Artikel top billede

(Foto: Computerworld)

Så nemt er det at være hacker

På en konference i Bratislava fik journalister fra hele verden for nyligt demonstreret, hvor nemt det er at være hacker. For selv om trusselsbilledet naturligvis hele tiden udvikler sig, er det stadig de gode gamle travere som ransomware, der er de mest effektive.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

At it-kriminalitet er kommet for at blive, er der næppe nogen, som kan være uenig i. Det utrolige er dog, at selv om risikobilledet løbende viser nye sider af sit onde ansigt, er der grundlæggende ikke så forfærdelig meget, der over tid har ændret sig.

Ransomware er fortsat det helt store hit blandt hackerne, og brugerne bliver ved med at falde for fristelsen til at trykke på links, de ikke skulle have trykket på eller åbne mails, de ikke skulle have åbnet. Det er grundstammen i risikobilledet.

Den helt store udfordring er imidlertid, at svindelnumrene bliver mere og mere forfinede forstået på den måde, at hackerne i stadig højere grad lærer at benytte en lingvistisk tilgang således, at de ikke kun sender fupmails, men sender fupmails, der ser ud, som om de er skrevet af dig, din kollega eller din chef.

”Det er ikke fordi, jeg vil sige, man som sådan er begyndt at anvende kunstig intelligens. Det kommer nok en dag, men hackerne bliver stadig dygtigere til at tilegne sig viden om den måde en specifik medarbejder i en virksomhed skriver og udtrykker sig på. Det betyder, at når den regnskabsansvarlige i en virksomhed får en mail fra direktøren om, at der skal overføres så og så mange tusinde kroner til en konto i udlandet, ja så virker den mere og mere troværdig. Både fordi den kommer fra direktørens e-mailkonto, og fordi den er skrevet i hans sprog”. Det siger Leif Jensen, der er nordisk kanaldirektør i sikkerhedsvirksomheden ESET, som for nylig var vært ved en konference i Bratislava, hvor journalister fra hele verden fik en indføring i, hvorledes de kriminelle arbejder.

IoT-enheder er en åben ladeport

Ifølge Leif Jensen var det en øjenåbner for deltagerne, og målet for konferencen var da også helt uden markedsføring og salgssnak at give et indblik i de research- og udviklingsværktøjer, som ESET arbejder med.

Mange af journalisterne blev ganske enkelt overrasket over, hvor nemt det er at komme i gang som hacker, og målet var at klæde dem bedre på til at forstå teknologien og dermed også klæde dem bedre på til at formidle budskabet om, hvor vigtig effektiv cybersikkerhed er.

Især i en tid, hvor der er flere Internet of Things- enheder på nettet, end der er mennesker på jorden. Allerede for tre år siden rundede vi de 7 milliarder enheder, og for nærværende er tallet allerede vokset til mere end det tredobbelte.

På konferencen blev det demonstreret, hvorledes ESET Smart Home Research Team for nylig fandt ud af, at Amazon Echo var pivåben for Key Reinstallation Attacks (KRACK), der angriber WPA2-opsætningen på en Wi-Fi-enhed med henblik på at stjæle data.

”Da enhver IoT-enhed har en IP-adresse, giver det rigtig mange angrebspunkter, og hackerne benytter dem da også, uanset om enhederne er placeret i et privat hjem eller i en virksomhed. Det alt overskyggende problem er, at de skal være nemme at anvende samtidig med, at de helst også skal være billige. Derfor har producenterne kun ringe incitament til at tænke i sikkerhed, og netop fordi det skal være nemt, er der heller ikke den stor interesse for sikkerhed blandt brugerne”, siger Leif Jensen.

En ny brancheundersøgelse viser, at især webkameraer er en eftertragtet ressource blandt de it-kriminelle, der enten anvender private brugeres kameraer til optagelser med henblik på afpresning eller anvender virksomhedernes kameraer til industrispionage.

Information er et godt modtræk

”Der er ikke nogen tvivl om, at trusselsbilledet er konstant, men især for virksomhederne, der jo typisk har rigtig mange IoT-enheder af forskellig karakter, kan det være endog meget svært at gennemskue, hvad der er fup og hvad, der er fakta. Der går jo ikke en dag uden, at man kan læse skrækhistorier i aviserne, men selv om truslen er reel nok, er det også vigtigt at holde sig fakta for øje. Blandt andet derfor arrangerede vi konferencen med henblik på at klæde journalisterne bedre på. Også fra politisk hold er der i dag øget fokus på it-sikkerhed, men her kan det ligeledes være svært at navigere gennem trusselsbilledet”, siger Leif Jensen videre.

For mange af de journalister, der deltog på konferencen i Bratislava, blev det lidt af en øjenåbner for så vidt angår, hvad hackerne i dag kan, og hvor nemt de kan det. Metoderne blev demonstreret live for salen.

Han er dog ikke i tvivl om, at ransomware, som tidligere nævnt, stadig er en over-ordentlig god forretning for hackerne. At kryptere virksomhedsdata og kræve løsesum for at frigive dem er en populær forretningsmodel, der stadig er utrolig effektiv, og derfor mener Leif Jensen, at information til medarbejderne stadig er et lige så godt modtræk med henblik på at undgå, at der bliver klikket på de links, der absolut ikke skal klikkes på.

Et andet effektivt hackervåben er CEO-fraud, som ifølge et skøn fra bankernes brancheorganisation, Finans Danmark, har påført det danske samfund et tab på langt over 100 millioner kroner alene i første halvår af 2019. Hvis man spørger politiets nationale center for it-relateret økonomisk kriminalitet, er det da også CEO-fraud, der topper henvendelserne.

CEO-fraud er den største trussel

Dagligt modtager det natuonale center anmeldelser, og til dagbladet Politiken har teknologidirektør fra CSIS Security Group, Jan Kaastrup, tidligere udtalt, at CEO-fraud lige nu er den største økonomiske cybertrussel. Blandt andet fordi den er velegnet til at ramme alle typer af virksomhedssegmenter, store som små.

CEO-fraud, også kaldet BEC-fraud (Business Email Compromise) er svindel, hvor kriminelle forsøger at narre penge fra en virksomhed ved eksempelvis at sende en mail til en regnskabsmedarbejder, hvor mailen er udformet, så den ser ud til at komme fra virksomhedens direktør. Denne type af svindel foretages ofte i ferieperioder, hvor bemandingen typisk er lav eller direktøren er ude at rejse, og det derfor er nemmere at snyde de daglige procedurer. Men det er ikke kun virksomheder, der rammes.

Et andet yndet mål er foreninger, hvor kassereren typisk ikke arbejder hverken med it eller bogholderi til daglig og derfor kan være nemmere at narre, når han modtager en mail fra formanden vedrørende en pengeoverførsel. Hackerne holder sig ikke tilbage for at bede om overførsel af selv større beløb, der rent faktisk kan koste foreningen – eller den lille virksomhed – livet.

Ifølge Leif Jensen var det for blot få år siden, nemmere at gennemskue den slags svindel, men selv om hackerne typisk sidder i udlandet, allierer de sig gerne med ”hjælpsomme” danskere, der kan sørge for korrekte sproglige formuleringer, lige som machine learning langt hen ad vejen også er et effektivt hjælpemiddel.

Passwords er en handelsvare

”Et eller andet sted er hackerne også lidt dovne, så jo mere af processen, de kan automatisere jo bedre for dem. Det spiller jo ingen rolle, om man skal sende mails ud til 1000 eller 100.000 brugere for at få nogle til at gå i fælden”, siger Leif Jensen og tilføjer, at brugernavne og passwords indhentet via phishing ligeledes er blevet en helt gængs handelsvare.

De repræsenterer en værdi, og selv et gammelt password kan være effektivt at anvende. F.eks. når du får en såkaldt sexstortionmail, der beskriver, hvorledes hackeren både har ”grabbet” hvilke hjemmesider, du har været inde på og via webkameraet filmet, hvad du har foretaget dig imens.

Selv om passwordet måske er gammelt, får det mailen til at synes troværdig og får dig til at tro, at hackeren virkelig har adgang til din computer. Det har han måske også, for det at overtage din computer, er der ingen teknologiske udfordringer i. Hackeren har helt sikkert værktøjerne, men da den slags afpresningsmail typisk sendes til mange tusinde brugere ad gangen, er det særdeles tvivlsomt, om hackeren lige præcis har adgang til din computer.

Så slet blot mailen og lad fuldstændig som ingenting, er det gode råd. Især når det gælder erhvervslivet føjer Leif Jensen til, at vi på sigt givet vil se angreb, som går endnu dybere, blandt andet i form af BIO-angreb. Det er ikke blevet en stor trend endnu, men det er en angrebsform, der er i vækst.

Leif Jensens 3 gode råd

Tro ikke, at virksomheden kan beskytte sig alene ved hjælp af software. Medarbejderne skal informeres og uddannes ved hjælp af awareness-kampagner, så de nøgternt kan forholde sig til truslerne.

Gennemgå jævnligt virksomhedens sikkerhedsløsninger og giv dem et servicetjek, så der er vished for, at de matcher det aktuelle trusselsbillede.

Vær mistroisk i forhold til al digital kommu-nikation. Lad være med at være naiv og godtroende, for selv om vi gerne vil tro det bedste om hinanden, er det bedre at tro det modsatte på nettet.