Dette er del 2 av 3 i serien IT-sikkerhet og sosial manipulering. Les del 1: "Hvem er det svakeste ledd? Tradisjonelle cyberangrep og sosial manipulering" her.
Målrettede cyberangrep fra listige hackere utgjør en reell trussel mot både private og bedrifter. Angrepene er på mange måter «usynlige»: de foregår i det skjulte og er ofte forkledd som legitim aktivitet. Det er som regel få indikasjoner på at noe mistenkelig skjer, som et knust vindu eller en kniv mot strupen. Hackere går nemlig strategisk til verks for å holde seg under radaren, og metodene de bruker kan få håret til å reise seg i nakken.
I forrige blogginnlegg introduserte jeg masseproduserte cyberangrep. Denne gangen retter jeg fokuset mot den andre kategorien angrep: sofistikerte og målrettede cyberangrep der hackere lurer både IT-systemer og mennesker trill rundt.
Handelsvaregiganten Target – et eksempel til ettertanke
Et eksempel på et vellykket cyberangrep som mange sent vil glemme, er angrepet på den amerikanske handelsvaregiganten Target [1] i 2013. Midt i julestria stjal svindlere betalingsinformasjonen til mer enn 40 millioner [2] Target-kunder, ved hjelp av en Trojansk hest [3] lastet inn i bedriftens salgssystemer. Angrepet resulterte i et tap på ca 2,2 milliarder kroner [4], søksmål, massiv kritikk og dårlig rennomé. I kjølvannet oppstod slagordet «shop at target – become a target» [5], og mange tidligere kunder hevdet de aldri skulle handle hos kjeden igjen.
«... sikkerhetsbristen viste seg å være en uavhengig og intetanende klimaanleggsarbeider som hadde utført arbeid i kjedens butikker. Gjennom en smart og tilpasset 'phishing'-email [...] var hackerne på innsiden av Targets forsvarsmekanismer og angrepet i gang»
Target gjennomførte en grundig etterforskning av cyberangrepet, og sikkerhetsbristen viste seg å være en uavhengig og intetanende klimaanleggsarbeider [6] som hadde utført arbeid i kjedens butikker. Gjennom en smart og tilpasset «phishing [7]»-email ble klimaarbeiderens PC infisert med malware [8], som igjen gav hackere tilgang til påloggingsinformasjon til gigantkjedens datasystem. Og med dette var hackerne på innsiden av forsvarsmekanismene og angrepet i gang.
Hvorfor vinner fortsatt David over Goliat?
Angrepet på Target illustrerer godt hvordan hackere går frem for å gjennomføre et cyberangrep, og er derfor et interessant case å dykke dypere i. Så, hvordan var det mulig for noen få hackere å utmanøvrere en så stor organisasjon som Target? Svaret: ved å jobbe systematisk og strategisk med forberedelser og planlegging av angrepet.
Etter at hackerne hadde valgt seg Target som mål, var første steg i prosessen å samle informasjon. Informasjonen de samlet var i utgangspunktet harmløs, men den riktige kombinasjonen av informasjon og data gav hackerne mulighet til å skreddersy et effektivt angrep.
Hackerne gikk grundig til verks, og samlet informasjon om:
Arbeidsrutiner og sikkerhetsmekanismer
De ansatte
Bedrifters partnere
Programvare bedriften bruker
Det er vanlig prosedyre for hackere å bruke innhentet informasjon som brikker i et puslespill. I angrepet på Target for eksempel, hadde hackerne god oversikt over arbeidsrutiner og bedriftens partnere. Ved å identifisere noen som hadde tilgang til datasystemene, men som kanskje ikke var underlagt Targets interne sikkerhetsrutiner, fant de et svakt ledd de kunne utnytte. I tillegg hadde de god kunnskap om hvilke datasystemer bedriften benyttet og skreddersydde den Trojanske hesten til disse.
«Skumlere blir det derimot når hackere tyr til mer nærgående metoder, som for eksempel å knytte relasjoner med en ansatt gjennom private kanaler som sosiale medier, eller når de møter opp fysisk hos en organisasjon for å snoke»
De vet hvem du er
Hackere bruker mange forskjellige metoder for å få tak i kritisk informasjon om en bedrift og deres ansatte. Offentlig tilgjengelige informasjon, som kan finnes gjennom søkemotorer og bedriftens egen nettside, kan være svært effektiv i hendene på en hacker. Å ta kontakt direkte med bedriften gjennom e-post eller telefon er et annet eksempel.
Skumlere blir det derimot når hackere tyr til mer nærgående metoder, som for eksempel å etablere relasjoner med en ansatt gjennom private kanaler som sosiale medier [9], eller når de møter opp fysisk hos en organisasjon for å snoke.
«Hackere vil så kunne bruke denne innsikten til å skape en relasjon, for igjen å tilegne seg kritisk informasjon for den videre planen»
Det er ikke mye som skal til for å finne en person på sosiale medier, et navn eller telefonnummer er ofte nok. Hackere vil strategisk velge seg ut en person, gjerne en ansatt, og så benytte teknikker for sosial manipulering til å lære hvem personen er (les mer om dette i mitt forrige blogginnlegg).
Hackere vil så kunne bruke denne innsikten til å skape en relasjon, for igjen å tilegne seg kritisk informasjon for den videre planen, slik som rutiner eller innloggingsinformasjon. Et annet alternativ er at hackerne rett og slett kan bruke det de lærer til å utgi seg for å være offeret og stjele dets identitet.
De vet hvor du jobber
God sikring av IT-systemene i en organisasjon kan på lang vei heve terskelen for hackerne, og utfordre deres kreativitet. Men det kan også lede dem til faktisk å møte opp i de fysiske lokalene for å stjele informasjon eller knytte seg til den fysiske IT-infrastrukturen.
Hvis hackere får tilgang til den fysiske infrastrukturen hos en bedrift, har de en gylden mulighet til å installere virus på maskiner, hacke seg inn i bedriftens systemer gjennom et gjestenettverk eller plante virusinfiserte minnepinner i lokalene. Dette viser at sikring av IT-systemene også har en fysisk dimensjon som kan være vel så viktig som den systemtekniske. Derfor er fysisk datasikkerhet også et eget fokusområde for GDPR [10].
«Det er heller ikke lenge siden vi hadde en mann på døren i CloudNorways lokaler, som hevdet han var sendt fra bygården for å ta bilder. Da han ikke kunne fremvise legitimasjon ble han bortvist, og det kom senere fram i samtale med eieren av bygården at de ikke hadde sent noen for å ta bilder»
Det er ikke lenge siden hovedkontoret til et av landets største bedrifter fikk smake på den fysiske sikkerhetsdimensjonen. En årvåken ansatt oppdaget ved en tilfeldighet noe merkelig på en overvåkningsvideo tatt noen dager tidligere:
Den aktuelle dagen startet helt som normalt med kaffe, møteaktiviteter og en strøm av ansatte til hovedkontoret. På overvåkningsvideoen ses en pent kledd mann, tilsynelatende en ansatt, sette seg inn på et av kontorene. Der satt han en stund og jobbet før han reiste igjen. Problemet er bare at ingen vet hvem denne mannen var, eller hva han gjorde der.Det er heller ikke lenge siden vi hadde en mann på døren i CloudNorways lokaler, som hevdet han var sendt fra bygården for å ta bilder. Da han ikke kunne fremvise legitimasjon ble han bortvist, og det kom senere fram i samtale med eieren av bygården at de ikke hadde sent noen for å ta bilder (I denne sammenhengen kan det også nevnes at våre lokaler har store vinduer med direkte innsyn til Stortinget…).
En kalkulert prosess
For hackere handler prosessen i forkant av et angrep om å samle informasjon. I likhet benytter selve gjennomføringen av angrepet mange av de samme metodene som ved innsamlingen av informasjon, og vil som regel utnytte menneskelige svakheter.
Uavhengig av hvilken metode hackerne bruker for å oppnå den første kontakten, vil det neste steget være å manipulere offeret til å gjennomføre en handling. I angrepet på Target ble klimaanleggsarbeideren via en e-post bedt om å logge inn i Targets systemer med sin egen innloggingsinformasjon. Hackernes mål var å passere alle de avanserte og kostbare sikkerhetsmekanismene, og gjennom klimaarbeideren klarte de dette med glans.
Prosessen for gjennomføringen av et cyberangrep kan enkelt illustreres slik:
The aftermath
Om vi ser tilbake på cyberangrepet på Target, fortsatte hackere å samle inn informasjon om kundene helt til de ble oppdaget og virusene til slutt ble avinstallert. Likevel hadde angrepet allerede rukket få katastrofale følger både økonomisk og omdømmemessig.
Target er ikke alene om å oppleve slike angrep, de forekommer også i lille Norge. Norsk Hydro ble i fjor utsatt for et cyberangrep som kostet dem 450 millioner kroner [11] og skapte store overskrifter i norske aviser. Spesielt i disse tider, hvor det meste av virksomhet og drift er flyttet online, er cybersikkerhet høyst aktuelt. Det er viktig å være oppmerksom på både potensielle trusler og hva man kan gjøre for å forebygge.
Dette etterlater oss med spørsmålet: hva kan vi gjøre for å forhindre at vår bedrift blir utsatt for cyberangrep? Dette vil jeg fortelle alt om i neste og siste blogginnlegg i denne serien.
Referanser:
[1] Target kan sammenlignes med Coop Obs og er blant de 10 største detaljvirksomhetene i verden. https://corporate.target.com/about
[2] https://www.reuters.com/article/us-target-breach/target-cyber-breach-hits-40-million-payment-cards-at-holiday-peak-idUSBRE9BH1GX20131219
[3] Trojansk hest: Et datavirus som utgir seg for å være et ufarlig program. https://snl.no/trojansk_hest
[4] https://www.nbcnews.com/business/business-news/target-settles-2013-hacked-customer-data-breach-18-5-million-n764031
[5] https://www.reuters.com/article/us-target-breach/target-cyber-breach-hits-40-million-payment-cards-at-holiday-peak-idUSBRE9BH1GX20131219
[6] https://www.zdnet.com/article/anatomy-of-the-target-data-breach-missed-opportunities-and-lessons-learned/
[7] Ved phishingangrep kontaktes offeret som regel via en e-post, hvor avsenderen fremstår som en reell virksomhet, for eksempel en bank. https://nettvett.no/phishing/
[8] Malware er en betegnelse for skadelig programvare som kan installeres på en PC ved at offeret uvitende gir tillatelse, ved å for eksempel trykke på en link eller åpne et skadelig vedlegg. Les mer her: https://www.cloudnorway.no/post/hvem-er-det-svakeste-ledd
[10] General Data Protection Act (GDPR): EU-regelverk om personvernlovgivning som tredde I kraft 25. mai 2019. https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/