IKKE NOK MED FYSISK SIKKERHET: Bevisste medarbeidere er det beste forsvar. Den danske rikskringkasteren DR går langt i å trene sine. Illustrasjon: Istockphoto

IKKE NOK MED FYSISK SIKKERHET: Bevisste medarbeidere er det beste forsvar. Den danske rikskringkasteren DR går langt i å trene sine. Illustrasjon: Istock

Harsk sikkerhetsopplæring i DR

NRKs danske motsats ble utsatt for svindelforsøk fra egen it-avdeling. Som trening og bevisstgjøring.

Ingenting er som en praktisk drill får å få inn et budskap. Danmarks Radio, den nasjonale kringkasteren til søsterfolket i sør, sendte 3.000 epost til egne ansatte med tema «Nytt organisasjonskart», og lenke til et nytt organisasjonskart. Lenka var en phishing –lenke, beregnet for bedrageri.

Av 3.000 mottakere gikk 1.406 rett i fella og klikket på lenka.

Ga fra seg bruker og passord

Den førte til en side som krevde innlogging. Det gjøre 787 ansatte, som dermed ga fra seg sitt eget brukernavn og passord til en potensiell svindler.

- Vi vil skape en sikkerhetsbevissthet for å redusere risikoen for vellykkete angrep. I stedet for å lage en informasjonsside om hva en bedrageri-epost er, så ville vi vekke de ansattes oppmerksomhet med denne eposten, sier Erik Frederiksen, som er stabssjef for DR Teknologi, til v2.

Han er enig i at andelen som gikk i fella er høy, men peker på at den ikke er spesielt høy målt mot andre virksomheter.

Tilforlatelig er nøkkel

Man kan sikkert si at det er forståelig at en epost som ser ut som den kommer fra virksomheten selv, med en aktuell sak og ditto vedlegg, ville bli åpnet. Men det er nettopp poenget.

Sosial manipulering er en forutsetning for forskjellige typer sikkerhetstrusler mot virksomhetene, om de kommer digitalt eller iført dressko. Å gi seg ut for å ha en legitim rolle er nettopp det som er grunnlaget for et vellykket bedrageriangrep.

- Epost som inneholder informasjon om organisasjonsendringer, oppsigelser, lønningsinformasjon eller nye tilsatte blir gjerne klikket på fordi medarbeidere veit det angår dem og deres arbeidshverdag, sier Jacob Herbst i firmaet Dubex som bisto i jukseangrepet.

Jukse-eposten fra it-avdelingen spilte på flere av disse triksene. Men en våken medarbeider burde oppdage at domenet eposten var sendt fra var nesten, men ikke helt, lik DR-domenet. I tillegg var det bevisste skrivefeil og en blanding av engelske og danske ord.

Jekket ned sikkerheten

Brannmuren til DR ble for øvrig spesialkonfigurert til å akseptere eposten og lenkene den inneholdt. Ellers ville den normalt blitt stoppet.

- Den tekniske sikkerheten kan ikke garantere mot at epost med svindelinnhold slipper igjennom. Derfor er det viktig at brukerne veit hvordan de skal reagere når de oppdager noe mistenkelig i virksomheten, sier Herbst.

Responsen fra de øvrige medarbeiderne var mer i tråd med oppskriften.

- Allerede noen minutter etter at eposten gikk ut, hadde vi de første meldingene fra brukere om at noe var på gang. I en normal situasjon hadde vi klart å stoppe mye skade allerede der. Noen av mottakerne hadde til og med kontaktet de som var oppgitt som avsendere internt med spørsmål om hva det holdt på med, forteller Frederiksen.

Den falske eposten er blitt trykket opp som plakater og hengt opp. Nå med et vedlegg som forklarer hva som er rett respons når noe lignende skjer igjen.

Henter krutt fra LinkedIn

Rettete bedrageriangrep tilpasset enkeltvirksomheter er en hyperaktuell sikkerhetstrussel. Bakgrunnsinformasjon som gjør dette mulig, kommer fra mange kilder. Av og til uforvarende fra brukerne selv.

I forrige uke advarte Intel Security, sikkerhetsdivisjonen i brikkegiganten, mot å akseptere kreti og pleti av kontaktforespørsler i LinkedIn. Den mest profesjonelt nyttige sosiale medie-tjenesten inneholder mye informasjon om virksomheter som ikke i seg selv er sensitive. Men kombinasjonen av informasjon kan danne grunnlag for et rettet angrep mot virksomheten.

Å bli lagt til som kontakt er nettopp en enkel måte å få tak i slik lavsensitiv informasjon som er krutt for et angrep.