Cyberkriminaliteten er blevet personlig
Det er ikke virksomhedens IT-systemer, men medarbejderne, der nu er hackernes foretrukne mål. Det viser ny Cybercrime analyse fra PwC.
Selvom næsten to ud af tre danske virksomheder er blevet angrebet indenfor de seneste 12 måneder, er det ikke længere virksomhedens firewall og spamfilter, som de it-kriminelle forsøger at bryde igennem. Hackerne går nu direkte efter det svageste leder i virksomhedens forsvar: Den enkelte medarbejder.
Det viser undersøgelsen “Cybercrime Survey 2020” af PwC, som også viser en stigning i antallet af sofistikerede og skræddersyede angreb. 79 procent af de angrebne virksomheder har blandt andet oplevet phising angreb i 2020 (mod 68 procent i 2019), hvor kriminelle har forsøgt at fiske passwords og personlige oplysninger ud af medarbejderne.
“Det er ikke længere en eller anden russisk teenager, der forsøger at hacke dine it-systemer. Det er professionelle kriminelle, der på perfekt dansk forsøger at overbevise dine medarbejdere til at åbne links, downloade filer eller overføre penge ved at sende dig mails med links til virus, jobansøgninger fyldt med malware eller ved at udgive sig for at være din chef”. Det fortæller Klaus Kongsted, CRO i sikkerhedsvirksomheden Dubex, og medlem af IT-branchens IT-sikkerhedsudvalg.
Stol ikke på chefen
Ifølge Politiet bliver danske virksomheder for tiden ramt af svindel, hvor især regnskabsmedarbejdere modtager en e-mail fra en, der udgiver sig for at være vedkommendes chef. Chefen (svindleren) beder medarbejderen om hurtigst muligt at købe et gavekort til f.eks. iTunes eller Steam og sende koderne til ham, så gavekortene kan indløses.
Et mere sofistikeret eksempel på CEO-fraud, var en hacker, der gennem et målrettet phisingangreb fik adgang til en dansk direktørs mail login, så angriberen kunne sende direktørens mails videre til en ekstern anonym webmail. Fra den pågældende webmail kunne hackeren så holde øje med alle bestillinger og efterfølgende betalinger fra virksomheden.
Derefter oprettede angriberen et næsten identisk domænenavn med virksomhedens, og kunne ved brug af dette, og med adgangen til direktørens mailkonto, begynde at skrive i direktørens og virksomhedens navn. Fra en falsk bogholderiadresse med det let forfalskede domænenavn, kunne angriberen nu kommunikere direkte til og fra underleverandøren, og sende en større faktura på den aftalte leverance, naturligvis med betalingsinformationer, der gik til angriberen.
”I det her tilfælde kendte direktøren og underleverandøren heldigvis hinanden så godt, at leverandøren blev mistænksom over de store millionbeløb og korrespondancen generelt. Derefter kontaktede de os, som så kunne optrævle og stoppe den IT-kriminelles planer”, udtaler Klaus Kongsted.
Der er dog ifølge Klaus Kongsted ingen tvivl om, at man ser langt flere personlige angreb mod den enkelte direktør og medarbejder i fremtiden, og han har derfor følgende tre råd til at undgå det personlige cyberangreb:
Ring til chefen – også i weekenden. Hvis du modtager en mærkelig mail eller sms, hvor din chef beder dig overføre penge, købe gavekort eller lignende, er det altid en god ide at ringe til vedkommende for at høre, om det nu kan være rigtigt.
No! Don’t click on the link. Lad være med at klikke på links i tvivlsomme eller mærkelige e-mails (phishing) eller sms’er (smishing), hvor man beder om personlige oplysninger. Tjek f.eks. om afsendernavnet og mailadressen stemmer overens. Gør de ikke det, er der muligvis noget galt.
Vær på vagt overfor vedhæftede filer. Kør altid en virusscanner inden du åbner f.eks. jobansøgninger, klager fra kunder eller fakturaer fra leverandører. Mange dokumenter, videoer og billeder kan have virus og malware tilknyttet, så der bliver installeret hackersoftware og bagdøre, hvis du bare åbner disse filer.