Serie: IT-Sikkerhet og Sosial Manipulering
For noen år tilbake var jeg på en sikkerhetssamling i Oslo, hvor en ansatt fra det amerikanske forsvaret fortalte om forskjellige metoder for å hacke mål (eller nasjoner i hans tilfelle) over internett. Felles for fremgangsmåtene som ble presentert var at de siktet seg inn på det svakeste leddet i sikkerhetskjeden: mennesket. Dette er hvorfor.
Velkommen inn
I IT-prosjekter er det viktig at teknologien spiller på lag med de ansatte. Med å «spille på lag» menes at IT løsningene skal være brukervennlige for de ansatte, og samtidig dekke nødvendige behov og funksjoner i organisasjonen.
Samspill mellom teknologi og ansatte er minst like viktig når det kommer til IT-sikkerhet. Det har begrenset effekt å bruke store summer på antivirus, brannmur, spamfilter og kortleser i døra, dersom alle som ser hyggelige ut likevel slipper inn. Det samme gjelder hvis ansatte stoler blindt på informasjon som lander hos dem via e-post.
«Det har begrenset effekt å bruke store summer på antivirus, brannmur, spamfilter og kortleser i døra, dersom alle som ser hyggelige ut likevel slipper inn»
Selv om innebygget sikkerhet i IT-systemene kan ha tydelige regler på hva som skal slippes gjennom sikkerhetsmuren eller hva som skal stoppes, har vi mennesker derimot en tendens til å kunne påvirkes til å la ting slippe igjennom. Cyberangrep lykkes derfor ofte fordi de utnytter at nettopp vi mennesker, om enn i god tro, gjør de mulig [1].
På engelsk brukes begrepet «social engineering» (heretter sosial manipulering) om teknikker som benyttes til å påvirke eller manipulere andre mennesker til å utføre spesifikke, ønskede handlinger. Eksempler på dette kan være å lekke informasjon, ved å spille på vanlige menneskelige tilbøyeligheter, følelser og impulsive reaksjoner [2].
For eksempel kan en hacker (noen som setter pris på den utfordringen det er å bryte grenser eller jobbe seg rundt hindringer) få en ansatt til å oppgi kredittkort-informasjon gjennom å utgi seg for å være en sjef eller medarbeider, spørre om donasjon til et veldedig formål eller informere om at den ansatte har vunnet en konkurranse – og derigjennom be om litt viktig info. For noen ville kanskje varsellampene gått av, men langt ifra hos alle.
Fra lek til alvor
Cyberangrep er ikke et nytt fenomen, men metodene som brukes i dag er mye mer sofistikerte enn tidligere. På 80 og 90-tallet for eksempel, var det ikke uvanlig at slike angrep ble klekket ut på «gutterommet». Cyberangrep ble ofte begått av vanlige, unge mennesker og motivasjonen var gjerne noe så enkelt som nysgjerrighet eller anerkjennelse for å ha brutt seg gjennom noe som tidligere var antatt å være ugjennomtrengelig.
«Cyberangrep ble ofte begått av vanlige, unge mennesker og motivasjonen var gjerne noe så enkelt som nysgjerrighet eller anerkjennelse for å ha brutt seg gjennom noe som tidligere var antatt å være ugjennomtrengelig»
Konsekvensene av cyberangrep på 80- og 90-tallet var som oftest små, og bestod vanligvis av tap av data, treghet i et IT-system eller problemer med å starte datamaskinen igjen etter å ha blitt infisert med det som ble kjent som «virus». I noen ekstreme tilfeller kunne angrepene resultere i skade på maskinens fysiske systemer (hardware). Siden 80- og 90-tallet har cyberangrep blitt mer avanserte og hackere har innsett at cyberkriminalitet kan være svært lønnsomt. Kriminelle grupperinger har gjort cyberangrep til et omfattende problem, både for private og bedrifter. Den dag i dag er det mye vanligere at et cyberangrep stammer fra organiserte kriminelle, heller enn «gutterommet». Cyberangrep har gått fra lek til alvor.
For å sette dette i perspektiv: basert på tall fra FBI’s Crime Complaint Center (IC3), ble det rapportert inn ca. 352 000 cyberangrep på verdensbasis i 2018 og tap knyttet til disse angrepene ble estimert til over 21 milliarder kroner [3].
Hvordan går disse grupperingene frem for å skape så store tap? La oss dykke ned i strategiene som benyttes.
Et angrep på massene
Det er i hovedsak to overordnede strategier for cyberangrep: De med «tradisjonelle» strategier og de med «målrettede» strategier. De fleste cyberangrepene vi ser i dag faller innenfor den første kategorien.
«Tradisjonelle cyberangrep kan komme i mange former og fasonger, men et fellestrekk er at de bruker kun liten eller ingen tilpasning til enkeltmottakere»
Tradisjonelle cyberangrep kan komme i mange former og fasonger, men et fellestrekk er at de bruker kun liten eller ingen tilpasning til enkeltmottakere. Med andre ord kan denne strategien også sies å være en strategi basert på volum og masseproduksjon.
Et eksempel på en tradisjonell strategi er et masseprodusert cyberangrep hvor en hacker bruker det samme svindelforsøket mot mange forskjellige personer, og gjerne samtidig. Strategien går ut på å nå ut til som mange som mulig og satse på at noen biter på agnet.
Formålet med tradisjonelle cyberangrep er i mange tilfeller å stjele informasjon (også kalt phishing), ofte ved bruk av sosial manipulering. Dette gjør det mulig å enten svindle offeret eller utføre en form for utpressing i etterkant av angrepet basert på informasjon eller data som har landet i feil hender.
Anonyme verktøy
E-post er det mest brukte verktøyet for tradisjonelle cyberangrep, men man ser også i økende grad at personer blir oppringt via telefon [4]. Hackeren bruker ofte sosial manipulering ved å utgi seg for å være en person eller et firma som offeret kan ha kjennskap til for å skape en opplevd relasjon og falsk følelse av trygghet. Dette er fordi hackeren ofte ikke har informasjon om ofrene sine på forhånd.
Eksempler på selskap mange ofte får E-post fra er Microsoft, Facebook, eBay eller Apple. Under er et eksempel på en typisk svindler-e-post [5]. Siden eBay har en brukermasse på 182 millioner, er sjansen stor for at en god del av de som mottar mailen faktisk er kunder der, og vil åpne e-posten:
Hvis offeret klikker på linken i e-posten vil han eller hun bli sendt til en falsk nettside som er farlig lik eBays offisielle nettside. På den falske nettsiden blir offeret presentert med et skjema for å legge inn brukernavn og passord til kontoen, samt kredittkortinformasjon.
Med denne informasjonen i hånden på hackeren, er svindelen et faktum. Kriminelle kan nå både utføre kjøp over internett på offerets kredittkort og bruke offerets eBay-konto til å svindle andre eBay-brukere.
«Enkelte vil nok påstå at det er selvforskyldt å falle offer for et masseprodusert svindelforsøk, da sunn fornuft ofte er nok til å gjennomskue disse»
De fleste som mottar suspekte e-poster eller telefonsamtaler klarer raskt å fange opp at det er et svindelforsøk og ignorerer henvendelsen. Ofte er det kun et fåtall som biter på agnet. Enkelte vil nok påstå at det er selvforskyldt å falle offer for et masseprodusert svindelforsøk, da sunn fornuft ofte er nok til å gjennomskue disse.
For å jobbe seg rundt den hindringen, er hackeren avhengig av å nå ut til et stort antall mottakere for at angrepet skal gi resultater. For om selv noen få prosent eller promille av 100.000 mottakere av en E-post sender bankkortopplysningene sine, kan det være grunnlag for betydelig svindel.
Trojanske hester
Å lure et offer til å oppgi informasjon er ikke det eneste målet for tradisjonelle cyberangrep.
Malware er en betegnelse for skadelig programvare som kan installeres på en PC ved at offeret uvitende gir tillatelse. Denne tillatelsen kan gis ved å for eksempel trykke på en link eller åpne et skadelig vedlegg. Malware er noe mange har kjennskap til, og kan oppleves veldig frustrerende.
«Malwaren er ofte kamuflert som et «viktig» dokument; som for eksempel en regning, viktig melding fra offentlig etat, e-post som ikke er levert eller et skannet dokument. Alle har vel hørt fortellingen om den Trojanske hest?»
Malwaren er ofte kamuflert som et «viktig» dokument; som for eksempel en regning, viktig melding fra offentlig etat, e-post som ikke er levert eller et skannet dokument. Alle har vel hørt fortellingen om den Trojanske hest? Det er vanlig praksis at hackere utnytter kjente svakheter i applikasjoner som gjør det mulig å skjule virus i dokumenter, som for eksempel i PDF-filer ved å bruke JavaScript.
Det er ofte en sammenheng mellom bruk av skadelig programvare og økonomisk kriminalitet. Malwaren kan ha som hensikt å sende over sensitiv informasjon fra offerets harddisk, eller å «låse» datamaskinen, slik at hackeren kan presse offeret for penger for at de skal få tilgang til filene sine igjen. Sistnevnte kalles også cryptovirus.
To strategier, samme formål
Tradisjonelle, masseproduserte cyberangrep er på mange måter mindre effektive, da sunn fornuft og gode nettvaner tar deg et langt steg på vei mot å unngå å falle offer. Skumlere er derimot den formen for cyberangrep som ikke er masseprodusert, og som er «skreddersydd» for et bestemt formål mot en bestemt person eller annen enhet.
Suksessraten til målrettede cyberangrep er mye høyere enn tradisjonelle, ettersom den sosiale manipulasjonen er mye bedre tilpasset mottakeren. I likhet med suksessraten, er ofte konsekvensene av disse angrepene større. Mye større.
Mottoet til den Amerikanske foredragsholderen jeg beskrev innledningsvis var som følger: «Spørsmålet er ikke om jeg klarer å hacke målet, men hvor lang tid det tar». I neste del vil jeg ta for meg sofistikerte målrettede cyberangrep. For hvis bedriften din er et «target» for et målrettet angrep, er det god grunn for bekymring.
Les del 2: "I siktet: målrettede cyberangrep mot bedrifter" her.
Referanser:
[5] Jayne A Hitchcock og Loraine Page (2006). Net crimes & misdemeanors: outmaneuvering web spammers, stalkers, and con artists (2. Utgave). New Jersey: Information Today.