BJØRVIKA, OSLO (digi.no): – Ledelsen har tilgang på mye sensitiv informasjon og de er veldig ofte travle mennesker. Erfaringsmessig når vi kjører phishingkampanjer er det ledelsen som biter på først, sier John-André Bjørkhaug.
Han og kollega Egil Aspevik jobber med penetrasjonstesting eller såkalt etisk hacking i NTT Security. De tar oppdrag med å bryte seg inn i kunders datasystemer for å avdekke hull og sårbarheter.
Norske ledere er enkle mål for en angriper, fortalte de to sikkerhetsekspertene under et frokostmøte tirsdag.
Suksessraten ved såkalte «management hacks» hvor de angriper en virksomhets ledelse, er det siste året på 100 prosent, hevder de.
– I alle oppdragene har vi klart å kompromittere en IT-sjef, toppleder eller lignende. Veldig ofte er det administrerende direktør. Det holder at én i ledergruppa går på limpinnen.
Basert på egne erfaringer sier NTT Security at 70 prosent av norske ledere er enkle mål for motiverte hackere. Som regel tar det under 10 minutter å skaffe seg tilgang til virksomhetens mest kritiske data, lyder påstanden.
Raskt og effektivt
Kartlegging er den første av flere faser. Søkemotorer som Google eller Bing og andre åpne kilder som proff.no, Oslo Børs og Finn.no kan være nyttige for å skaffe seg en oversikt over angrepsmålets organisasjonsstruktur.
Likeså det å opprette falske profiler i sosiale medier. En 29 år gammel jente med pent utseende ga god respons, ifølge penetrasjonstesterne i NTT Security.
- Sosial manipulasjon: Sikkerhetseksperter forsøkt kartlagt av falske profiler
– Vi la til helt tilfeldige folk og fikk over 800 kontakter på en uke. Inkludert mange toppledere i store norske selskap. En bra profil på Facebook eller LinkedIn er nyttig når du skal kartlegge en virksomhets organisasjonsstruktur, sier Aspevik.
De har også andre mer avanserte teknikker, men penetrasjonstesterne vet å foretrekke raskeste vei til mål.
Lokker med «optimal opplevelse»
Phishing eller den målrettede varianten, det vil si epost skreddersydd for å lure en konkret person til å gi fra opplysninger, er i de aller fleste tilfeller mest effektivt.
Hensikten med eposten er å lokke mottakeren til å laste ned og installere skadevare. Innholdet vil variere, men ett eksempel de bruker er knyttet til Microsoft Office 365, som jo er svært utbredt.
Ifølge sikkerhetsforskerne lar faktisk folk seg lure til å laste ned en eksekverbar fil som lover å gi dem «den optimale opplevelsen» av Office 365.
Det falske installasjonsprogrammet er signert av en «ukjent utgiver» og ikke Microsoft. Heller ikke denne indikasjonen later til å stanse folk fra å klikke videre.
Bjørkhaug har dessuten registrert et norsk domenenavn, som ser tilforlatelig og relevant ut. Rett og slett en kombinasjon av leverandør- og produktnavn, som tilfeldigvis var ledig.
Dette får anvendelse både som landingsside og falsk pålogging som høster inn kontoopplysningene. Nettstedet er gjerne utstyrt med et ekte sikkerhetssertifikat for å fremstå mer troverdig.
Det beste tiltaket mot å bli ofre for slike angrep er å øve, konstaterer Aspevik.
– Du må rett og slett øve på phishing. Øve, øve, øve.
Bryter seg videre innover
Straks det uheldige offeret har installert skadevaren på egen PC starter neste fase. Det handler om å hente ut mest mulig informasjon, men også jobbe seg videre innover i samme nettverk.
Dette gjennom ulike teknikker penetrasjonstestere og hackere kaller «lateral movement».
– Hva kan vi få tilgang til? Hvor lenge kan vi være i nettverket? Vi har sittet ukesvis i bedrifters nettverk og forsøkt å bli oppdaget, uten hell, sier John-André Bjørkhaug.
Bruk av tekniske løsninger for beskyttelse av barrierer, blant annet brannmur, inntregningsvern (IPS) og antivirusprodukter er vel og bra, men en erfaring er at mange virksomheter har for dårlig kontroll på hva som rører seg internt i nettverket.
En hacker vil forsøke å hoppe fra en pc til den neste. Det finnes nok av verktøy for å fiske ut kontoopplysninger fra minnet, inkludert hashede passord som kan gjenbrukes også uten å måtte knekke dem.
– Ikke logg deg på med lokal administratorkonto eller la brukerne ha slike rettigheter i nettverket. Da gjør du jobben vår kjempevanskelig. Men de fleste som fjerner adminrettigheter gjør seg upopulære. Du må tåle å stå i det og dessuten ha aksept fra ledelsen for å gjøre det, råder Egil Aspevik.