Offentliggørelse
De synspunkter og meninger, der udtrykkes her, tilhører udelukkende forfatteren og repræsenterer ikke synspunkterne og meningerne fra crypto.news’ redaktion.
Social Engineering som en Systemisk Risiko
I løbet af det seneste år har de fleste af de største udnyttelser inden for kryptovaluta haft den samme grundårsag: mennesker. I de seneste måneder har Ledger opfordret brugere til at pause on-chain aktivitet efter at npm-vedligeholdere blev narret, og ondsindede pakker blev spredt. Workday afslørede en social engineering-kampagne, der fik adgang til data i et tredjeparts CRM, og Nordkorea-forbundne operatører fortsatte med at udsende falske jobtilbud mod kryptoteams for at levere malware.
På trods af milliarder brugt på cybersikkerhed fortsætter virksomheder med at blive ramt af simpel social engineering. Teams investerer penge i tekniske sikkerhedsforanstaltninger, revisioner og kodegennemgange, mens de forsømmer operationel sikkerhed, enhedshygiejne og grundlæggende menneskelige faktorer. Efterhånden som mere finansiel aktivitet flytter on-chain, bliver dette blinde punkt en systemisk risiko for digital infrastruktur.
Investering i Operationel Sikkerhed
Den eneste måde at bremse stigningen af social engineering-angreb på er ved at investere bredt og vedholdende i operationel sikkerhed, der reducerer udbyttet af disse taktikker. Verizons 2025 Data Breach Investigations Report knytter det “menneskelige element” i cybersikkerhed (phishing, stjålne legitimationsoplysninger og dagligdags fejl) til cirka 60% af databrud.
Social engineering virker, fordi det retter sig mod mennesker, ikke kode, og udnytter tillid, hast, fortrolighed og rutine.
Disse typer udnyttelser kan ikke elimineres gennem en kodegennemgang og er svære at forsvare sig imod med automatiserede cybersikkerhedsværktøjer. Kodegennemgang og andre almindelige cybersikkerhedspraksisser kan ikke stoppe en medarbejder fra at godkende en svindelanmodning, der ser ud til at komme fra en leder, eller fra at downloade en falsk Zoom-opdatering, der virker legitim.
Risikoen ved Programmérbare Penge
Programmérbare penge koncentrerer risiko. I web3 kan kompromittering af en seed phrase eller et API-token være lig med at bryde ind i en bankboks. Den irreversible natur af kryptotransaktioner forstærker fejl: når midlerne flytter, er der ofte ingen måde at omvende transaktionen på. En enkelt fejl i enhedssikkerhed eller nøglehåndtering kan udslette aktiver.
Web3’s decentrale design betyder, at der ofte ikke er nogen hjælp at kontakte, hvilket efterlader brugerne til at klare sig selv. Hackere, herunder statsstøttede lejesoldater, har bemærket effektiviteten af social engineering-angreb og tilpasset sig derefter.
Udfordringer ved Sikkerhed
For mange organisationer behandles sikkerhed stadig som en compliance-øvelse – en holdning, der forstærkes af tilladende reguleringsstandarder. Virksomheder bestå rutinemæssigt revisioner og offentliggør pletfrie rapporter, selv mens de huser åbenlyse operationelle risici: administratornøgler gemt på personlige bærbare computere, legitimationsoplysninger delt over chat og e-mail, forældede adgangsrettigheder, der aldrig roterer, og rejse-laptops, der genbruges som udviklingsmaskiner.
At rette op på denne disciplinfejl kræver eksplicit, håndhævet operationel sikkerhed. Teams bør bruge administrerede enheder, stærk endpoint-beskyttelse og fuld-disk kryptering; virksomhedens login bør udnytte password managers og phishing-modstandsdygtig MFA; og systemadministratorer bør omhyggeligt styre privilegier og adgang.
Træning og Regulering
Mest vigtigt er, at teams skal investere i træning i operationel sikkerhed; medarbejdere (ikke cybersikkerhedsteams) er den første forsvarslinje mod social engineering-angreb. Virksomheder bør bruge tid på at træne deres teams til at spotte sandsynlige phishing-angreb, praktisere sikker datahygiejne og forstå operationelle sikkerhedspraksisser.
Kritisk set kan vi ikke forvente, at organisationer frivilligt vedtager hårdføre cybersikkerhedspositioner; regulatorer må træde ind og fastsætte håndhævelige operationelle baseline, der gør reel sikkerhed ikke-valgfri.
Fremtiden for Social Engineering
Det er kritisk at investere i operationel sikkerhed nu, fordi angrebsraten vokser eksponentielt. Generativ AI har ændret økonomien for bedrag. Angribere kan nu personalisere, lokalisere og automatisere phishing i industriel skala. Kampagner, der engang fokuserede på en enkelt bruger eller virksomhed, kan nu bruges til at målrette tusindvis af virksomheder med lidt ekstra omkostninger.
Social engineering trives, hvor implicit tillid og bekvemmelighed overskygger verifikation og forsigtighed. Organisationer skal tilpasse en mere defensiv holdning og (korrekt) antage, at de konstant er under trussel fra et social engineering-angreb.
Mest vigtigt er, at virksomheder skal finde ud af, hvor tillid stadig lever i deres operationer (hvor som helst en angriber kan udgive sig for at være en medarbejder, et stykke software eller en kunde) og tilføje ekstra sikkerhedsforanstaltninger. Social engineering vil ikke forsvinde, men vi kan gøre det langt mindre effektivt og langt mindre katastrofalt, når angreb opstår.
Efterhånden som branchen hærder sig mod disse angreb, vil social engineering blive mindre lukrativt for hackere, og angrebsraten vil falde, hvilket endelig bringer en reel afslutning på denne åndeløse cyklus af udnyttelser.
Jan Philipp Fritsche
