Slik bruker hackere ansatte til å få tilgang til selskapets datasystem, og hvorfor bør HR-avdelingen ta et større ansvar?

2018-10-17

Cyberangrep mot bedrifter fortsetter å øke i utbredelse, de blir mere sofistikerte og farligere. Organiserte kriminelle stjeler finansiell informasjon, terrorister lanserer ransomware-angrep og statlige aktører kommer seg under radaren til informasjonssystemer. Der jobber de i det stille inntil de ser en mulighet som kan utnyttes ved sin tilstedeværelse.

Nils Roald Advanced Threat North Sales Leader, Cisco

Phishing 

En av angrepsmetodene mot selskap er phishing. Phishing er en betegnelse på digital snoking eller «fisking» etter sensitiv informasjon som brukernavn, passord eller kredittkortnummer, ved å kamuflere seg som en troverdig part i en elektronisk kommunikasjon. Et eksempel er å sende en phishing-epost, kamuflert som en offisiell epost fra en bank. E-posten kan inneholde objekter eller linker som tilsynelatende ser ut til å peke mot legitime sider hos banken. Avsenderen forsøker å lure mottakeren til å avsløre konfidensiell informasjon ved å "bekrefte" sin innlogging på phisherens nettsted. 

Spear-phishing er en selektiv, avansert og sofistikerte form for phishing. Den retter seg ofte mot bedrifter. Angriperen samler inn informasjon på forhånd, som for eksempel om bedriftens kunder, leverandører, avtaler og samarbeidspartnere. Denne informasjonen brukes så til å bygge kredibilitet i en e-post eller gjennom en annen meldingstjeneste. Dette gjøres f.eks. ved å referere til intern informasjon og navn som er kjent for mottakeren. 

Hvordan brukes de ansatte til å åpne døren for hackerne? 

Direktørsvindel har i noen år vært høyt på agendaen til sikkerhetsrådgivere, bedrifter og organisasjoners interesseorganisasjoner. Direktørsvindel er en type phishing-angrep der hackerne utgir seg for å være ledere i bedriften, og bruke denne falske autoriteten til å få ansatte til å overføre penger, trykke på skadelige lenker eller åpne infiserte dokument. Når jeg møter ledere og IT-ansvarlige i organisasjoner sier de fleste at de er klar over problemet og at de opplever at dette skjer regelmessig. De fleste mener også å ha relativt god kontroll på teknologi og rutiner for å stanse disse angrepene, selv om det til stadighet skjer i Norge i dag. 

En annen vinkling på disse angrepene er å gå etter nyansatte. Overgangsmarkedet i arbeidslivet er ofte hektisk gjennom sommeren, ferie står for tur og nye jobbmuligheter frister. Om lag tre måneder senere, når høstjakten setter inn, har også hackere enklere byttedyr å felle. En rekke nyansatte tropper opp hos sin nye bedrift eller etat, klare for å bruke de første dagene og ukene til å få tilgang til forskjellige systemer, få opplæring, bli kjent med nye kolleger osv. Det er da de er på det mest sårbare. 

Nye ansatte er spesielt utsatt fordi de ikke er kjent med selskapets prosesser. Som nyansatt forventer du en mengde e-poster fra HR-avdelingen, overordnede og kollegaer; Applikasjoner som må installeres eller dokumenter som må leses, registreringslinker for pensjonsoversikt, opsjonsordninger, tilgang til applikasjoner og systemer, opplæringssider, firmahytten og bedriftslaget. Linker som gjerne ikke peker til organisasjonens domenenavn. I denne mengden av informasjon kan det skjule seg skadelige koder eller linker levert av hackere, og mottakeren har lavere odds for å skille legitim og skadelig kontakt. 

At folk biter på dette er ikke fordi de er inkompetente, men fordi det oppfattes som helt logisk for den nyansatte å motta på dette tidspunktet. Det er svært viktig å være oppmerksom på sårbarheten til de nye medarbeiderne for disse typene sosial manipulering. 

Prosessen for å innlede et phishing-angrep går vanligvis gjennom fire faser: 

Rekognosering 

I følge alle håndbøker for krigføring av noe verdi er rekognosering alltid den første fasen i et hvert angrep, og phishing er ikke unntaket. Skal angrepet være målrettet må det gjøres noe form forundersøkelser under starten av angrepet, til forskjell fra ordinære spam-kampanjer i volum.  

Phishing med trål, hvor en sender ut et stort volum av angrep for å prøve å få noen til å trykke på en link, har bare 1 til 3 prosent treffrate. Skal en gjøre et angrep mot deg, dine data og ditt selskap, da vil hackerne definitivt undersøke sosiale medier, samarbeidspartnere, infrastruktur, sikkerhetsløsninger, årsrapporter og lignende. For å finne nyansatte er Linkedin.com det perfekte verktøy. 

Distribusjon 

Neste fase er distribusjonen av den ondsinnede angrepskoden. Typisk skjer dette gjennom e-post, men vi snakker også om muligheten for at angrepskoden kan leveres på en måte ingen brannmur kan stanse. Ved å sende noen en fysisk DVD eller minnepinne med skadelig programvare. Med firmalogo og legitimt utseende følgebrev, er terskelen lav for at nyansatte går på limpinnen. Ordlyden kan være «Velkommen til selskapet», «Internt GDPR kurs», «Dokumentmaler» eller «Installasjonsinstrukser for interne applikasjoner». 

Spredning 

Om angriperne har kommet seg innenfor og de misbrukte ansatte har startet programvaren eller klikket på linken for å installere angrepskoden, da er neste fase av angrepet i gang. 

Hackerne forsøker nå å spre angrepet gjennom offerets infrastruktur, stjele data eller ressurser, sperre systemer, inkludere enheter i botnet eller kryptere data for løsepenger.  

Utbetaling 

I siste fasen skal angriperen få lønn for strevet, m.a.o. de skal oppnå det de kom for. Hvis det er data, som intellektuell eiendom eller kredittkort-opplysninger, er faktisk angrepet over når hackerne har omsatt dine data. Det betyr ikke nødvendigvis hackerne forsvinner og at krigen er over, de kan fortsette å infisere infrastrukturen og se etter nye måter å utnytte den på. 

De kan for eksempel prøve utvinne kryptovaluta, hvor utbetalingen er direkte og kontinuerlig, gjennom små utbetalinger basert på offerets strømforbruk og prosessorkraft. 

HR-avdelingens viktige jobb for å beskytte organisasjonen mot cyberangrep 

Det er viktig at HR-teamets prosess for on-boarding setter forventninger til de som starter å jobbe i organisasjonen. «Slik vil du få tilgang til dine applikasjoner» og «Dette er det du kan forvente vi IKKE gjør.  Vi vil ikke spørre deg om passord, vi kjenner deg» er eksempel på forventningssetting. Det er viktig å så frøene tidlig for hva som er normalen.  

Å bruke sosial manipulering mot HR-ansatte er også en vanlig måte å komme inn i organisasjoners IT-infrastruktur. HR-avdelingen har mye verdifull informasjon og HR er en av avdelingene i en organisasjon som vanligvis må åpne mange vedlegg og må klikke på linker fordi de kommuniserer med mange utenforstående. Ansatte, potensielle ansatte, headhuntere, leverandører, helsepersonell, NAV osv. Det er ganske dårlig kombinasjon da de er ansvarlige for svært sensitive data, som kan være verdifulle for andre.  

Hva kan en gjøre? 

  • HR-avdelinger må få og ta sikkerhetsansvar 
  • En sikkerhetsgjennomgang bør være en del av agendaen på første jobbdag. 
  • Sett forventning på hva som vil være normalen og hva en skal være på utkikk etter 
  • Kontinuerlig trening på bevissthet og beredskap rundt cybersikkerhet 
  • Bruk moderne sikkerhetsløsninger for brukernes datamaskiner som kan stanse avansert skadelig kode og blokkerer trafikk til og fra skadelige internettadresser.  
  • Invester in en moderne og sofistikert sikkerhetsløsning for din epost-løsning, også om den er skybasert. 
  • For de ansatte som må åpne mange eksterne linker (eksempelvis ansatte i HR-avdelingen), kan det være interessant å se på en virtuell nettleser. Da kan en fjern-detonerer linkene på en sikker måte. Litt slik politiets bombegrupper gjør det når de dekker til bomber og detonerer dem på avstand. 

Nyansatte og HR-ansatte har kanskje hackernes målskive på ryggen, men det er mulig å begrense risikoen for å bli truffet. Det gamle uttrykket at sikkerhet må være en del av kulturen gjennom hele organisasjonen er fortsatt gyldig, og kulturappropriasjonen må starte første dag.