dc.contributor.author | Henningsen, Ernst Kristian | |
dc.date.accessioned | 2013-08-15T10:59:13Z | |
dc.date.available | 2013-08-15T10:59:13Z | |
dc.date.issued | 2013 | |
dc.identifier.uri | http://hdl.handle.net/11250/144040 | |
dc.description.abstract | ENGLISH: Social Engineers attack the weakest link in an organization’s barrier - it’s human users. They do
this by manipulating the users into performing actions they wouldn’t normally perform. This can
have devastating consequences for an organization. The goal may be to get unauthorized access
to sensitive information, or gain access to restricted areas, like server rooms. While crackers use
their technical skills to break into a computer system and retrieve a password, the Social Engineer
use his social skills to make an individual reveal the password themselves.
While there has been written books and papers on different attack vectors, and even some methods
for defending against this threat, they are not considered scientific - they are in many cases
the experience and views of one particular individual. The amount of scientific work on Social
Engineering do not appear to be comprehensive. This Thesis has gathered the essence of what
different authors has conveyed about Social Engineering attacks and defenses, as well as why it
actually works.
Further it has investigated how popular Social Engineering is in Norway, what vector of attacks
are most common and effective, as well as what defense mechanisms one should implement to
stand strong against these threats. This has primarily been done by the development of a Questionnaire
targeting Norwegian Organizations, a review of existing literature and research, as well
as some preliminary interviews with Information Security Professionals.
The results suggest that: (i) Social Engineering by E-Mail is by far the most heavily used vector of
attack, followed by attacks originating from websites (ii) most Organizations have mechanisms
to defend against Social Engineering, (iii) Organizations conceived Security Risk of Social Engineering
is leaning towards medium-high and (iv) the ultimate economic consequences due to
Social Engineering attacks are loss of millions of NOK.
Further, not surprising, the review of earlier literature and research, as well as data gathered
from our Questionnaire, suggest that Security Awareness is a very important factor for defending
against Social Engineering.
We end the Thesis by discussing important steps when developing Security Awareness programs. | no_NO |
dc.description.abstract | NORSK: Sosiale Manipulatorer angriper det svakeste leddet i en organisasjon’s barriere - brukerne. De
gjør dette ved å manipulere brukerne til å utføre handlinger de normalt ikke ville utført. Dette
kan ha katastrofale konsekvenser for en organisasjon. Målet kan være å få uautorisert tilgang til
sensitiv informasjon, eller tilgang til begrensede områder, som serverrom. Crackere bruker sine
tekniske ferdigheter til å bryte seg inn i datasystem for å hente ut passord. Sosiale Manipulatorer
derimot, bruker sine sosiale ferdigheter til å få en bruker til å avsløre passordet selv.
Mens det har blitt skrevet bøker og artikler om ulike angrepsvektorer, såvel om hvordan å
forsvare seg mot denne trusselen, er de ikke ansett som å være vitenskapelige - de er i mange
tilfeller erfaringer og synspunkter til en bestemt person. Mengden av vitenskapelig arbeid på
Sosial Manipulasjon virker ikke til å være tilstrekkelig. Denne oppgaven har samlet essensen av
hva ulike forfattere har formidlet om angrep og forsvar innen Sosial Manipulasjon, samt hvorfor
angrepsformen faktisk fungerer.
Videre har oppgaven undersøkt hvor populær Sosial Manipulasjon er i Norge, hvilke angrepsvektorer
som er de mest vanlige og effektive, samt hvilke forsvarsmekanismer en bør iverksette for
å stå imot disse truslene. Dette har først og fremst blitt gjort ved utvikling av et spørreskjema
rettet mot norske organisasjoner, en gjennomgang av eksisterende litteratur og forskning, samt
noen forberedende intervju med fagfolk innen informasjonssikkerhet.
Resultatene tyder på at: (i) Sosial Manipulasjon via e-post er den desidert mest brukte angrepsvektoren,
etterfulgt av angrep gjennom websider (ii) De fleste organisasjoner har mekanismer
for å forsvare seg mot Sosial Manipulasjon, (iii) Organisasjoners oppfattede risiko av Sosial
Manipulasjon lener seg mot middels til høy og (iv) Den ultimate økonomiske konsekvensen som
følge av Sosial Manipulasjon er tap av millioner av kroner.
Videre, ikke overraskende, tyder gjennomgangen av tidligere litteratur og forskning, samt analyse
av data fra spørreskjema, på at bevissthet innen sikkerhet er en svært viktig faktor for å
forsvare seg mot Sosial Manipulasjon.
Oppgaven avsluttes med en diskusjon rundt viktige punkt en bør tenke på når en lager kampanjer
for å øke bevissthet rundt sikkerhet. | no_NO |
dc.language.iso | eng | no_NO |
dc.subject | information security | no_NO |
dc.subject | social engineering | no_NO |
dc.subject | organization | no_NO |
dc.subject | sensitive information | no_NO |
dc.title | The Defense and Popularity of Social Engineering in Norway | no_NO |
dc.type | Master thesis | no_NO |
dc.subject.nsi | VDP::Mathematics and natural science: 400::Information and communication science: 420::Security and vulnerability: 424 | no_NO |
dc.source.pagenumber | 115 | no_NO |