Social Engineering InformationsiNsamling / personlig integritet Shanti Lindström / Mattias Borg Truesec ab
Vad är Social Engineering Psykologiskt påverka en människa att få den att delge information som kan hjälpa en angripare att uppnå sin agenda Spelar på hjälpsamhet, auktoritet, sociala kopplingar etc Få en person att frivilligt lämna uppgifter utan tvång Personen kan anse sig ha agerat rätt och inte tänker på att förödande uppgifter har lämnats
Verkliga scenarier att ha i bakhuvudet Tailgaiting Hjälpsamhet Auktoritet Godtrohet
PERSONLIG INTEGRITET
Insamling av information Införskaffa personuppgifter Upplysning.se Ratsit.se Uppgifter om domslut Lexbase.se Myndigheter Skatteverket, RPS, Domstolsverket m.fl Sociala Medier Facebook, Instagram, Twitter, LinkedIn etc Telefonnummer TrueCaller, Hitta.se, Eniro Positionering ExIF data i bilder GEO-data funktionalitet
”Stalker” Demo ;) Vad kan en angripare komma över för information från en oskyldig publicerad bild på Internet?
Öppen diskussion
Offentlig information från myndigheter
IT – Minister – Mehmet Kaplan Typ Information insamlad Födelseort Ja Föräldrar - Mamma - Pappa Civilstånd Barn - Namn - Födelsedatum Namnbyten Äktenskapsförord Tidigare adresser
Jimmie Åkesson Typ Information insamlad Födelseort Ja Föräldrar - Mamma - Pappa Civilstånd Barn - Namn - Födelsedatum Namnbyten Äktenskapsförord Tidigare adresser
Stefan Löfvèn Typ Information insamlad Födelseort Ja Föräldrar - Mamma - Pappa Civilstånd Barn - Namn - Födelsedatum Namnbyten Äktenskapsförord Tidigare adresser
Öppen diskussion
Identitetsstölder???
Vad är Identitetsstöld? ID-kapning blir allt vanligare i Sverige och är ett förekommande bedrägeri där förövaren Beställer varor i ditt namn Tecknar abonnemang i ditt namn Beställer kontokort i ditt namn Betalar för en vara som du aldrig får Någon utger sig för att vara en helt annan person som du ”lånar” pengar till / betalar (nätfiske)
Bidragande orsak Vi lever i ett samhälle med offentlighetsprincip som inte är gjort för ett samhälle där internet är en viktig del i att sprida offentliga uppgifter. Bristande ID kontroll
Konsekvenser av identitetsstöld Att få sin identitet stulen är en integritetskränkning och för många en stressande situation innan allt ställts till rätta. Många måste under tiden även lägga en så kallad hårdspärr på sitt personnummer. En hårdspärr innebär att det inte går att ta några kreditupplysningar på det aktuella personnumret. Detta kan ställa till det vilket gör det svårt att ansöka om lånelöften beställa varor i ditt namn.
Exempel på ID-kapning
Postlåda Förövaren hämtar dina brev från din postlåda
Adressändring Att adressändra en annan person är väldigt enkelt (Internet) Verifieringen av detta kan väljas att sändas till den nya ”riktiga adressen” WTF???
Vad säger lagen? ID-stöld är idag enligt svensk lag inte ett brott i sig utan blir en brottslig handling först då personuppgifterna används för att tex begå ett bedrägeri med ekonomisk vinning eller annan brottslig handling. Du som person måste själv polisanmäla de olika bedrägerierna var för sig och själv rentvå din identitet genom att bestrida de krav och fakturor som du får under stulen identitet. I maj 2013 gick justitieminister Beatrice Ask ut med att hon vill starta en utredning kring identitetsstölderna för att kriminalisera själva stölden, något som gjordes i USA redan 2006.
Vad kan man göra för att skydda sig Var försiktig med att lämna ut konto- eller kortuppgifter Ha kontroll över dina ID-handlingar Ha kontroll över din adressändring Var kritisk när du får en faktura Ha ett shopping-kort (inte lönen på ett och samma kontokort) Spärra dina kort för utlandsköp och/eller internetköp (öppna vid behov) Kasta inte personlig information i soporna Ha lås på din postlåda eller postfack Bevaka din kreditinformation Svara inte på mail som uppmanar dig att lämna ut kortuppgifter!!! (NÄTFisk) ID-Stöldförsäkring