– Begreppet handlar om hur man genom att anspela på sociala koder och kunskap om mänskligt beteende kan lura människor till att lämna ut uppgifter eller utföra handlingar som man inte borde göra. Det handlar om mänskliga attacker.

Vilka är det vanligaste sätten att lura folk på?
– Det vanligaste sättet att lura människor på att genom pfishing, en angripare skickar ut mängder med brev till potentiella offer, där de ombeds "bekräfta sin kontoinformation" eller liknande.

– Numera börjar dessa angrepp bli mer sofistikerade. De farligaste angreppen är dock de som är människa till människa eftersom de är svårare att spåra och mer framgångsrika.

Har du något aktuellt exempel på det här?
– Det var en bedragare i Norrland som ringde upp folk på natten och påstod att man hade problem med säkerheten på banken. Han bad människorna att identifiera sig med hjälp av sin bankdosa och med hjälp av dessa koder lyckades han stjäla pengar.

Är någon människotyp mer benägen att falla för det här?
– Det finns inga entydiga studier genomförda på det här, men det finns indikationer på att vissa människor har ett större riskbeteende än andra.

Hur kan man aktivt förebygga attacker?
– Det har länge funnits en attityd att man ska göra det genom utbildning. Men mina studier visar på att dessa traditionella utbildningsformer inte är effektiva. Jag tycker det är bättre att människor får uppleva ett manipulerat angrepp för att man ska känna igen känslan.

Hur går det till?
– Jag genomförde ett pfishing-angrepp mot en organisation. Många har en villfarelse att man inte faller för det här, men i övningen fick man känna på hur det känns och efteråt fick man återkoppling på sitt beteende.

Vad var fynden i det manipulerade angreppet?
– Även om man har erfarenhet och kunskap om attacker tittar man gärna efter stereotypa saker. Om man i angreppet är medveten om dessa saker kan man manipulera dessa och medvetna människor tenderar att falla oftare än otränade.

Har du tips på hur man ska undvika att falla för det här?
– Angriparna är inte dummare än att man läser in det i nästa attack. Det finns en inneboende risk med att ge tips och det är ett vanligt fel som vi har gjort inom säkerhetsbranschen.

– För att förändra ett beteende måste man jobba med detta hela tiden inom verksamheten. Det bästa är praktiskt träning och troligen måste organisationer gå mer mot att göra interna kontroller, där man helt enkelt skapar fiktiva attacker för att se var svagheterna finns

Fakta

"Jag är svag för mobiltelefonen"

Namn: Marcus Nohlberg
Ålder: 32 år
Bor: I Skövde
Familj: Flickvän och hunden Greta
Utbildning: Fil.dok inom säkerhet, MBA i e-handel och en fil.kand i informationssystem.
Äter gärna: Vegetariskt
Dricker gärna: Mjölk
Läser gärna: Allätare
Medlem på: Facebook: Ja
Favorit-it-pryl: Jag är svag för mobiltelefonen