De utgjør en økende trussel nå som det er en vesentlig økt bruk av hjemmekontor. Det er en større mulighet for at de skal lykkes enn normalt, når de utfører en rekke ulike angrep. Jeg vil nedenfor fortelle om noen av årsakene til dette, og også gi noen anbefalinger til tiltak du som ansatt kan gjøre for å redusere sårbarhetene. For på denne måten redusere mulighetene eller konsekvensene av et angrep.
Hva skyldes dette?
I artikkel publisert i Threatpost 18. mars 2020 fremkommer at sikkerhetsselskapet Cynet har avdekket at angripere nå under korona-pandemien særlig benytter to metoder for angrep - angrep som tar sikte på å stjele brukerens påloggingsinformasjon (brukernavn og passord) og e-postangrep:
1. Jakt på påloggingsinformasjon: Angriperne ser muligheter gjennom en voldsom økning i bruk av fjernpålogging til bedriftenes systemer. Svært mange eksterne forbindelser blir opprettet av ansatte som aldri har gjort dette før, av enheter som ikke har vært pålogget bedriften tidligere eller fra geografiske steder som den ansatte ikke har logget inn fra tidligere. Dette gjør at en angriper lett kan skjule en ondsinnet innlogging uten å bli oppdaget av bedriftens sikkerhetsteam.
Cynets globale oversikt over cyberangrep fra de siste tre ukene avslører at Italia har en kraftig økning i phishing-angrep sammenlignet med andre territorier, noe som indikerer at angripere jakter i full styrke etter brukernavn og passord for ansatte. Phishing-angrep er en betegnelse på digital snoking eller «fisking» etter sensitiv informasjon, som passord eller kredittkortnummer.
2. E-postangrep: Ansatte som jobber hjemmefra, vil ofte gjøre det fra sine personlige datamaskiner som er betydelig mindre sikre enn de som bedriften eier og drifter, og det gjør dem mer sårbare for angrep mot skadelig programvare.
Cynets data viste at mens 21% av e-postadressene som var utsatt for e-postangrep, inneholdt enkle angrep med kun en lenke og innhold myntet på å få mottakeren til å trykke på lenken for så å laste ned ondsinnet kode.
I mange tilfeller svekkes sikkerhetsgruppens funksjon, fordi en del av sikkerhetsressursene er i karantene. Manglende ressurser, eller ressurser som ikke er vant til å tyde bedriftens logger, resulterer i at det nå er vanskeligere å oppdage ondsinnet aktivitet. Fra samtaler som Cynet hadde med selskapene i Italia som hadde blitt utsatt for angrep, viser det seg at driften til mange av sikkerhetsgruppene ble betydelig forstyrret. Ofte var dette på grunn av sikkerhetsressurser i karantene.
Oppsummert: Hackere som søker å tjene penger på den nye situasjonen gjennom phishing-angrep, sosial manipulering (som går ut på å lure noen til å gi fra seg sensitiv informasjon eller tilgang til et område, f.eks. bedriftens lokaler) og e-postangrep, har ideelle forhold. Dette grunnet mange ansatte som jobber hjemmefra, sikkerhetsgrupper som ikke er fullt operative og generell følelse av usikkerhet.
Er Norge et attraktivt mål?
Norge er ett av landene som har det høyeste antallet smittede per innbygger, og dette er tall som blir synliggjort gjennom de fleste mediekanaler rundt omkring i verden. Norge fremstår derfor utad som et land som har store utfordringer med å håndtere koronaviruset nå. Vi er også et land som har tatt i bruk mye teknologi, og omtrent alle nordmenn har en mobiltelefon, en PC og/eller et nettbrett. Det formidles også i mange kanaler at de fleste av oss er blitt pålagt å ha hjemmekontor.
I PSTs nasjonale trusselvurdering for 2020 fremhever de spesielt følgende som gjør Norge til et attraktivt mål for angripere:
1. Naboskapet med verdens største land, forvaltningen av enorme naturressurser, medlemskapet i NATO og det internasjonale engasjementet er forhold som gjør at norsk politikk og norske beslutninger kan få store konsekvenser for andre stater.
2. Norge forvalter naturressurser av stor betydning for andre staters energiforsyning. Norge har også uutnyttede ressurser som blant annet sjeldne jordartmetaller, som er viktige for både sivil og militær teknologi.
3. I tillegg har både offentlige og private bedrifter sterke teknologimiljøer som driver forskning og utvikling på et høyt nivå. Økonomisk vekst er et høyt prioritert mål for de fleste stater. På flere områder konkurrerer norske bedrifter med andre lands økonomiske interesser. Store ressurser og verdier står ofte på spill.
Ifølge trusselvurderingen driver flere lands etterretningstjenester etterretning mot bedriften til Stortinget, regjeringen og departementene, og i flere land bistår etterretningstjenester eget næringsliv. Det er derfor ofte svært profesjonelle aktører vi står ovenfor, og de kan «alle triksene i boka».
Hvorfor er hjemmekontor spesielt sårbart?
Hjemmekontor er spesielt sårbart fordi mange bedrifter ikke har tilrettelagt for at hele arbeidsstokken skal arbeide hjemme, og det gir både bedriften og de ansatte mange nye problemstillinger i en allerede kaotisk situasjon med mange syke eller i karantene.
Økt sårbarhet kan både skyldes mangelfulle påloggingsløsninger til bedriftens IKT-systemer og at et hjemmekontor ofte har svakere sikkerhet enn bedriftens vanlige løsninger.
Mange bedrifter tar nå snarveier fordi de er i en presset situasjon, f.eks. åpner enkelte bedrifter for vpn til brukere som ikke har hatt dette tidligere, enkelte hvitelister ip-adresser som ikke har vært hvitelistet før, de gjør applikasjoner tilgjengelig på internett uten vpn, og enkelte leier inn midlertidig arbeidskraft/konsulenter de har liten erfaring med.
Hjemmekontor/barnepass/karantene gjør barrieren for å dobbeltsjekke ting høyere, fordi vi ikke lenger sitter fysisk nær hverandre, og angrep har større sjanse til å lykkes.
Hva kan du som ansatt gjøre?
1. Dersom du må benytte din egen PC til hjemmekontor bør du gjøre deg forholdsvis trygg på at du eller andre i din familie ikke har installert programvare på maskinen som kan ha ondsinnet kode i seg. I ytterste konsekvens bør alt på din maskin reinstalleres, både operativsystem og programmer. Dersom du ikke selv er i stand til å reinstallere maskinen din, bør du ta kontakt med IT supportavdelingen i din bedrift for å få hjelp.
2. Du bør forsikre deg om at ingen andre i familien benytter mobil, PC og nettbrett dersom du skal logge deg på din bedrifts systemer fra disse enhetene.
3. Du bør installere en fjernaksessløsning som vpn eller lignende for å koble deg opp mot din arbeidsplass.
4. Vær forsiktig med e-post og filer mottatt fra ukjente avsendere, spesielt hvis de ber deg om å utføre en handling som du vanligvis ikke pleier å gjøre. Vær ekstra forsiktig dersom du har en kort tidsfrist for aktiviteten du er bedt om å gjøre. Angripere kan ofte prøve å bygge opp et stresselement i form av korte tidsfrister som gjør at du er mer tilbøyelig til å reagere annerledes enn du normalt pleier.
5. Være spesielt oppmerksom på e-poster, filer og nettsteder som omtaler koronaviruset. Sikkerhetsselskapet Check Point rapporterte tidligere denne måneden at det er blitt registrert rundt 4000 domener relatert til koronaviruset siden januar, og disse domenene har 50 prosent høyere sannsynlighet for å være ondsinnede enn andre domener registrert samme tidsrom.
6. Du bør forsikre deg om at du bestiller varer fra en autentisk kilde. En måte å gjøre dette på er å ikke klikke på kampanjekoblinger i e-postmeldinger, og i stedet Google din ønskede forhandler og klikke på lenken fra Googles resultatside.
7. Vær forsiktig med lignende domener, stavefeil i e-post eller nettsteder og ukjente e-avsendere.
8. Dersom du får e-post fra en tilsynelatende kjent avsender og du blir bedt om å følge en link, kan du i stedet gå direkte til avsenderens hjemmeside, logge deg inn derfra og forsøke å finne igjen informasjonen som de sendte i e-posten.
9. Sørg for at du har ulike brukernavn og passord på alle nettsteder og applikasjoner som du benytter, og bruk multifaktorautentisering alle steder hvor dette er mulig.
Et eksempel på et angrepsforsøk, der avsender tilsynelatende er kjent, kan starte med at du mottar en e-post som ser ut som den kommer fra det flyselskapet du ofte bruker, og de tilbyr deg å avbestille sommerens flybilletter, som ikke har avbestillingsmulighet, og få pengene tilbake ved å følge en lenke og logge deg inn med ditt brukernavn og passord. Dette kan godt være en «fake» nettside som er på jakt etter din påloggingsinformasjon. Dersom du bruker samme påloggingsinformasjon til flyselskapet som du benytter til mange nettsteder og også kanskje til din arbeidsplass så kan dette gi angriperen store muligheter både til å angripe din arbeidsplass og overta din identitet.
