Skip to main content

​IT-truslen er flyttet over på andre kanaler som SMS og sociale medier

Nyhed   •   Maj 09, 2017 14:23 CEST

De fleste ved i dag at de skal være på vagt over for falske e-mails, også kaldet phishing, der prøver at få dig til trykke på et link til et ondsindet website, hvor du bliver bedt om at afgive private oplysninger som dit kodeord. Men den bevidsthed har vi endnu ikke fået overfor SMS-angreb. 

Det viser en undersøgelse som Alexandra Instituttet har lavet i samarbejde med Forsvarsakademiet. I forsøget trykkede 89 procent af brugerne på et link i en phishing SMS mod 40 procent i en e-mail.

“Forsøget viste klart, at det er nemt at ramme folk med SMS-angreb. På SMS’er kan du ligeså nemt skjule, hvor telefonnummeret kommer fra. Man kan sende en SMS til en person under påstand af, at den kommer fra en anden, og SMS’en vil dukke op i den tråd eller dialog, som du ellers har haft med personen,” fortæller Jonas Lindstrøm, Senior Security Architect i Security Lab på Alexandra Instituttet https://alexandra.dk/dk/om_os/medarbejdere/jonas-lindstroem.

I undersøgelsen prøvede de at ramme medarbejdere i tre virksomheder, som beskæftiger sig med kritisk infrastruktur. Et fra forsvarsindustrien, et fra olieindustrien og et generelt sikkerhedsfirma.

“Tanken var at ramme firmaer, der håndterer ting, der er kritiske, som fx olieforsyning eller firmaer, der ligger inde med dybt fortrolige oplysninger om våbensystemer. Hvis man får en fod inden for så kan man potentielt lave industrispionage eller afpresning, og derfor skal de selvfølgelig have mere styr på sikkerheden. Men konklusionen er, at de her firmaer er sårbare overfor de her SMS-angreb, og at det er relativt nemt at udføre dem, uden at det kræver mange ressourcer,” forklarer han.

Brugerne er mindre opmærksomme på nye kanaler

Jonas Lindstrøm tror, at de ville have lige så stor succes med angrebene, hvis de havde taget fat i medarbejdernes sociale medie-profiler.

“Det kunne vi ikke af etiske årsager, fordi vi risikerede at ramme medarbejderne privat. Rigtig mange har jo tingene kædet sammen. Det kan godt være, at virksomheden har en masse sikkerhed, der sikrer dig mod phishing-mails, men hvis jeg sender en Facebook-besked eller via LinkedIN til dig, så kan det være at du tjekker det fra samme maskine, men det er slet ikke underlagt samme sikkerhed,” siger han.

Nemt at automatisere angreb

En anden konklusion, som de kom frem til, er at det nemt at indsamle information om ledende medarbejdere på sociale medier. Ofte ved at automatisere angrebene. Hackere skal typisk økonomisere med deres ressourcer, og kan ikke bruge dage på at finde ud af, hvordan en virksomhed er opbygget, og derfor udfører de automatiserede angreb.

“Vi udvalgte en gruppe medarbejdere, og så lavede vi en automatisering, der gik på Facebook, og skrabede alt om dem. Lige fra, hvem der er venner, hvem, der skriver meget sammen og hvem, der har ferie. Det kan man udnytte, når man skal forme de her angreb, fordi du kan lære strukturen i virksomheden at kende,” siger han.

Nogen personlighedstyper er nemmere at angribe

Derefter brugte de forskning til at finde ud af, hvem der er mest modtagelige over for phishing. Her er der forskning, der tyder på, at du kan aflede folks personlighedstype ud fra, hvad de skriver. Folk, der er neurotisk anlagt, er nemmere at snyde og samtidig kan man se, at folk, der beklager sig meget, bander eller som er meget negative i deres sprog, i højere grad er neurotisk anlagt.

“Det er meget overordnet, men tænk på, at en forbryder kan trykke på en knap og så kan han scanne virksomhedens 500 medarbejdere og så finde frem til, hvem der er nemme ofre, og som han så kan sende email eller SMS til,” fortæller han.

Sørg for at have procedurer

Og hvad kan man så gøre? Det automatiske svar er at undervisning, så folk kender faresignalerne. Problemet er bare, at alarmberedskabet først kommer i gang, når man har åbnet en falsk mail eller SMS.

“Det er ikke konkluderet, men meget tyder på, at ‘awareness-træning’ ikke batter. Det hjælper nogen, men for rigtig mange virker det ikke. Mange af de angreb som vi lavede, ville ikke blive fanget i de spam-filtre, som mange virksomheder har. Men du kan have nogle procedurer overfor fx CEO Fraud. Hvis en gerningsmand sender en falsk mail til regnskab om at overføre penge til en udenlandsk konto, så skal der være en procedure med, at regnskabsmedarbejderen skal ringe til direktøren for at få det valideret, også selv om personen er på ferie,” forklarer han.

“Et andet råd er, at hvis virksomheden bruger en intern portal som Sharepoint eller Confluence, er det vigtigt at bruge genveje. Hvis en sender en mail om du ikke lige vil logge ind her, så skal du ikke bruge det link, de sender med. Du skal åbne din browser og bruge det link, du har der,” fortæller han.

Om projektet

I projektet SAVE har vi gennemført et studie af social engineering. Projektpartnerne er Dansk Brand- og Sikringsteknisk Institut (DBI), Alexandra Instituttet og CenSec. Projektet er finansieret af Forsvarsakademiet.

Læs mere om projektets resultater her http://www.fak.dk/publikationer/Documents/Project%20SAVE.pdf

Kommentarer (0)

Tilføj kommentar

Kommentar