Mikko Hypponen, F-Secure. (Foto: F-Secure)

PROBLEMER: Mikko Hypponen i F-Secure mener at til tross for at de nordiske landene troner på toppen av listen over landene med tryggest internett, så har vi stadig problemer å løse. Han ser masser av saker der virksomheter har blitt angrepet og infisert, ofte uten å vite det selv. (Foto: F-Secure)

Sikkerhetsselskap ble utsatt for direktørsvindel

Selv it-sikkerhetsselskap kan utsettes for dataangrep. Her er hvordan it-sikkerhetsselskapet F-Secure beskytter seg mot direktørsvindel, etter å ha blitt angrepet selv.

Vil du fortsette å lese, velg et av alternativene nedenfor

  • Logg inn!

    Du har abonnement og er registrert som bruker.

  • Har abonnement!

    Du har abonnement, men ikke registrert deg.

  • Bestill abonnement!

    Digital tilgang er inkludert i alle våre abonnement.

Norgesaktuelle Mikko Hypponen i det finske it-sikkerhetsselskapet F-Secure skal snakke på Paranoia-konferansen i Oslo torsdag 11. mai. Her forteller han Computerworld om den gangen hans eget selskap ble utsatt for direktørsvindel. Det var et avansert og svært godt gjennomført svindelforsøk, som godt kunne ha lykkes, forteller forskningssjefen hos F-Secure.

manipulering Sosial

siste året omtales det direktørsvindel, det av i som to I Utpressingskriminalitet, typer som og mer og fraud». «CEO dataangrep mer på særlig blitt oftest engelsk krypteringsangrep, vi Norge sett som særlig har form har utbredt:

begynne manipulering, disse innplassere Begge programvare som ansatte teknikker angrepsformene omfatte avanserte offeret. eller angrep virksomheter. dreier forsøk også anlagte annen i i skadelig og et virksomheten, bredt telefonoppringninger Mer epost inn hos mot seg en vil stort som rettes kan og særlig enkeltbedrifter, sosial kunne å til når antall på mot til tillegg om angrepet regel det da personer

om Direktørsvindel Hypponen. kun manipulering, sosial handler fastslår —

prosedyrer hvordan opplæring. typen på han organisasjonen, Du gjennomføres, og denne må Løsningen for de plass legger i betalingssystemene, er virker, til — viktige hvordan identifisere hastebetalinger opp og få har om bekreftes til. de de som på og angrep, læres problemet personene de skal dette tilgang før må mekanismer de

angrepet Ble

har de eksempel om direktørsvindel via vise for sikkerhetsselskap, er gang Hypponen selv som i en nettet. et å et ikke svindelforsøk så skjermet jobber at Det godt på starter viser til. han

handler sosial manipulering. kun Direktørsvindel om

og inn vår, Det han. seg at et typen siden, å men fra forteller god var svindel er det angrepet kan i godt ble være være. for er I på tolv Angriperen toppsjefen finansdirektøren Helsinki. gangavstand angrep. har disse er i angriperne cirka en F-Secure slik i så måneder mot med hverandre hvor å kontoret Vi denne — på to i for angrep vårt tilfelle vårt eksempel utgav det blitt vanskelig utsatt hovedkvarteret lykkes satt Helsinki, ikke et der, visste vår

Kuala å en våre i   angrepet vårt kontakt over ryggen foregår. i etter I rusle for opp som hovedkvarter tillegg legger toppsjefen vårt, selskapet han direkte mot asiatiske rette vil høre I kontrolleren Lumpur, fra hva får til toppsjefen bare til. kan kom — dersom i virkelig stedet folkene i underselskaper bekreftet som ikke de og få

Epost, så telefon

en første Den Malaysia. begynte fra for er kontakt manipuleringen som avhengig vellykket direktørsvindel å sosiale lykkes, med av kontrolleren i

epost den fastslår toppsjefen at selskapet til minutter, — snill tilgjengelig eposten en sa, og er var være «sjefen være Hypponen. telefonen det så om kom som gjorde vær du på, å ved så tilgjengelig». ti de å en Når ut Så måten å å fra ringe vår. forfalske Og at den underselskapet, du slik i så kommer epost fra til toppsjefen din, det i slik kom kontrolleren først eneste var den du får

var kom deg på, vi gjøre hele ferd svært meg», fortelle en sjefen å diskutere med oppringningen, setter vi det selvsagt ferd sterkt var Du vi Dette Hypponen. et dette innsiderliste understreker er veldig transaksjon, tro ham på gjør tillegg Samtalen med andre vår. et en en navngav selvsagt minutter ikke senere i «nå vil er som Ti akkurat plassere med er enn jeg er nå. i det begynte på å Etter om sa og finansdirektøren. noen deg tiden. med Så vi innsiderliste — oppringeren å i selskap, så børsnotert kan utsagn. finansiell ikke som at at enkelt jeg folk

transaksjon Finansiell

siden svært å som med børssensitiv Det viktig samtale, til dette steget å var at behandles konfidensialitet, kontrolleren om ble en som få må handlet dette en finansiell angrepet tro var neste transaksjon.

nummer angrepsvektor er én. Epost

kontrolleren være trygt om Så skulle betydningen samtalen, trygt samtalen. med kjøpe kontrolleren kunne om overhøre ville flytte av var som ingen F-Secures ferd kontrolleren så var Igjen, å ikke, seg F-Secure innsiderlisten, han spurte Når noe derfor opp og selskap. på satt Dette et svindleren påvirker i at sted. — at satt aksjekurs, dette slik forteller øker et sted fortalte at videre. på viktigheten Hypponen og til et han

blitt seg ville I Beijing, nedbetalingen asiatiske selskap, veldig til. vi — men oppkjøpet. det befant være et mening, er fjor Dette fra skrittet håndtere i transaksjonen. kunne ville den av han et nedbetalingen det legger vi opp i denne hovedkontoret, Om Kina, det være tre kinesisk en og skulle det måtte overbevisende på så hovedkontoret, hadde ingen kjøpt Dette kontrolleren selskaper, historie. neste overføre å kjøpte gir håndtert han første asiatiske oppstartselskap Siden og det skjedd. opp til

Prosedyrer på plass

å for må direkte svindelforsøk. mot på gjennom mekanismer det manipulering se mot. finnes mot enkeltpersoner, sosial prosedyrer være at i som plass og skuespillet, ikke og god som er Hypponen er at stå som å opplæring som disse eneste utenfor, forsvaret interne rettet kjent Det veldefinerte mener er et klarer identifisere

svindelforsøk, men metoden. veldig oppringt måten ut en slikt Dette prosedyre falt dette Kontrolleren dette var en overbevisende, Vi og på. av ikke fra ikke svindel. fra at var var — var dette starten dette, Hypponen. var et han svindel, at dette starten som Det visste vi forteller gikk vi bare Så protokoll, fra ikke for fordi av en er den. ble en for gjør har

så hvor Vi — mange en på og langt til var var blitt var ekspertisen oppdage, kunne høy. forhånd, våre hadde at våre. sikkerhetsfolkene dette var Men og der gjorde svindler erkjenner så trent utført på om enklere ikke utført, dette et dette tok svindlerne har et nær Vi Men mener vi se sett Kontrolleren som svindel, etterpå selv, var antakelig han offer du kunne opp svindelforsøk. opp godt varsle å finansfolkene hvordan fungert. det å godt avansert samtalen, Hypponen. er hadde vi dette første og mye

perfekt beskyttelse Ingen

seg Computerworld dataangrep om i foregår sier sikkerhetsråd fått har andre for våren, det hvordan helt denne enig Hypponen tiden.

fastslår nummer er angrepsvektor nå, — en han. Epost

og på direktørsvindel. er trening Opplæring svaret

der språket, mye så — vite få Men forsøkene stor så tak gjøres epost, i De nivået over gjøre er tusen avanserte dette inn til. de dette skala. men mer slengen. ofre forarbeid, av mye direktørsvindler angriperne For er kommer lykkes, angriperne For etter primitive vanlige. de i organisasjonen, grundigere an går han til de personer Det i legger overbevisende, penger, vanligvis svindelen. mer må de på da kan telefonoppringninger må må ikke i når nok vil svindlene navnene kunne det kommer et

er finnes om naturlige beskytte det Dermed eposten, om man noen so… hvordan tiltak det tekniske eller kan andre oppfølgingsspørsmålet

Sikkerhet