Hur angripare använder ditt digitala fotavtryck mot dig

Du lämnar spår på nätet varje dag – i sociala medier, i kommentarsfält, i jobbprofiler och i dataintrång du aldrig fick veta om. Var och ett av dessa spår verkar harmlöst i isolation. Men i händerna på en angripare som vet hur man samlar ihop och tolkar dem förvandlas de till ett detaljerat underlag för en attack skräddarsydd just för dig. Det kallas Open Source Intelligence, eller OSINT, och det är en teknik som inte kräver avancerad hackning – bara tålamod, rätt verktyg och en förmåga att se mönster i offentligt tillgänglig information.

Vad ditt digitala fotavtryck faktiskt består av – och hur mycket du inte vet om det

De flesta som tänker på sitt digitala fotavtryck föreställer sig sina egna inlägg på sociala medier – saker de medvetet valt att publicera. Det är en bild som stämmer, men som är förbluffande ofullständig. Det digitala fotavtrycket är betydligt större, mer detaljerat och till stor del utanför din kontroll, och att förstå dess verkliga omfattning är en förutsättning för att förstå varför det är ett så effektivt verktyg i en angripares händer.

Det du lagt ut själv – och mer än du minns

Den mest uppenbara delen av fotavtrycket är det du aktivt publicerat: profilbilder, statusuppdateringar, kommentarer, recensioner och inlägg på forum. Men det inkluderar också saker du kanske glömt – ett inlägg på ett diskussionsforum från tio år sedan, en recension du skrev på en hotellsajt, ett användarnamn du registrerade på en tjänst du sedan aldrig använde. Internet har ett långt minne, och sökmotorer indexerar och bevarar innehåll långt efter att du slutat tänka på det.

LinkedIn är ett särskilt rikt källmaterial för angripare, eftersom det är en plattform där människor aktivt och detaljerat beskriver sin arbetshistoria, sina kompetenser, sina kollegor och sina arbetsgivare. Det som ser ut som ett professionellt visitkort är i praktiken en strukturerad sammanfattning av din yrkesidentitet, dina nätverk och de organisationer du har tillgång till.

Det som samlats in om dig utan din aktiva medverkan

En stor och ofta förbisedd del av fotavtrycket är data som samlats in om dig av tredje part – utan att du aktivt bidragit med den. Datamäklare köper och säljer personuppgifter från en mängd olika källor: köphistorik, adressregister, offentliga register, apptjänster och mycket annat. Den informationen är ofta köpbar av vem som helst, inklusive en angripare som vill veta var du bor, vilka familjemedlemmar du har och vilka intressen du uppvisar genom ditt konsumentbeteende.

Till detta kommer information från dataintrång. Hundratals miljoner inloggningsuppgifter från intrång mot tjänster som LinkedIn, Adobe, Dropbox och otaliga andra har läckt ut och finns tillgängliga i databaser på darknet. Din e-postadress, ditt gamla lösenord och i vissa fall din hemadress eller ditt telefonnummer kan finnas i dessa databaser – oavsett om du vet om det eller inte.

Metadata som avslöjar mer än innehållet

En dimension av det digitala fotavtrycket som är särskilt svår att kontrollera är metadata – den information som omger innehållet snarare än utgör det. En bild du publicerar på nätet kan innehålla inbyggd GPS-data som avslöjar exakt var den togs. Ett dokument du delar kan innehålla information om vilken dator det skapades på och vilket användarnamn som användes. Tidsstämplar på inlägg avslöjar ditt aktivitetsmönster och kan i förlängningen ge en angripare en bild av när du sover, när du arbetar och när du är bortrest:

• Bilder med inbyggd platsdata kan avslöja din hemadress, din arbetsplats och dina återkommande rörelsemönster
• Dokumentmetadata kan röja internt känslig information om organisationer du tillhör
• Aktivitetstidsstämplar på forum och sociala medier avslöjar din dagliga rytm med förvånansvärd precision
• Incheckningar och geotaggade inlägg skapar över tid en karta över ditt liv som är svår att rekonstruera i efterhand men enkel att läsa för den som samlar ihop den

Det är en påminnelse om att det digitala fotavtrycket inte bara består av vad du säger – det består också av när, var och hur du säger det.

Så sätter angripare ihop pusselbitarna till en riktad attack

Ett digitalt fotavtryck i sig är inte farligt. Det blir farligt när någon med rätt motivation och rätt verktyg börjar systematiskt samla ihop dess delar och väva samman dem till en sammanhängande bild. Det är precis vad en angripare gör under den fas av en attack som kallas rekognoscering – och det är en fas som kan pågå i veckor eller månader innan offret märker något överhuvudtaget.

Rekognoscering – attackens osynliga första fas

Innan en angripare skickar ett enda phishingmejl eller försöker logga in på ett enda konto lägger de ned betydande tid på att lära känna sitt mål. De söker igenom sociala medier, läser LinkedIn-profiler, letar efter gamla foruminlägg, kontrollerar om målets e-postadress dyker upp i kända dataintrång och kartlägger de organisationer målet är kopplat till. Allt detta sker med öppna källor och fritt tillgängliga verktyg – inget av det kräver avancerad teknisk förmåga.

Resultatet av rekognosceringsarbetet är en profil: ett dokument eller en mental bild av målets vanor, relationer, intressen, arbetsroll och digitala närvaro. Ju mer detaljerad profilen är, desto mer övertygande kan den efterföljande attacken göras – och övertygande är precis vad som avgör om en attack lyckas eller misslyckas.

Spear phishing – när attacken känns personlig

Den vanligaste användningen av ett detaljerat digitalt fotavtryck är spear phishing – riktad nätfiske där angriparen skräddarsyr sitt meddelande specifikt för mottagaren. Till skillnad från massutskick som är lätta att känna igen på sin generiska utformning ser ett spear phishing-meddelande ut som om det kommer från någon som faktiskt känner dig.

Angriparen kanske refererar till din arbetsgivare vid namn, nämner ett projekt du nyligen kommenterat på LinkedIn, använder ett användarnamn du är känd under i ett specifikt sammanhang, eller skickar meddelandet från en adress som ser ut att tillhöra en kollega vars namn de hittat i ditt offentliga nätverk. Varje detalj är hämtad från fotavtrycket, och varje detalj ökar sannolikheten att du sänker garden och klickar på länken eller öppnar bilagan.

Från en öppen dörr till hela organisationen

Det som gör riktade attacker baserade på OSINT särskilt allvarliga i ett organisatoriskt sammanhang är att en enskild persons fotavtryck ofta räcker för att kompromissa hela organisationen. En angripare som kartlagt en ekonomimedarbetares digitala närvaro, identifierat deras chef och rekonstruerat de interna processer som beskrivs i offentliga dokument och LinkedIn-profiler kan konstruera ett så kallat VD-bedrägeri – ett meddelande som ser ut att komma från ledningen och som ber om en brådskande banköverföring eller tillgång till känsliga system.

Attacken utnyttjar inte en teknisk sårbarhet. Den utnyttjar mänsklig tillit byggd på information som var offentlig hela tiden, men som ingen tänkte på att skydda eftersom varje enskild bit verkade harmlös i isolation. Det är kärnan i varför det digitala fotavtrycket är ett så effektivt vapen – inte för att det innehåller en enda avgörande hemlighet, utan för att kombinationen av många små öppna fakta skapar något som är mycket större och farligare än summan av dess delar.

Hur du minskar din exponering utan att försvinna från nätet helt

Det är lätt att känna sig överväldigad efter att ha förstått hur mycket information som finns tillgänglig om en genomsnittlig internetanvändare. Men känslan av maktlöshet är inte berättigad – det finns konkreta och genomförbara åtgärder som minskar din exponering betydligt utan att kräva att du raderar alla konton och slutar använda internet. Målet är inte osynlighet, utan att göra rekognosceringsarbetet tillräckligt svårt och tidskrävande för att du ska sluta vara ett attraktivt måltavla.

Börja med att kartlägga ditt eget fotavtryck

Det första och mest upplysande steget är att göra precis det en angripare skulle göra – söka på dig själv. Använd ditt eget namn, dina användarnamn, din e-postadress och din arbetsgivare i sökmotorer och se vad som dyker upp. Verktyg som Have I Been Pwned låter dig kontrollera om din e-postadress förekommer i kända dataintrång, vilket ger dig en konkret bild av vilken information som potentiellt finns tillgänglig i kriminella databaser.

Det du hittar under den här genomgången är sannolikt mer än du förväntat dig, och reaktionen är ofta en blandning av förvåning och obehag. Det är en produktiv reaktion – den skapar den motivation som krävs för att faktiskt genomföra de förändringar som följer.

Praktiska åtgärder som faktiskt gör skillnad

Att reducera sitt digitala fotavtryck är inte en enda stor åtgärd utan en samling mindre förändringar som tillsammans har en betydande effekt. De viktigaste förändringarna att prioritera är följande:

• Granska integritetsinställningarna på alla sociala medier och begränsa vem som kan se dina inlägg, ditt nätverk och din kontaktinformation
• Använd unika e-postadresser för olika tjänster, exempelvis via ett aliassystem, så att ett intrång i en tjänst inte automatiskt exponerar din primära identitet
• Ta bort gamla konton på tjänster du inte längre använder – ett vilande konto är ett fotavtryck utan syfte
• Kontakta datamäklare och begär borttagning av din information, eller använd en tjänst som automatiserar denna process
• Stäng av geotaggning i kameran och var medveten om vilken platsinformation som följer med bilder du publicerar

Tänk på vad du publicerar i yrkessammanhang

LinkedIn är en kategori för sig och förtjänar särskild uppmärksamhet. Det är en plattform där det finns starka sociala incitament att vara detaljerad och öppen – men varje detalj du lägger till är också en detalj en angripare kan använda. Det betyder inte att du ska ha en tom profil, men det betyder att det är värt att tänka igenom vilken information som faktiskt behövs för ditt professionella syfte och vilken som bara ökar din exponering utan att tillföra något.

Att undvika att namnge specifika interna system, interna processer eller känsliga projekt i offentliga profilbeskrivningar är en enkel vana som minskar det organisatoriska riskutrymmet avsevärt. En angripare som inte vet vilka system din organisation använder måste gissa – och ett mål som kräver gissning är alltid mindre attraktivt än ett som berättar det öppet.