Telefonbedrägerier och social engineering ökar kraftigt. Angripare riktar sig inte längre bara mot system – utan mot människor.

Genom att utge sig för att vara kunder, kollegor eller samarbetspartners kan de få tillgång till känslig information, ändra uppgifter eller påverka beslut.

För organisationer innebär det ett skifte: säkerhet handlar inte längre bara om inloggning – utan om att kunna lita på vem man pratar med.

Vad är social engineering

Social engineering är en metod där angripare manipulerar människor för att få tillgång till information eller system. Istället för att försöka ta sig in tekniskt utnyttjar de mänskliga faktorer som förtroende, rutiner och tidspress.

Telefonen är ett av de vanligaste verktygen. I ett samtal finns ofta inget tekniskt skydd, vilket gör det enklare att utge sig för att vara någon annan.

Det kan till exempel handla om att en person ringer och:

• påstår sig vara en kund och vill ändra uppgifter
• utger sig för att vara en kollega och behöver snabb hjälp
• försöker få ut känslig information via support

Det som gör dessa attacker effektiva är att de känns trovärdiga i stunden.

Vanliga typer av social engineering

Telefonsamtal (vishing)

En angripare ringer och utger sig för att vara en kund, kollega eller leverantör.

E-post (phishing)

Falska mejl som försöker få mottagaren att klicka, logga in eller lämna ut information.

Interna attacker

Någon utger sig för att vara anställd och försöker påverka processer eller beslut.

Varför telefonen är den svagaste länken

Många organisationer har stark säkerhet i sina system:

• tvåfaktorsautentisering
• e-legitimation
• åtkomstkontroll

Men i telefonsamtal finns ofta:

• ingen verifiering
• ingen spårbarhet
• inga tydliga kontroller

Det gör telefonen till en av de enklaste vägarna in för en angripare.

Vad kan hända om fel person identifieras?

När en organisation hanterar ett ärende med fel person kan konsekvenserna bli mer långtgående än man först tror. Det handlar inte bara om ett enskilt misstag, utan om hur information och beslut hanteras i hela verksamheten.

I praktiken kan det innebära att känslig information lämnas ut till någon som inte är behörig. Det kan också handla om att uppgifter ändras på felaktiga grunder, eller att en individ får tillgång till information som egentligen tillhör någon annan. I vissa fall kan personuppgifter exponeras, vilket både innebär en säkerhetsrisk och kan få juridiska konsekvenser.

Minst lika allvarligt är effekten på förtroendet. Om en organisation inte kan säkerställa vem de har att göra med riskerar det att påverka både interna processer och relationen till kunder eller medborgare.

Det som gör situationen extra problematisk är att många av dessa händelser sker utan att det upptäcks direkt. Ett ärende kan hanteras, avslutas och arkiveras – utan att någon inser att identiteten aldrig var korrekt verifierad.

Varför traditionella rutiner inte räcker

Många organisationer har idag rutiner för att kontrollera identitet, men dessa bygger ofta på metoder som inte längre är tillräckliga.

Det är vanligt att använda kontrollfrågor, personnummer eller manuella bedömningar i samtal och ärenden. Problemet är att den typen av information i många fall redan kan vara känd, läckt eller relativt enkel att ta reda på. En angripare som är förberedd kan ofta svara rätt på kontrollfrågor eller framstå som trovärdig i en dialog.

Samtidigt hamnar ansvaret i praktiken på individen som hanterar ärendet. Det är upp till handläggaren eller supportmedarbetaren att avgöra om något känns rätt – vilket i många fall innebär att man tvingas gissa.

I dagens hotbild räcker det inte. När angreppen blir mer sofistikerade behöver även verifieringen av identitet vara det.

Hur bör man arbeta istället?

För att minska risken behöver organisationer flytta fokus från att “bedöma” identitet till att faktiskt verifiera den.

Det innebär att identiteten inte ska baseras på vad någon säger eller hur trovärdig personen upplevs, utan på en säker bekräftelse. En enkel men avgörande princip är att alltid säkerställa identiteten innan man går vidare i ett ärende.

I praktiken betyder det att man:

• inte förlitar sig enbart på information som uppges i samtalet
• undviker att fatta beslut utan verifierad identitet
• säkerställer att rätt person är kopplad till rätt ärende

Det handlar inte om att göra processer mer komplicerade, utan om att ta bort osäkerheten i de moment där det verkligen spelar roll.

Personvalidering i praktiken

Personvalidering gör det möjligt att verifiera identiteten även i situationer där användaren inte är inloggad i ett system, till exempel vid telefonsamtal eller direkt kontakt.

Det kan handla om att en kund ringer till support, att en medborgare kontaktar en handläggare eller att någon begär att få ändra uppgifter i ett ärende. I dessa situationer har organisationen ofta ingen teknisk garanti för vem personen är.

Istället för att lita på den information som uppges i samtalet kan identiteten verifieras med hjälp av e-legitimation, som BankID eller Freja eID. Det gör att organisationen får en säker bekräftelse på vem personen är, innan man går vidare.

På så sätt flyttas ansvaret från individens bedömning till en verifierad identitet.

Fördelar med att validera identitet

När identiteten verifieras skapas en helt annan trygghet i processen. Organisationen kan agera med större säkerhet, samtidigt som risken för fel minskar.

Det blir svårare för obehöriga att få tillgång till information, och enklare att säkerställa att rätt person utför rätt åtgärd. Dessutom skapas en tydligare koppling mellan individ och handling, vilket förbättrar spårbarheten i ärenden.

I praktiken leder det till säkrare processer, färre misstag och ett starkare skydd mot både bedrägerier och oavsiktliga fel.

Sammanfattning

Social engineering är ett av de största hoten mot organisationer idag, just eftersom det riktar sig mot människor snarare än system.

Teknisk säkerhet räcker inte om identiteten i interaktionen inte är säker. När allt fler beslut fattas i dialog med människor blir det avgörande att kunna verifiera vem man har att göra med.

I slutändan handlar det om att kunna svara på en enkel fråga:

Vem är det vi faktiskt har att göra med?