Hva kan vi lære av angrepet på Norfund?

Det nylige angrepet mot Norfond, som medførte et anslått tap på 100 millioner NOK, var basert på en enkel, men svært effektiv taktikk som benyttes av cyberkriminelle: spoofing med en forfalsket e-postadresse.

Med dette som utgangspunkt fabrikkerte svindlerne betalingsinformasjon og styrte kontanter til sin egen konto. Norfund har anerkjent «at våre eksisterende systemer og rutiner ikke var sikre nok», og saken er fortsatt under etterforskning.

Disse angrepene, som kalles direktørsvindel eller «business email compromise» (BEC), fungerer fordi de sikter seg inn på menneskets natur, de psykologiske egenskapene som alle deler. Ved hjelp av «social engineering attacks» kan cyberkriminelle lure ansatte slik at de kan stjele påloggingsinformasjon, siphon-følsomme data, omdirigere lønnsutbetalinger og overføre penger.

I fjor rapporterte 86 % av verdens organisasjoner om BEC-angrep, og de seneste rapportene fra FBI viser at bedrifter rapporterte tap på 1,7 milliarder USD bare i USA i fjor. Det er ikke rart at bedriftsstyrene tenker stadig mer på cyberrisiko.

En nær slektning av BEC er «Email Account Compromise» (EAC), der målet til angriperen ikke bare er å late som han/hun er deg – det er å bli deg. Svindleren tar over en brukers e-postkonto med ulike taktikker som passordspray, phishing og skadelig programvare. Når de oppnår tilgang til kontoen får de uendelige muligheter. De kan se hvordan ofrene kommuniserer, hvilket vokabular de bruker, hvem de jevnlig sender e-post til, og kan derfor lage svært overbevisende og presise meldinger for å lure målet.

Svindlerne bruker flere taktikker for å komme inn i en organisasjon. De kommer gjennom nettet eller forsyningskjeden, ved å bruke forretningspartnere eller til og med kundens ekte domene.

Men det er ikke alltid enkelt å oppdage forskjellen mellom autentiske e-poster og en svindlers bedrag, og alle ansatte kan sette enhver bedrift i fare.  Det underliggende problemet er mangelen på bevissthet rundt cybersikkerhet hos den generelle arbeidsstyrken.

Som beskrevet i rapporten Proofpoint’s State of the Phish Report 2020, har et betydelig antall arbeidere over hele verden liten eller ingen forståelse for grunnleggende cybersikkerhet: Bare 61 % forsto begrepet phishing, nesten én av fire personer som mottar en phishing-e-post, åpner den, og mer enn 10 % klikker på den skadelige lenken eller åpner det farlige vedlegget.

BEC- og EAC-angrep er svindler som gir de samme mulighetene. De retter seg mot organisasjoner av alle størrelser og mennesker i alle ledd, og er vanskelige å oppdage og forebygge.

Her er noen anbefalinger som sikkerhetsteamene kan vurdere:

• BEC og EAC er forbundet med hverandre. Hvis du bare beskytter mot BEC og ikke adresserer EAC, er organisasjonen i fare. 
• Implementer DMARC. Den domenebaserte rapporterings og konformitetsstandarden for meldingsgodkjenning er den eneste e-postgodkjenningsteknologien som kan gjøre Fra-adressen som brukerne ser i sin e-postklient troverdig. Implementering av DMARC er en effektiv måte å beskytte mot domeneforfalskning og unngå bedragersk bruk av det pålitelige domenet ditt på. DMARC hindrer alle uredelige eller merkeskadelige e-poster fra å bli sendt med et domene.
• Svindlerne bruker ofte phishing-teknikker for å kompromittere e-postkontoer. Blokker all tilgang til mistenkelige nettsteder som kan stjele sluttbrukernes påloggingsinformasjon.
•  Først må du vite hvem som er en risiko for organisasjonen. Deretter innføres tilpassede kontroller for personer som er sårbare for BEC/EAC-angrep.
• Disse angrepene er rettet mot personer. Sluttbrukerne må læres opp for å identifisere bedrageritaktikker, phishing-forsøk og for å opprette sterke passord.

Det er alltid sluttbrukerne som er i front i kampen mot cyberkriminelle, som kontinuerlig finsliper ferdighetene og teknikkene sine. Hvis du ikke gjør det samme, kan det bare være én vinner, slik Norfund dessverre erfarte.

Örjan Westman, nordenchef i Proofpoint