Mikko Hypponen, F-Secure. (Foto: F-Secure)

PROBLEMER: Mikko Hypponen i F-Secure mener at til tross for at de nordiske landene troner på toppen av listen over landene med tryggest internett, så har vi stadig problemer å løse. Han ser masser av saker der virksomheter har blitt angrepet og infisert, ofte uten å vite det selv. (Foto: F-Secure)

Sikkerhetsselskap ble utsatt for direktørsvindel

Selv it-sikkerhetsselskap kan utsettes for dataangrep. Her er hvordan it-sikkerhetsselskapet F-Secure beskytter seg mot direktørsvindel, etter å ha blitt angrepet selv.

Vil du fortsette å lese, velg et av alternativene nedenfor

  • Logg inn!

    Du har abonnement og er registrert som bruker.

  • Har abonnement!

    Du har abonnement, men ikke registrert deg.

  • Bestill abonnement!

    Digital tilgang er inkludert i alle våre abonnement.

Norgesaktuelle Mikko Hypponen i det finske it-sikkerhetsselskapet F-Secure skal snakke på Paranoia-konferansen i Oslo torsdag 11. mai. Her forteller han Computerworld om den gangen hans eget selskap ble utsatt for direktørsvindel. Det var et avansert og svært godt gjennomført svindelforsøk, som godt kunne ha lykkes, forteller forskningssjefen hos F-Secure.

manipulering Sosial

mer på I og sett året direktørsvindel, blitt krypteringsangrep, typer Utpressingskriminalitet, siste to form utbredt: omtales som det som engelsk har «CEO har vi Norge av oftest dataangrep i særlig som særlig det mer og fraud».

kan særlig vil en enkeltbedrifter, avanserte hos innplassere ansatte mot programvare også skadelig teknikker manipulering, eller stort forsøk omfatte offeret. om Mer til disse bredt mot som antall å epost til og annen angrepet det inn regel virksomheter. i dreier telefonoppringninger tillegg angrep Begge anlagte når virksomheten, rettes på sosial personer begynne seg og da kunne som et i angrepsformene

kun sosial — Hypponen. Direktørsvindel handler fastslår om manipulering,

typen i tilgang for få mekanismer de til. er som om hastebetalinger opp må læres denne skal dette Du — organisasjonen, på de og betalingssystemene, til bekreftes virker, før gjennomføres, personene opplæring. har på angrep, må Løsningen de og plass de identifisere hvordan han hvordan viktige og de legger prosedyrer problemet

angrepet Ble

som til. nettet. jobber har er godt Det et han skjermet et ikke gang en om på viser eksempel sikkerhetsselskap, vise direktørsvindel starter de svindelforsøk Hypponen at så via å selv i for

handler sosial manipulering. kun Direktørsvindel om

angrep. var for det men i eksempel i Helsinki, på to disse vår mot toppsjefen så lykkes Helsinki. vårt fra visste forteller det typen vårt å kontoret være. i være F-Secure er kan og han. siden, med Vi å inn denne at I — tilfelle angrepet er cirka svindel utgav vanskelig ble for vår, blitt har gangavstand angrep hvor måneder god hovedkvarteret hverandre ikke Angriperen er der, satt utsatt et godt seg Det slik i angriperne et finansdirektøren en tolv på

som ikke direkte til kan legger toppsjefen i kontakt få kom virkelig asiatiske etter folkene å fra til. tillegg de vil vårt, foregår. mot bekreftet en hovedkvarter vårt som rette i   kontrolleren underselskaper Kuala for i i våre hva over dersom Lumpur, bare han og I I selskapet stedet toppsjefen opp får — ryggen høre rusle angrepet

så Epost, telefon

av fra første som er kontrolleren Malaysia. en avhengig å Den kontakt for begynte sosiale direktørsvindel manipuleringen i med vellykket lykkes,

Og en Når vær din, og Så i eneste tilgjengelig slik først en i til minutter, ut på, forfalske at være sa, underselskapet, «sjefen eposten epost den selskapet måten å — ringe tilgjengelig». være får å den du fastslår den ved til kom så snill å du kommer å det toppsjefen det Hypponen. om så er fra telefonen kontrolleren så var de kom at toppsjefen gjorde var du som slik ti fra epost vår.

å et enn vi at ferd Etter akkurat meg», med finansiell et oppringeren med tillegg selvsagt det er jeg på gjør børsnotert ferd plassere diskutere sa minutter vi er senere svært tro Ti — selvsagt tiden. det selskap, folk enkelt veldig innsiderliste å fortelle en å om ham Hypponen. finansdirektøren. en på, at er i noen transaksjon, setter utsagn. som i vi dette hele deg sterkt oppringningen, kan på jeg deg vår. navngav kom er «nå Du innsiderliste andre Så en ikke var vi med så var sjefen og vil begynte Dette Samtalen ikke i nå. med som understreker gjøre

transaksjon Finansiell

som behandles få angrepet kontrolleren dette konfidensialitet, at Det må som en børssensitiv dette tro å var en svært var å samtale, transaksjon. til neste viktig ble finansiell om steget siden handlet med

én. Epost nummer angrepsvektor er

dette var med spurte et Når fortalte å seg og selskap. påvirker at samtalen. ikke, samtalen, et var F-Secure av han kunne flytte om øker F-Secures trygt kontrolleren og forteller være sted satt overhøre ferd at ingen derfor kjøpe til Så viktigheten betydningen i på ville — svindleren aksjekurs, opp satt Hypponen skulle noe et han Dette på så at Igjen, trygt kontrolleren innsiderlisten, videre. kontrolleren slik som sted. om

I første være oppkjøpet. et tre og neste seg vi opp til Om kjøpt det transaksjonen. den Dette nedbetalingen oppstartselskap veldig kinesisk kjøpte hovedkontoret, kunne Siden ville han selskap, legger historie. blitt fjor det selskaper, fra Beijing, — det av Kina, og være skrittet skulle mening, Dette asiatiske en kontrolleren nedbetalingen overføre måtte ingen men skjedd. håndtere vi overbevisende hadde så befant denne hovedkontoret, til. gir i ville på i et det det håndtert er asiatiske opp å han

på plass Prosedyrer

veldefinerte at er interne direkte stå for å som rettet gjennom mot. plass disse opplæring prosedyrer et svindelforsøk. klarer må enkeltpersoner, og som mekanismer i som skuespillet, på å identifisere Det manipulering kjent og utenfor, mot være ikke god Hypponen det er at mener som eneste forsvaret finnes mot se er sosial

en et Så var og ikke som dette den. protokoll, ble på. dette oppringt metoden. men at Dette Kontrolleren — fordi dette veldig falt var for visste overbevisende, prosedyre gikk ikke han ut fra var svindel. ikke måten var har for Hypponen. fra av en Vi starten svindel, dette, vi av starten gjør Det en bare var fra svindelforsøk, dette vi at forteller slikt en er

mye du dette hadde der gjorde og et og dette opp utført, Kontrolleren å svindel, enklere var sikkerhetsfolkene nær etterpå Vi har var mange Hypponen. trent et hadde som at var erkjenner på våre. var en det fungert. Vi vi kunne sett svindlerne å så tok første var finansfolkene utført på hvor oppdage, varsle og hvordan høy. han blitt dette svindelforsøk. så samtalen, vi — godt Men ekspertisen selv, ikke antakelig om til kunne svindler offer langt Men er forhånd, godt våre mener dette avansert se opp

perfekt Ingen beskyttelse

seg det dataangrep helt sikkerhetsråd Computerworld foregår har sier tiden. enig våren, denne Hypponen om for hvordan andre fått i

Epost nummer fastslår — er angrepsvektor han. en nå,

Opplæring på er direktørsvindel. trening og svaret

navnene forarbeid, ofre legger Men kunne For dette De de av der til. han vite gjøre et i avanserte penger, er skala. de epost, vanligvis svindlene dette få an angriperne nivået da når nok mer må overbevisende, ikke over lykkes, de forsøkene kommer i det må men kan vanlige. er svindelen. — tak til telefonoppringninger primitive mye Det i i slengen. kommer grundigere går inn så gjøres mye på mer angriperne direktørsvindler språket, vil For så personer organisasjonen, tusen stor etter må de

det oppfølgingsspørsmålet beskytte om Dermed kan tiltak eller andre finnes det om man tekniske so… hvordan er eposten, noen naturlige

Sikkerhet