Slik utnytter hackere bevisst menneskelige svakheter
Antallet hackere og dermed også trusler mot IT-sikkerheten har økt kraftig bare de siste årene. – Det er mange som tror at virksomhetene deres er trygge, fordi de har brannmur og antivirusprogram. Slik er det dessverre ikke, sier Erik Ariel Fredriksen i Netsecurity.
Erik Ariel Fredriksen er Security Engineer i Netsecurity, et selskap med ansatte som er spesialister på IT-sikkerhet. Han forteller at selv om bedrifter har både brannmur og antivirusprogram, klarer cyberkriminelle allikevel ofte å finne en vei inn. De utnytter bevisst menneskelige svakheter.
Bedrifter i alle størrelser er aktuelle mål for hackere
Konsekvensen er at i over 90 prosent av tilfellene, hvor enten skadelig programvare finner veien til IT-systemene våre, eller man opplever direktørsvindel (Display Name Spoofing) har det kommet inn via e-post. At e-post er det sårbare punktet er skummelt å tenke på, fordi alle ansatte antagelig bruker tjenesten minst en gang hver eneste dag.
– Mange daglig ledere har en hektisk hverdag med krevende oppgaver og mye ansvar. De velger derfor å stole på teknologien de har, og tenker at internasjonale datakriminelle ikke er interessert i en mellomstor bedrift i Norge. Slik er det ikke. Det dukker stadig opp eksempler på selskaper i alle størrelser som har blitt utsatt for angrep, forteller Fredriksen.
Det er veldig lite som skal til siden antallet sårbarheter og trusler har økt eksponentielt de siste få årene. Det er for sent å reagere først når du har blitt rammet. Det smarte valget er å sørge for gode nok IT-sikkerhetstiltak, slik at dere ikke lenger er et enkelt mål.
Antivirusløsninger og spamfilter har smutthull
Spamfilter og antivirusprogrammer klarer dessverre ikke og fange opp alt og har sine begrensninger. Datakriminelle jobber hardt for å finne nye veier utenom og klarer det ofte. De sender da for eksempel lenker i en e-post som kan inneholde
-
Overvåkningsprogramvare
-
Løsepengevirus
-
Utvinning av kryptovaluta
Men dette er ikke de datakriminelles ene ess i ermet. En annen klassisk svindelmetode er å inkludere vedlegg som PDF. Når farlige lenker legges direkte i dokumentet fanges de ikke opp. En annen metode som benyttes er at det legges inn en lenke som ser harmløs ut, men som omdirigerer deg til en annen nettside. Dermed kan hackerne oppdatere nettsiden med skadelig programvare etter at e-posten har sluppet gjennom spamfilteret, forteller Erik Ariel Fredriksen, Security Engineer i Netsecurity.
Les også: Tar du IT-sikkerhet så alvorlig som du burde? Antagelig ikke.
Mange spam- eller URL-løsninger sjekker kun for skadelig kode eller innhold ved mottak. Dette vet angriperen godt. En sikkerhetsløsning må derfor alltid kunne sjekke URL-er ved klikk også, ikke bare mottak.
Hvilke svindelmetoder er det de datakriminelle som oftest bruker?
Hva er spear-phishing?
Spear-phishing går ut på at hackeren gir seg ut for å være en person eller organisasjon som mottakeren allerede stoler på. Den falske kommunikasjonen kan foregå i lang tid for å bygge den nødvendige tilliten. Et eksempel på det er den såkalte Norfund-saken, hvor 100 millioner kroner gikk tapt i et avansert digitalt angrep.
Norfund er et statlig eid investeringsselskap. Svindelen knyttet seg til en låneavtale Norfund inngikk med en mikrofinansinstitusjon i Kambodsja, hvor det i stedet var cyberkriminelle som sto bak.
Dessverre rammer datakriminalitet også små og mellomstore bedrifter. Kripos har uttalt at lokale idrettslag er like utsatte som store konserner. Forskjellen ligger i summen på pengekravene. Summen tilpasses den eller de hackerne forsøker å ramme, slik at de har muligheter til å betale.
Hva er direktørsvindel?
Det er en rekke metoder som er velkjente former for dataangrep. Du har kanskje hørt om direktørsvindel? Det er en metode som går ut på at for eksempel en økonomimedarbeider mottar en e-post fra ledelsen i bedriften. Den såkalte «ledelsen» ber gjerne om å få overført en sum til et kontonummer, snarest. Er e-posten velformulert og ser «ekte» ut, er det en stor risiko for at ansatte går i fellen.
– Cyberkriminelle kan allerede være inne i e-postsystemet uten at du vet det. Det er en vanlig framgangsmåte at de har tilgang i kanskje 6-12 måneder uten å gjøre noen skade. Denne tiden bruker de til å samle inn å mye informasjon som mulig. Det kan være informasjon om ansvarsområder eller for eksempel hvordan ulike ansatte formulerer seg i e-poster. Dermed kan de framstå som mer troverdige og har større sjanse for å lykkes, når dataangrepet iverksettes, sier Erik Ariel Fredriksen, Security Engineer i Netsecurity.
Et enkelt grep kan sikre deg mot e-postsvindel
Det er ikke enkelt å oppdage om noen har tilgang til e-post innboksen din. Det er derimot veldig enkelt å sette i verk IT-sikkerhetstiltak som tofaktorautentisering. Dersom det ikke er innført allerede i virksomheten din, bør du gjøre det umiddelbart.
Det er veldig lett å lure til seg innloggingsinformasjon hvis det ikke brukes tofaktorautentisering. Når e-poster og passord først har havnet på avveie, dukker de opp i store, åpne databaser.
Hva innebærer tofaktorautentisering i praksis? Det er et dobbelt lag med sikkerhet. Når du logger deg inn, må du bruke to faktorer (bevis) for å bekrefte identiteten din. De to faktorene kan være for eksempel passordet ditt og at det sendes en kode på SMS til mobiltelefonen din.
Les også: Hvis du tror du har passordene dine for deg selv, må du tro om igjen
Datakriminelle kan utgi seg for å være deg via e-post
Det kan føre til en omdømmekatastrofe for virksomheten din, hvis hackere får tak i dine kundedata som deretter brukes mot dine kontaktpersoner. I tillegg til økonomiske konsekvenser for begge parter og store problemer grunnet brudd på GDPR og andre lover og regler.
Et slepphendt forhold til e-postsikkerhet utgjør altså ikke bare en IT-sikkerhetsrisiko for deg, men også for dine samarbeidspartnere og eventuelle kunder. Med tilgang til din e-postkonto, kalender eller annen informasjon, kan kriminelle sende ut e-poster i ditt navn til dem du jevnlig er i kontakt med.
Les også: Slik tetter Managed Email Protection norske bedrifters vanligste sikkerhetshull
Har du lukrative kunder, leverandører eller andre samarbeidspartnere, kan du altså brukes som en brekkstang inn i deres systemer eller bankkontoer.
– Det er risikabelt å anta at du er trygg. Du må ha et bevisst forhold til IT-sikkerhet generelt og e-postsikkerhet spesielt. Utgangspunktet bør være at du er i faresonen, sier Fredriksen.
Det er dessverre fortsatt mange virksomheter som kjører usikret nedover IT-sikkerhetsmotorveien. Om du krasjer, hjelper det lite å installere setebelte eller kollisjonsputer i ettertid. Netsecurity hjelper deg gjerne med å og sette i verk de riktige tiltakene, slik at din e-postsikkerhet er ivaretatt. Du kan jo starte med å ta vår gratis e-post helsesjekk!