Nikka_3200x1000.jpg

Hvem kan lure deg?

E-postrelatert bedrageri er en av de største IT-sikkerhetsutfordringene for organisasjoner. IT-ekspert Karl Emil Nikka forteller om problemet.

Karl Emil Nikka er foreleser innen IT-sikkerhet, og har over ti års erfaring fra teknisk-utdanning. Målet hans er å øke bevisstheten rundt dagens IT-sikkerhetsutfordringer slik at alle organisasjoner kan gjøres sikrere.

Teknisk sikkerhetsutstyr, som brannmurer og klientbeskyttelse, spiller en viktig rolle i beskyttelsen av alle organisasjoner, men ifølge Nikka er opplæring av medarbeiderne minst like viktig. Hvis angriperne ikke lykkes med å angripe systemene eller PC`ene, prøver de i stedet å angripe menneskene.

Sofistikert phishing
Den vanligste måten å angripe menneskene på, er gjennom phishing. Angripere som vil ha tak i passord, kan for eksempel sende e-poster med lenker som fører til falske påloggingssider.

– Jeg opplever dessverre at mange har et altfor naivt syn på phishing. De lever fortsatt i den tro at e-poster for phishing er dårlig skrevet, maskinoversatt norsk, og at phishingforsøkene kan avsløres like lett som de klassiske brevene fra Nigeria. Realiteten er at alle kan falle for phishingangrep dersom angriperne er tilstrekkelig sofistikert, forteller Nikka.

Motiverte angripere kan investere mye tid i å forberede sine angrep. De kan for eksempel kartlegge organisasjonen ved å besøke nettsidene, presserom og nettsidens bankside. Der finner angriperne informasjon om hvilke prosjekter organisasjonen jobber med, hvilke systemer de bruker og hvilke organisasjoner de samarbeider med. Ut fra denne kunnskapen kan angriperne produsere phishing e-poster som føles relevante i mottakernes øyne, og som inneholder instruksjoner som mottakeren derfor er mer villige til å følge.

Phishing i flere trinn
På de ansattes sosiale medier kan angriperne finne informasjon om hvilke personer som har kontakt med hverandre. Disse koblingene kan angriperne bruke for å konstruere phishingangrep i flere trinn. Hvis de anser at et tenkt mål er for flink til å avsløre generiske phishing e-poster, kan de starte med et phishingangrep på noen av hans eller hennes kontakter. Dersom angriperne lykkes med å kapre noen av kontaktenes kontoer, kan de senere sende e-poster derfra.

– Vi er flinke til å sette spørsmålstegn ved e-poster som kommer fra ukjente avsendere, men hva gjør vi dersom e-posten kommer fra en kunde eller en leverandør som vi allerede samarbeider med? Når e-posten kommer fra noen vi kjenner, senker vi garden. Det drar angriperne raskt nytte av, fortsetter Nikka.

For å redusere de e-postrelaterte risikoene, anbefaler Nikka helt enkelt å unngå e-post som kommunikasjonsmiddel. Moderne alternativer, som Slack og Teams, gjør det både sikrere å kommunisere og enklere å strukturere samtalene.

Sterke passord
Uansett hvor flinke medarbeiderne er til å avsløre phishingangrep, bør organisasjonen ta høyde for at phishingangrep likevel lykkes. For å begrense konsekvensene er det derfor viktig at medarbeiderne også har gode passordvaner. De bør for eksempel aldri ha det samme passordet for flere kontoer, siden et lekket passord dermed åpner flere dører for angriperne.

– Husk at medarbeiderne er mennesker. Som mennesker er vi ikke i stand til å huske alle våre passord. Uten teknisk hjelp kommer vi derfor ubønnhørlig til å gjenbruke passord eller velge dårlige passord, forklarer Nikka.

Verktøy som SSO-tjenester (Single Sign-On) og systemer for håndtering av passord er eksempler på tekniske hjelpemidler som gjør at medarbeidere ikke behøver å huske alle sine passord. Med hjelp av dette hjelpemiddelet kan medarbeidere dessuten velge lengre passord.

- Jo lengre et passord er, desto lengre tid tar det å knekke det. Det beste er å bruke meningsløse uttrykk som passord. Meningsløse uttrykk er vanskelige å knekke, lette å huske og enkle å skrive, oppsummerer Nikka.
Hvert ekstra tegn som et passord forlenges med, vanskeliggjør knekkingen i overraskende stor utstrekning. Følgende tabell viser hvordan tiden for å knekke et passord øker i takt med antall tegn.

Utpressingsangrep
Svindel-e-poster brukes ikke bare for å få tak i passord. De brukes også for å spre
trojanere i forbindelse med utpressing. Det er en type skadeprogram som krypterer organisasjonens filer slik at de ikke lenger kan leses. Angriperne krever at organisasjonen betaler løsepenger for at filene skal bli gjenopprettet.

Spredning av trojanere er egentlig ikke noe nytt. Slike skadeprogrammer har florert i 30 år. De har dessverre fått en renessanse i de siste årene.

– Kryptovaluter som Bitcoin og Monero har gjort det enkelt for utpressere å ta betalt. Før i tiden måtte de få betalt via sjekker eller forhåndspåfylte kontokort, noe som krevde mye manuell håndtering. Nå kan de automatisere alt sammen, forklarer Nikka.

I fjor ble det norske aluminiumsselskapet Hydro rammet av nettopp et slikt angrep. Via en eksisterende forretningskontakt lyktes det angripere å lure en Hydro-ansatt til å klikke på en skadelig lenke i en e-post. Selskapets PC-er ble infisert med en utpressingstrojaner som forårsaket skader for anslagsvis 600 millioner norske kroner.

For å beskytte organisasjonen mot utpressingsangrep, gjelder det å ha gode rutiner for sikkerhetskopiering, noe Nikka poengterer ved bemerkelsesverdig mange anledninger i løpet av intervjuet. Han oppfordrer også til aldri å betale løsepenger for å få tilbake filene på den måten.

– Sørg for å ha fullstendige sikkerhetskopier som er enkle å gjenopprette, slik at dere kan få tilbake filene deres selv om dere skulle bli rammet av en trojaner. Betal aldri løsepenger. Så lenge tilstrekkelig mange ofre betaler løsepenger, vil utpressingstrojanerne fortsette å plage verdens organisasjoner, avslutter Nikka.