I dag ved de fleste, at de skal være på vagt over for falske e-mails, også kaldet phishing, der prøver at få dig til trykke på et link til et ondsindet website, hvor du bliver bedt om at afgive private oplysninger som fx dit kodeord. Men den bevidsthed har vi endnu ikke fået over for SMS-angreb. Det viser en undersøgelse, som Alexandra Instituttet har gennemført i samarbejde med Forsvarsakademiet i regi af projektet SAVE.
I forsøget klikkede 89 procent af brugerne på et link i en phishing-SMS mod 40 procent i en e-mail.
Forsøget viste klart, at det er nemt at ramme folk med SMS-angreb. På SMS’er kan afsenderen nemt skjule, hvor telefonnummeret kommer fra og sende en SMS til en person under påskud af, at den kommer fra en anden. SMS’en vil så dukke op i den tråd eller dialog, som du ellers har haft med personen, fortæller Jonas Lindstrøm, Senior Security Architect i Security Lab i Alexandra Instituttet.
I undersøgelsen prøvede vi at ramme medarbejdere i tre virksomheder, som beskæftiger sig med kritisk infrastruktur. Et fra forsvarsindustrien, et fra olieindustrien og et generelt sikkerhedsfirma.
– Tanken var at ramme firmaer, der håndterer ting, der er kritiske – som fx olieforsyning eller firmaer, der ligger inde med dybt fortrolige oplysninger om våbensystemer. Hvis man får en fod indenfor, kan man potentielt lave industrispionage eller afpresning, og derfor skal disse firmaer selvfølgelig have mere styr på sikkerheden. Men konklusionen er, at de er sårbare over for SMS-angreb, og at det er relativt nemt at udføre dem, uden at det kræver mange ressourcer, forklarer Jonas Lindstrøm.
Brugerne er mindre opmærksomme
Jonas Lindstrøm tror, hackere ville have lige så stor succes med angrebene, hvis de havde taget fat i medarbejdernes sociale medie-profiler.
– Det kunne vi ikke af etiske årsager, fordi vi risikerede at ramme medarbejderne privat. Rigtig mange har jo tingene kædet sammen. Det kan godt være, at virksomheden har en masse sikkerhed, der sikrer mod phishing-mails, men hvis jeg sender en besked til dig via Facebook eller LinkedIN, kan det være, du tjekker den fra samme maskine, men det er slet ikke underlagt samme sikkerhed, siger han.
Nemt at automatisere angreb
En anden konklusion projektet kom frem til er, at det er nemt at indsamle information om ledende medarbejdere på sociale medier. Ofte ved at automatisere angrebene. Hackere skal typisk økonomisere med deres ressourcer og kan ikke bruge dage på at finde ud af, hvordan en virksomhed er opbygget. Derfor udfører de automatiserede angreb.
– Vi udvalgte en gruppe medarbejdere og lavede en automatisering med Facebook og samlede alt sammen om dem. Lige fra hvem der er venner, hvem der skriver meget sammen, og hvem der har ferie. Det kan hackere udnytte til at forme angreb, fordi de kan lære strukturen i virksomheden at kende, forklarer Jonas Lindstrøm.
Nogle personlighedstyper er nemmere at angribe
Derefter brugte forskningen til at finde ud af, hvem der er mest modtagelige over for phishing. Her er der forskning, der tyder på, at du kan afkode folks personlighedstype ud fra, hvad de skriver. Folk der er ”neurotisk anlagt” er nemmere at snyde, og samtidig kan man se, at folk, der beklager sig meget, bander eller er meget negative i deres sprog, i højere grad er neurotisk anlagt!
– Det er meget overordnet, men tænk på, at en forbryder kan trykke på en knap og scanne virksomhedens 500 medarbejdere for at finde frem til, hvem der er nemme ofre, og herefter sende dem en e-mail eller SMS, fortæller Jonas Lindstrøm.
Sørg for at have procedurer
Og hvad kan man så gøre? Det automatiske svar er undervisning, så folk kender faresignalerne. Problemet er bare, at alarmberedskabet først går i gang, når man har åbnet en falsk e-mail eller SMS.
– Det er ikke konkluderet, men meget tyder på, at ‘awareness-træning’ ikke batter. Det hjælper nogen, men for rigtig mange virker det ikke. Mange af de angreb, vi lavede, ville ikke blive fanget i de spam-filtre, som mange virksomheder har. Men du kan have nogle procedurer over for fx CEO Fraud. Hvis en gerningsmand sender en falsk e-mail til regnskabsafdelingen om at overføre penge til en udenlandsk konto, skal der være en procedure for, at regnskabsmedarbejderen skal ringe til direktøren for at få det valideret – også selv om denne er på ferie.
– Et andet råd er, at hvis virksomheden bruger en intern portal som Sharepoint eller Confluence, er det vigtigt at bruge genveje. Hvis en person sender dig en e-mail med besked om lige at logge ind her, så skal du ikke bruge det link, personen sender med. Du skal åbne din browser og bruge det link, du har der, fortæller han.
Om projektet
I projektet SAVE har vi gennemført et studie af social engineering. Projektpartnerne er Dansk Brand- og Sikringsteknisk Institut (DBI), Alexandra Instituttet og CenSec. Projektet er finansieret af Forsvarsakademiet.
