Hon är expert på att ”hacka” människor

2018-06-14 06:00  
Rachel Tobac arbetar professionellt med social manipulation för att hitta sårbarheter hos företag. Foto: Simon Campanello

”Om du kan övertala ett barn att äta upp sina grönsaker, kan du övertyga någon att lämna ut sitt lösenord”, säger Rachel Tobac. Hon är en av världens skarpaste när det gäller social engineering – att med social manipulation få människor att lämna ifrån sig känsliga uppgifter.

Säkra it-system är inte allt. Var och varannan cyberattack startar med något så enkelt som ett välformulerat bluffmejl eller ett trevande telefonsamtal.

– Det handlar mest om övertalningsförmåga. Kan du övertala ett barn att äta upp sina grönsaker, då kan du övertala någon att lämna ut sitt lösenord, säger Rachel Tobac självsäkert.

Hon är lätt jetlaggad efter ett nattflyg från San Franscico. När vi ses besöker Rachel Tobac säkerhetsmässan Security Fest i Göteborg för att föreläsa om hur en människa kan hackas – och vad vi kan göra åt det.

Men karriären som it-säkerhetsproffs var allt annat än självklar.

– För ett par år sedan besökte min man, som jobbar med it-säkerhet, hackerkonferensen Def Con i Las Vegas. Han ringde och sa: köp en flygbiljett hit ikväll, det är något du måste se, berättar Rachel Tobac.

Läs mer: Säkerhetsgurun Bruce Schneier: 6 orsaker till att robotar får dålig it-säkerhet

Hon var skeptisk. Varken jobbet på ett onlinebaserat utbildningsföretag eller hennes dubbla examen i neurovetenskap och beteendevetenskap antydde att hon hade på en säkerhetskonferens i spelstaden att göra.

– Det där kommer flyga över huvudet på mig, sa jag. Men han insisterade och berättade om en tävling där du satt i en ljudisolerad glasbur framför publik, och skulle hacka ett företag – över telefon, säger Rachel Tobac.

Genomförde sitt första bedrägeri på scenen

Det blev en flygbiljett ändå. Hon landade i Las Vegas, såg två samtal i vad som skulle visa sig vara Def Cons årliga tävling i social manipulation, på engelska social engineering. Och hon var fast.

Året därpå ansökte Rachel Tobac, helt utan förkunskaper, om en plats på tävlingsgolvet. Och kom med.

På scen, i en glasbur, framför flera hundra deltagare lyfte hon på luren och genomförde sitt allra första bedrägeri.

– Det är fruktansvärt. Jag kunde knappt höra personen som svarade i telefonen för mitt hjärta slog så hårt, berättar Rachel Tobac.

Läs mer: Fem sätt hackare kan attackera med hjälp av artificiell intelligens

Hon hade på förhand fått granska sin måltavla, men väl på scen hade hon bara 20 minuter på sig att ringa upp valfri person på bolaget och försöka få reda på en rad uppgifter. Vilken webbläsare som används, när personal är på plats, vilket städbolag man anlitar.

Och det gick vägen. Rachel slutade tvåa i tävlingen, som heter SECTF, och upprepade succén ifjol.

Startskott på ny karriär

På grund av lagstiftningen i Nevada är det inte möjligt att göra ljudupptagningar från SECTF-tävlingen på Def Con. Men den här Youtube-videon med Rachels branschkollega Jessica Clark brukar användas för att ge en skrämmande inblick i hur en skicklig manipulatör kan lura till sig känslig information över telefon.

Det blev startskottet på en helt ny karriär. I dag driver Rachel Tobac det egna bolaget Socialproof Security ihop med maken Evan. De utbildar i hur man skyddar sig mot social engineering och genomför penetrationstester där de på uppdrag av sina kunder försöker lura till sig tillgång till olika system.

Rachel Tobac själv säger att hon hittills aldrig har misslyckats.

– Jag skulle säga att jag lyckas 100 procent av gångerna. Det är lite sorgligt, men det är sant. Ibland tar det några samtal, men till slut får jag reda på det jag vill, säger hon.

Läs mer: Saabs vd: ”Sverige är ockuperat av främmande makt”

Men telefonsamtalet är bara toppen av ett isberg. En vass bedragare kan lägga hundratals timmar på att kartlägga sitt offer. Samla information via öppna källor. Sociala medier, hemsidor, offentliga handlingar. Det som i branschen kallas ”open source intelligence”, eller osint.

Orsak att ringa är viktigast

Det viktigaste för en telefonbedragare som Rachel Tobac är att ha en solid ursäkt varför man ringer, en pretext. Som att man utger sig för att ringa från företagets it-support eller kanske kundtjänsten på en nätbutik som någon ofta beställer ifrån.

– Vi vet att över 50 procent av alla cyberattacker börjar med någon form av social engineering, säger Rachel Tobac.

Hon har stöd från flera undersökningar från it-säkerhetsföretag som visar att mer än varannan it-attack inleds med hjälp av skräddarsydda bluffmejl, påstötningar i sociala medier eller välregisserade telefonsamtal.

”Låter dem sätta sig i hackarens skor”

Så hur kan man skydda sig mot den här typen av attacker?

Rachel Tobac lyfter två saker. Dels ska man vara medveten om att all information man delar med sig kan användas mot en. Anställda som instagrammar från arbetsplatsen, detaljerade kundexempel på hemsidan och information om vilka underleverantörer företaget har. Allt sådant är en guldgruva för en bedragare.

Det andra är att informera de anställda om att den här typen av bedrägerier faktiskt förekommer, och gärna testa själva. Här är Rachel Tobac kanske partisk eftersom hennes eget företag anordnar workshops där anställda får testa ringa bluffsamtal till sina egna kolleger – och se hur mycket data de kan dra ur dem.

– Vi låter dem sätta sig i hackarens skor för en stund och fundera över hur de skulle ta sig in i sitt eget företag. Vem ska jag angripa? Ska jag ta det över mejl eller telefon? Det ger ett helt nytt perspektiv, säger Rachel Tobac.

Bedragarnas ordlista

Social engineering. Social manipulation, en teknik för att manipulera någon att dela med sig av hemlig information eller utföra handlingar.

Vishing. En sammanslagning av orden ”voice phising”. Tänk dig ett bluffmejl, fast bedragaren ringer till dig och vill få reda på information.

Pretext. En ursäkt för att höra av sig vid sociala bedrägerier. Det kan handla om att låtsas komma från it-supporten eller ringa från en leverantör och ställa frågor.

Osint. Open source intelligence, är underrättelseverksamhet som helt baseras på öppna fritt tillgängliga källor. Där ingår alltifrån publiceringar i sociala medier till företagsmaterial, platsannonser och offentliga handlingar.

Penetrationstest. Att på uppdrag av en kund försöka hacka sig in i it-system, ta sig in i låsta byggnader eller lura till sig information över telefon.

Socialproof Security

Rachel Tobac och maken Evan har grundat företaget Socialproof Security som utför sociala penetrationstester och utbildar företag i hur de upptäcker och motverkar social engineering-attacker.

Grundades: 2017

Ort: San Francisco

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt