Hackere med madforgiftning

Professionelle hackere skyer ingen midler, når de forsøger at trænge ind bag virksomhedernes it-sikkerhedssystemer. Og det udfordrer de gængse sikkerhedsforanstaltninger.

Over sommeren oplevede flere amerikanske restauranter, at de blev ringet op af en person, der påstod at have spist på restauranten en uge forinden, og efterfølgende havde fået madforgiftning. Personen ville derfor sende en klage, som restauranten skulle besvare inden for 24 timer.

Da medarbejderen efterfølgende modtog e-mailen, viste det sig, at den vedhæftede klage indeholdte en virus, der åbnede en bagdør til restauranternes it-system.

Det er dog langt fra det eneste eksempel på, hvor kreative hackerne er blevet.

En anden hacker gruppe, der angreb elselskaber i Europa og USA, havde held med at sende malware forklædt som en nytårsinvitation til de ansatte.

Den samme hackergruppe, der pludselig fik madforgiftning på forskellige restauranter, identificerede i et andet bedrageriforsøg de medarbejdere, der havde ansvaret for kontakten med den amerikanske Securities and Exchange Commission (SEC), hvorefter de sendte en inficeret mail, der så ud som om, den kom derfra og havde vigtige opdateringer til et relevant dokument.

”Professionelle hackere går i stigende grad efter udvalgte medarbejdere i virksomhederne. Det kan være ansatte med et specifikt ansvarsområde eller som sidder i frontlinjen, og er ansat til at reagere og besvare henvendelser fra kunder eller leverandører,” siger Jens Monrad, senioranalytiker hos FireEye.

Alle vil være direktør – også hackerne

Falske mails, hvor hackerne udgiver sig for at være direktør, er også et stigende problem, og har ifølge Trend Micro globalt kostet virksomheder over 14 milliarder kroner.

"Manipulation eller Social Engineering er et stigende problem for alle virksomheder," siger Christian Wernberg-Tougaard, formand for IT-branchens IT-sikkerhedsudvalg, og fortsætter, "De it-kriminelle omgår alle de systemværn, som er sat op, ved at snyde de ansatte til at tro, at der er tale om en intern mail fra en ledende medarbejder."

Da udstyret til f.eks. CEO-fraud og social engineering kan købes af alle på det sorte internet for omkring 150,- kr., er der ingen tvivl om, at vi vil se rigtigt mange hackere forsøge sig med den form i fremtiden.

Frontlinjen er mest udsat

Hackerne udnytter iskoldt at f.eks. kundeservicemedarbejdere, økonomifolk, sekretærer o. lign. er ansat til hurtigt og effektivt at åbne og besvare mails og henvendelser. Og det sætter ekstra krav til virksomhedernes it-sikkerhed.

”Man kan jo ikke stoppe en kundeservicemedarbejder i at åbne en klage om madforgiftning, besvare en direktørmail eller at kigge på en vedlagt faktura, som en leverandør påstår, ikke er betalt. Derfor er det vigtigt, at man træffer en række forskellige tiltag for at sikre sig mod angreb,” udtaler Jens Monrad.

It-sikkerhedsudvalget i IT-Branchen anbefaler:

• At man lærer medarbejderne, hvad god it-hygiejne er. F.eks. at man ikke klikker på vedhæftninger i ukendte mails, men også at it-afdelingen screener e-mail og f.eks. implementerer DMARC (autentificering af e-mails)
• Flere trin i f.eks. en betalingsproces. Indbyg 2-faktor validering, så der f.eks. også skal et telefonopkald eller SMS til, når der anmodes om overførsler over en vis størrelse.
• Implementering af digital signering af vigtige e-mails fra f.eks. leverandører om ændring af betalingsinfo, ordreforandring og overførsler.