbad mår ofta väldigt dåligt och det gäller att inte tappa den konsekvensbiten.
