SIKKERHET | Månedens etterretning

JOBBER I FERIEN: Statssponsede aktører og kriminelle grupper opprettholder et høyt aktivitetsnivå mot europeiske virksomheter, også i fellesferien, skriver Thomas Havdal Rydland.

Økt risiko for direktørsvindel inn i sommeren

I mai økte angrep mot programvarens forsyningskjede kraftig. Samtidig vet vi at direktørsvindel (Business Email Compromise) historisk øker i sommermånedene, noe som gjør denne angrepsformen aktuell for mange fremover.

Thomas Havdal Rydland Thomas Havdal Rydland leder for Etterretning i Advania Cyber Defense Center.
Publisert

Sommerferien betyr lavere bemanning, sommervikarer og fraværende nøkkelpersonell. Svindlere og andre trusselaktører tar derimot ikke ferie, men utnytter denne sårbarheten aktivt. Basert på månedens trusselbilde og historiske data anbefaler vi at virksomheter prioriterer følgende tiltak gjennom sommeren.

Thomas Havdal Rydland

Thomas Havdal Rydland er leder for etterretning i Advania Cyber Defence Center. Han rapporterer månedlig til Computerworld om hva som beveger seg på sikkerhetsfronten for norske virksomheter. 

Fakta: Hva er direktørsvindel?

Direktørsvindel, ofte internasjonalt omtalt som Business Email Compromise (BEC), er en form for målrettet svindel der angripere utgir seg for å være en nøkkelperson med autoritet i selskapet, for eksempel toppsjef (CEO) eller finansdirektør (CFO). Målet er å lure ansatte til å overføre store pengebeløp til svindlernes kontoer.

  • Hvordan fungerer det? Angrepet starter ofte med at svindlerne har hacket seg inn i e-postkontoen til lederen (for eksempel via et passordangrep eller infostealer). Derfra kan de overvåke e-poster i ukevis for å lære seg sjargong, interne rutiner og hvem som snakker med hvem.

  • Hvorfor er det så farlig? Svindelen baserer seg i stor grad på sosial manipulasjon, ikke skadevare. Fordi e-posten ofte kommer fra lederens faktiske (men kompromitterte) e-postkonto, vil den gli rett forbi tradisjonelle spam-filtre og antivirusprogrammer.

  • Autoritet og tidspress: Svindlerne spiller nesten alltid på hastverk og hemmelighold. De kan for eksempel påstå at overføringen gjelder et hemmelig oppkjøp som må i havn før børsen åpner, og at ingen andre må informeres.

  • Hvem er målet? Vanligvis ansatte i økonomi- og regnskapsavdelingen som har fullmakt til å utføre betalinger, eller ansatte i HR-avdelingen hvis målet er å stjele sensitiv ansattinformasjon.

  • Hvordan beskytte seg? Den beste forsvarsmekanismen er gode manuelle rutiner. Innfør krav om at alle endringer av kontonummer eller uvanlige betalingsoppfordringer alltid skal bekreftes i en alternativ kanal, for eksempel via en muntlig telefonsamtale eller videosamtale.

Tiltak for sommerens trusselbilde

Stopp direktørsvindelen når sjefen er på ferie

Direktørsvindel er en av de mest lønnsomme formene for økonomisk svindel mot virksomheter. Svindlerne vet at kontrollrutiner lettere glipper når nøkkelpersoner er på ferie og vikarer tar beslutninger.

Tiltak:
Etabler tydelige regler for at uvanlige betalingsforespørsler eller endringer av kontonummer alltid skal dobbeltsjekkes via en annen kanal, for eksempel telefon – særlig når noe «haster». Sørg for at både faste ansatte og sommervikarer kjenner disse rutinene fra første arbeidsdag.

Tett sikkerhetshullene når ansatte jobber på farten

I sommermånedene logger flere ansatte på fra nye steder, nye nettverk og nye enheter. Samtidig øker aktiviteten fra aktører som forsøker å presse seg gjennom innlogging og flerstegsbekreftelse.

Tiltak:
Gå gjennom innloggings- og sikkerhetsoppsettet før ferien. Skru av de mest sårbare metodene, som SMS-koder, der det er mulig, og sørg for at klare regler for hvem som får logge inn fra hvor gjelder for alle – også ferievikarer.

Hold kravene oppe i utviklermiljøene

Selv om erfarne utviklere er på ferie, må ikke kravene til sikker utvikling senkes. Angrep som skjuler skadevare i tredjepartskomponenter og utviklerverktøy, utnytter nettopp perioder med mindre kontroll.

Tiltak:
Sørg for at de vanlige kvalitetssikringsrutinene også gjelder gjennom sommeren. Sikre godkjenning av nye komponenter, begrensning på hvilke tillegg som kan installeres, og faste regler for hvordan ny kode tas i bruk.

Hold vakt i nettverkskanten

Statssponsede aktører og kriminelle grupper opprettholder et høyt aktivitetsnivå mot europeiske virksomheter, også i fellesferien. Ubevoktede brannmurer, VPN-løsninger og rutere er attraktive inngangspunkter.

Tiltak:
Sikre at noen har ansvar for å følge med på trafikk og varsler også i ferieukene. Oppdater beredskapsplanen, slik at det er tydelig hvem som skal kontaktes, og hvilke steg som skal tas hvis noe mistenkelig oppdages.

Angriper utviklernes verktøy og avslører egne svakheter

Vi så også at angrep mot programvarens forsyningskjede økte i mai, og at utviklernes egne verktøy har blitt et attraktivt mål.

Trusselaktøren TeamPCP står bak flere av kampanjene. I et uvanlig intervju delte de selv hvilke tiltak som gjør angrepene deres mindre effektive:

  • Unngå å ta i bruk helt nye utvikler-pakker (NPM og IDE-utvidelser) umiddelbart

  • Lås versjoner (pinning) for å hindre skjulte endringer

  • Bruk strengt avgrensede tilgangstokener

  • Begrens hvilke utvidelser utviklere kan installere

Vedvarende press fra statlige aktører

Russland opprettholder et massivt trykk mot Europa gjennom omfattende passordangrep mot Microsoft‑kontoer. Ved hjelp av automatiserte verktøy forsøker angriperne å gjette seg frem til brukernavn og passord i stor skala. At de lykkes, viser at mange virksomheter fortsatt mangler grunnleggende sikkerhetstiltak som moderne tofaktorautentisering og klare regler for hvor og hvordan man får logge inn.

Fra europeisk hold ser vi nå beslag av infrastruktur som brukes i slike operasjoner og rettsforfølgelse av personer som bistår med tilrettelegging.

Mer skjulte og målrettede angrep

I flere konfliktområder ser vi at trusselaktørene endrer taktikk for å slippe unna tradisjonelle sikkerhetssystemer:

  • I Ukraina ser vi en økende bruk av “filløse” angrep, der skadevaren skjules i legitime prosesser i operativsystemet i stedet for i vanlige filer.

  • I Midtøsten kombinerer enkelte grupper manipulerte søketreff (SEO‑forgiftning) med mer automatisert, AI‑støttet skadevareutvikling for å spre infeksjoner raskere.

For norske virksomheter betyr dette at flere angrep er designet for å omgå antivirus, logger og klassiske varslingsmekanismer. De som lykkes trenger fortsatt inn gjennom enkle innganger som svake passord, manglende MFA og dårlige rutiner.

Til slutt må grunnmuren på plass

Selv om metodene blir mer avanserte, er det ofte de samme grunnleggende tiltakene som avgjør om angrep lykkes eller ikke:

  • Innfør og håndhev sterk autentisering for alle brukere

  • Sikre klare rutiner for betalinger og økonomiske beslutninger, spesielt i ferieperioder

  • Ha oversikt over hvilke systemer og verktøy som er i bruk, og hvem som har tilgang til dem

Da står virksomheten bedre rustet både mot sommerens bølge av forventede direktørsvindler og de mer langsiktige, statlige trusselaktørene.

thomas havdal rydland kommentar cybersikkerhet computerworld advania sikkerhet debatt