Upplysning
Åsikterna som uttrycks här tillhör enbart författaren och representerar inte åsikterna hos crypto.news redaktion.
Social Ingenjörskonst och Cybersäkerhet
Under det senaste året har de flesta av de största utnyttjandena inom kryptovaluta haft samma grundorsak: människor. Under de senaste månaderna har Ledger uppmanat användare att pausa on-chain aktivitet efter att npm-underhållare blivit lurade och skadliga paket spridits. Workday avslöjade en social ingenjörskampanj som fick tillgång till data i en tredjeparts CRM, och Nordkorea-länkade operatörer fortsatte med falska jobberbjudanden riktade mot kryptoteam för att sprida skadlig programvara.
Trots miljarder som spenderats på cybersäkerhet fortsätter företag att drabbas av enkel social ingenjörskonst. Team investerar i tekniska skydd, revisioner och kodgranskningar, samtidigt som de försummar operativ säkerhet, enhetshygien och grundläggande mänskliga faktorer. När mer finansiell aktivitet flyttas on-chain blir den blinda fläcken en systemrisk för digital infrastruktur.
”Det enda sättet att bromsa ökningen av sociala ingenjörsattacker är att göra breda, långsiktiga investeringar i operativ säkerhet som minskar effektiviteten av dessa taktiker.”
Mänsklig Faktor och Cyberhot
Verizons 2025 Data Breach Investigations Report kopplar den ”mänskliga faktorn” inom cybersäkerhet (fiske, stulna referenser och vardagliga misstag) till ungefär 60 % av dataintrång. Social ingenjörskonst fungerar eftersom den riktar sig mot människor, inte kod, och utnyttjar förtroende, brådska, bekantskap och rutin. Dessa typer av utnyttjanden kan inte elimineras genom en kodgranskning och är svåra att försvara sig mot med automatiserade cybersäkerhetsverktyg.
Kodgranskning och andra vanliga cybersäkerhetsmetoder kan inte stoppa en anställd från att godkänna en bedräglig begäran som ser ut att komma från en chef, eller ladda ner en falsk Zoom-uppdatering som verkar legitim. Även högteknologiska team blir fångade; mänsklig svaghet är universell och envis. Som ett resultat fortsätter social ingenjörskonst att driva verkliga incidenter.
Risker i Web3
Programmerbara pengar koncentrerar risk. I web3 kan kompromettering av en seed phrase eller en API-token vara likvärdigt med att bryta sig in i ett bankvalv. Den oåterkalleliga naturen av kryptovalutatransaktioner förstärker misstag: när medel flyttas finns det ofta inget sätt att återkalla transaktionen. Ett enda misstag i enhetssäkerhet eller nyckelhantering kan utplåna tillgångar.
Web3:s decentraliserade design innebär att det ofta inte finns någon hjälpdesk att kontakta, vilket lämnar användare att klara sig själva. Hackare, inklusive statligt stödda legosoldater, har noterat effektiviteten av sociala ingenjörsattacker och anpassat sig därefter. Operationer som tillskrivs Nordkoreas Lazarus Group lutar sig tungt på social ingenjörskonst: falska jobberbjudanden, förgiftade PDF-filer, skadliga paket och skräddarsydd phishing som utnyttjar mänskliga sårbarheter.
Behov av Förbättrad Säkerhet
Dessa utnyttjanden är skrämmande effektiva och enkla att genomföra, och teknikföretag verkar oförmögna att försvara sig mot dem. Till skillnad från zero-day utnyttjanden, som snabbt åtgärdas, kan hackare utnyttja samma sociala ingenjörstaktik om och om igen, autonomt, och spendera mer tid på hacking och mindre tid på forskning och utveckling.
Många organisationer behandlar fortfarande säkerhet som en efterlevnadsövning – en attityd som förstärks av tillåtande regleringsstandarder. Företag passerar rutinmässigt revisioner och publicerar fläckfria rapporter även när de hyser uppenbara operativa risker: administratörsnycklar lagrade på personliga bärbara datorer, referenser delade över chatt och e-post, föråldrade åtkomsträttigheter som aldrig roteras, och rese-laptops omgjorda till utvecklingsmaskiner.
”Att åtgärda detta disciplinproblem kräver tydlig, genomdriven operativ säkerhet.”
Utbildning och Reglering
Team bör använda hanterade enheter, stark slutpunktskydd och fullständig disk-kryptering; företagsinloggningar bör utnyttja lösenordshanterare och phishing-resistenta MFA; och systemförvaltare bör noggrant hantera privilegier och åtkomst. Dessa kontroller är inte en universallösning, men de bidrar till att göra sociala ingenjörsattacker svårare och hjälper till att mildra effekten av potentiella utnyttjanden.
Viktigast av allt, team behöver investera i utbildning om operativ säkerhet; anställda (inte cybersäkerhetsteam) är den första försvarslinjen mot sociala ingenjörsattacker. Företag bör spendera tid på att utbilda sina team att upptäcka sannolika phishingattacker, öva säker datahygien och förstå operativa säkerhetsmetoder.
Kritiskt, vi kan inte förvänta oss att organisationer ska anta hårdnade cybersäkerhetshållningar frivilligt; reglerare måste träda in och sätta genomdrivbara operativa baslinjer som gör verklig säkerhet icke-valfritt. Efterlevnadsramverk bör gå bortom dokumentation och kräva påvisbar bevisning av säkra metoder: verifierad nyckelhantering, periodiska åtkomstgranskningar, slutpunktsförstärkning och simulerad phishingberedskap.
Framtiden för Cybersäkerhet
Utan reglerande tänder kommer incitamentet alltid att favorisera utseende framför resultat. Det är avgörande att investera i operativ säkerhet nu eftersom takten av attacker växer exponentiellt. Generativ AI har förändrat ekonomin för bedrägeri. Angripare kan nu anpassa, lokalisera och automatisera phishing i industriell skala.
Kampanjer som en gång fokuserade på en enda användare eller företag kan nu användas för att rikta in sig på tusentals företag med liten extra kostnad. Phishingattacker kan anpassas med bara några klick och inkludera intima detaljer för att få ett förfalskat e-postmeddelande att kännas legitimt. AI påskyndar också rekognosering. Offentliga fotavtryck, läckta referenser och öppen källkod intelligens kan utvinnas och sammanställas till ”briefs” om varje offer, vilket hjälper hackare att utveckla djupt övertygande attacker.
Social ingenjörskonst frodas där implicit förtroende och bekvämlighet överväger verifiering och försiktighet. Organisationer behöver anpassa en mer defensiv hållning och (korrekt) anta att de ständigt är under hot av en social ingenjörsattack. Team bör anta zero-trust-principer i det dagliga arbetet och inkorporera operativa säkerhetsprinciper genom hela företaget.
De bör utbilda anställda om operativ säkerhet för att stoppa attacker tidigt och hålla sitt team uppdaterat om de senaste sociala ingenjörstaktikerna. Viktigast av allt, företag behöver identifiera var förtroende fortfarande finns i sina operationer (varhelst en angripare kan utge sig för att vara en anställd, en mjukvarudel eller en kund) och lägga till extra skydd.
Social ingenjörskonst kommer inte att försvinna, men vi kan göra den mycket mindre effektiv och mycket mindre katastrofal när attacker inträffar. När branschen hårdnar sig mot dessa attacker kommer social ingenjörskonst att bli mindre lukrativ för hackare, och takten av attacker kommer att sjunka, vilket slutligen ger ett verkligt slut på denna andfådda cykel av utnyttjanden.
Jan Philipp Fritsche
