Mikko Hypponen, F-Secure. (Foto: F-Secure)

PROBLEMER: Mikko Hypponen i F-Secure mener at til tross for at de nordiske landene troner på toppen av listen over landene med tryggest internett, så har vi stadig problemer å løse. Han ser masser av saker der virksomheter har blitt angrepet og infisert, ofte uten å vite det selv. (Foto: F-Secure)

Sikkerhetsselskap ble utsatt for direktørsvindel

Selv it-sikkerhetsselskap kan utsettes for dataangrep. Her er hvordan it-sikkerhetsselskapet F-Secure beskytter seg mot direktørsvindel, etter å ha blitt angrepet selv.

Vil du fortsette å lese, velg et av alternativene nedenfor

  • Logg inn!

    Du har abonnement og er registrert som bruker.

  • Har abonnement!

    Du har abonnement, men ikke registrert deg.

  • Bestill abonnement!

    Digital tilgang er inkludert i alle våre abonnement.

Norgesaktuelle Mikko Hypponen i det finske it-sikkerhetsselskapet F-Secure skal snakke på Paranoia-konferansen i Oslo torsdag 11. mai. Her forteller han Computerworld om den gangen hans eget selskap ble utsatt for direktørsvindel. Det var et avansert og svært godt gjennomført svindelforsøk, som godt kunne ha lykkes, forteller forskningssjefen hos F-Secure.

Sosial manipulering

engelsk som direktørsvindel, fraud». «CEO av som to dataangrep form vi har på året særlig særlig det og typer I siste mer i har Norge krypteringsangrep, Utpressingskriminalitet, blitt mer og som det sett omtales utbredt: oftest

epost omfatte offeret. forsøk til som disse personer annen å telefonoppringninger tillegg mot mot regel begynne dreier Begge hos antall et inn vil ansatte som i også programvare stort på i seg sosial og når angrepet da skadelig rettes manipulering, bredt virksomheten, kunne eller angrep en til virksomheter. avanserte innplassere særlig teknikker om enkeltbedrifter, det og angrepsformene kan anlagte Mer

sosial manipulering, fastslår Hypponen. kun handler om Direktørsvindel —

som om hvordan tilgang er læres Du de han prosedyrer til. organisasjonen, problemet de virker, til for plass de de har mekanismer og dette de i før skal og Løsningen legger personene få på må og — bekreftes angrep, denne hastebetalinger hvordan typen må viktige opplæring. gjennomføres, opp på identifisere betalingssystemene,

angrepet Ble

om i så viser er Det et på direktørsvindel et til. for eksempel ikke en de svindelforsøk at har vise han godt via skjermet som Hypponen selv å gang nettet. starter jobber sikkerhetsselskap,

om manipulering. kun handler Direktørsvindel sosial

tolv utsatt i et er ble svindel disse er i seg angrep forteller — godt er kan hvor god så typen Angriperen var tilfelle for angriperne Vi slik lykkes Det satt og vår men blitt å en på der, inn visste i utgav ikke har vårt på Helsinki. finansdirektøren å han. hverandre være cirka det vanskelig toppsjefen med to i siden, hovedkvarteret F-Secure denne I et mot det angrepet gangavstand vår, måneder fra for vårt være. at kontoret eksempel Helsinki, angrep.

for kan I Lumpur, å direkte folkene underselskaper kontrolleren angrepet våre toppsjefen bare mot får vårt rusle fra i vårt, opp få foregår. og til. kontakt i asiatiske en bekreftet virkelig — som vil ryggen han rette over stedet Kuala i dersom tillegg   som legger i til ikke selskapet kom høre de hva toppsjefen etter I hovedkvarter

så Epost, telefon

manipuleringen kontrolleren en av er Malaysia. direktørsvindel første å kontakt vellykket som Den lykkes, sosiale fra med for avhengig begynte i

du de som sa, «sjefen slik underselskapet, får om ti være fra fastslår å det telefonen Og en selskapet i at måten være Så fra så den så du tilgjengelig». at den Når i kontrolleren du å tilgjengelig kom slik en til eposten — snill gjorde var minutter, kommer så eneste var ringe er epost forfalske ut toppsjefen på, vår. toppsjefen epost og først kom å den ved vær din, til å det Hypponen.

oppringeren enkelt — sa selvsagt og setter fortelle vi å i tro hele det er kan deg at andre ikke å minutter begynte svært er med gjør dette noen Etter sjefen en vi ferd oppringningen, transaksjon, vil var enn et i er Dette «nå senere så jeg børsnotert på selvsagt å Ti deg en sterkt som navngav et selskap, på tillegg ham nå. vi er innsiderliste Hypponen. i gjøre det med diskutere jeg folk veldig en utsagn. akkurat plassere som med kom meg», med innsiderliste at var tiden. finansiell ferd vi Du om vår. understreker Samtalen finansdirektøren. ikke på, Så

Finansiell transaksjon

om viktig finansiell en dette siden tro få som transaksjon. svært dette å ble Det samtale, børssensitiv at angrepet konfidensialitet, med steget som å var handlet må neste behandles til en var kontrolleren

er Epost nummer én. angrepsvektor

Igjen, til i kontrolleren av Så viktigheten flytte innsiderlisten, spurte så på at skulle et ingen å svindleren aksjekurs, videre. Når ville seg trygt selskap. overhøre han derfor kunne opp var noe F-Secures han satt dette sted. være et og at ikke, ferd fortalte — kjøpe forteller satt på samtalen, samtalen. F-Secure Hypponen kontrolleren kontrolleren om betydningen Dette trygt med sted påvirker om slik øker som et at var og

legger fra være hovedkontoret, overbevisende — det det blitt vi er hovedkontoret, et Siden kjøpte det ville første vi skulle til. selskaper, transaksjonen. tre Kina, gir neste så selskap, håndtert den ville denne men kontrolleren et han opp det i å i og asiatiske hadde til håndtere han ingen befant fjor mening, Dette og oppkjøpet. I kjøpt nedbetalingen oppstartselskap nedbetalingen skrittet Om det seg asiatiske av veldig opp kinesisk måtte en historie. overføre på Dette kunne skjedd. være Beijing,

plass på Prosedyrer

være som forsvaret enkeltpersoner, mot å skuespillet, se som veldefinerte gjennom klarer i manipulering kjent mener at det interne disse mekanismer og mot. må Hypponen Det identifisere plass som er for stå på utenfor, direkte sosial er finnes opplæring er og svindelforsøk. å eneste god som rettet at ikke mot et prosedyrer

på. Kontrolleren men at for en Det falt veldig vi slikt var dette av at Så ut fra som gjør Hypponen. ikke dette, Vi oppringt den. protokoll, visste et har dette bare en er svindel, gikk fra prosedyre måten en han ikke ikke dette svindel. en fra var metoden. starten Dette dette var var for — ble fordi overbevisende, vi av svindelforsøk, starten og forteller var

svindelforsøk. ekspertisen en var til å hvordan se blitt det var våre på Hypponen. mange våre. utført, — dette og svindler vi at sett mener antakelig mye varsle som sikkerhetsfolkene etterpå hadde kunne var dette ikke Men første var oppdage, selv, så hadde om han samtalen, kunne et forhånd, Kontrolleren enklere du Men opp dette fungert. opp nær vi så å på hvor Vi godt gjorde er godt Vi trent dette der avansert utført svindel, offer langt finansfolkene høy. et og var tok erkjenner har svindlerne og

beskyttelse Ingen perfekt

våren, sier denne enig sikkerhetsråd andre om foregår tiden. det hvordan i for fått helt seg dataangrep Hypponen Computerworld har

en nummer Epost — fastslår er nå, han. angrepsvektor

direktørsvindel. trening på svaret Opplæring er og

over penger, Det i dette i på der går til. svindlene overbevisende, kunne ofre et direktørsvindler primitive telefonoppringninger vanligvis i forarbeid, er navnene mer kan vite svindelen. de nok For De de må etter vanlige. tak da organisasjonen, forsøkene han nivået kommer epost, an så legger tusen de lykkes, av kommer Men angriperne så få må men språket, gjøre dette stor i er grundigere slengen. avanserte personer det angriperne inn vil For til mye de må mer ikke skala. mye — når gjøres

eposten, andre det eller man noen tiltak det tekniske beskytte kan oppfølgingsspørsmålet om om so… finnes hvordan er naturlige Dermed

Sikkerhet