Det svakeste leddet i IT-sikkerhet er brukerne

Det er ikke lenger like enkelt for svindlerne å angripe IT-systemer. Derfor angriper svindlerne i større grad oss mennesker. Vi er blitt det svake leddet i IT-sikkerhet.

Eivind Gjemdal. Foto.
Vi er blitt det svake leddet i IT-sikkerhet, sier Eivind Gjemdal i Bits

Med stadig større fokus på implementering av programvare og systemer som skal beskytte oss mot «the bad guys» i en verden der alt og alle er sammenvevd, blir det vanskeligere for svindlere å bryte seg gjennom våre forsvarsverk.

Men for all del - det er på ingen måte umulig og tradisjonell hacking og trojanervirksomhet vil være et problem i overskuelig fremtid. De destruktive kreftene har enorme ressurser og kan kjøpe omtrent samme kompetanse som de gode kreftene.

Men økt fokus på teknisk IT-sikkerhet i finansnæringen, har ført til at svindlerne som før benyttet seg av tekniske metoder for å svindle til seg penger, nå retter sitt fokus mot det som fremstår som det svakeste leddet, nemlig oss mennesker gjennom sosial manipulering.

Direktørsvindel

En slik type angrep er direktørsvindel. Den retter seg mot personer i bedrifter med rett til å betale ut penger fra bedriftens konto. Det siste året har denne svindelformen hatt en økende tendens.

Dette er en svindelmetode som tar i bruk flere virkemidler for sosial manipulering for å lure ansatte med økonomiansvar i mellomstore og store bedrifter til å betale pengebeløp ut av virksomhetens konto. Svindleren utgir seg for å være en leder eller administrerende direktør i virksomheten, og har gjennom sosiale medier og bedriftens nettsider innhentet informasjon som benyttes til å manipulere ansatte.

– Det å lage en mail eller en SMS som ser ut som den kommer fra administrerende direktør er enkelt, og om man lykkes med svindelen avhenger ofte av hvor god informasjon man har om interne forhold og de enkelte avtaler bedriften er involvert i, sier Eivind Gjemdal, administrerende direktør i Bits, bankenes infrastrukturselskap.

Betalingsforespørselen formidles gjennom e-post eller SMS, ofte som «hasteoppdrag» av stor betydning som ikke kan gjennomføres uten e-postmottakers umiddelbare hjelp.

Typisk eksempel på direktørsvindel gjennomføres ved å lete frem organisasjonskart som avslører nettverket til direktør og hvem som utfører betalinger. Dersom svindleren i tillegg kan hente personlig informasjon om direktør via sosiale medier, f.eks. at hun/han befinner seg på hytta, ferie eller på reise, kan en betalingsforespørsel enkelt gjøres mer troverdig.

Grundig kartlegging av ofre

For å identifisere offeret benytter svindleren seg også av kartlegging av virksomhetens nettsider, undersøkelse i arbeidsoppgaver og sosiale medier. Svindleren henvender seg ved denne metoden til én eller få ansatte, etter å ha foretatt undersøkelser på forhånd om bedriftens leder, som vil forsterke troverdigheten bak betalingsforespørselen. Saken kan gjerne også være konfidensiell. Konsekvensen er at ansatte tilsidesetter viktige kontrollsystemer i tro om at de handler i henhold til instruks fra leder.

– Selv om mange slike svindelforsøk er ganske lette å gjennomskue, ser vi eksempler på at svindlernes etterretningsvirksomhet må være raffinerte fordi de har detaljert dybdeinformasjon. Det kan bety bruk av mennesker på innsiden av bedriften, sier Gjemdal.

Svindlerne henvender seg som regel på epost til den som skal iverksette en utbetaling. Svindleren er avhengig av at epostadressen som benyttes fremstår som ekte og ved hjelp av relativt enkle tekniske midler kan en svindler sende mail til finansdirektøren slik at mailen fremstår som en mail sendt fra administrerende direktør.

Stort og økende omfang

Omfanget av direktørsvindel er økende. Bankene har rapportert til Bits at bedriftskunder i 2016 har tapt 294 millioner på direktørsvindel i Norge. Det er også eksempel på at 500 millioner kroner ble forsøkt svindlet med denne metoden, hvor svindlerne til slutt kom unna med ca. 100 millioner.

I mørketallsundersøkelsen til Næringslivets Sikkerhetsråd 2016 fremkommer det at i perioden juni til august 2016 har NSM NorCERT blitt varslet av 45 virksomheter som hadde blitt utsatt for direktørsvindel. Dette er etter all sannsynlighet bare toppen av isfjellet, både hva gjelder antall hendelser og faktiske tap.

Tap i millionklassen

På internasjonalt nivå er direktørsvindel et omfattende problem som medfører tap i millionklassen for store og mellomstore aktører. Europol rapporterte i Internet Organised Crime Threat Assessment (IOACTA) 2016 at Direktørsvindel anses som en «key threat» innen sosial manipulering.
FBI meddelte tidligere i 2016 at 2.3 milliarder dollar var gått tapt i direktørsvindel internasjonalt de tre siste årene. De meddeler i tillegg at svindelmetoden har over 12.000 ofre på verdensbasis med et gjennomsnitt på 120 tusen dollar i tap.

Omdømmetap

Ved siden av de økonomiske konsekvensene for bedriften, som kan være store, vil slik svindel kunne påføre bedriften omdømmetap og det kan bety store personlige konsekvenser for den ansatte som lures.

– Direktørsvindel lykkes først og fremst på grunn av menneskelige feil. Menneskelige feil er vanskelig å beskytte bedriften mot, med mindre det implementeres interne rutiner som ikke skal eller kan fravikes. Dersom bedrifter er opplyst om fremgangsmåter og kjennetegn ved denne typen svindel, er det lettere for bedrifter å innføre rutiner som kan forebygge og avverge direktørsvindel, avslutter Eivind Gjemdal i Bits.

Slik forhindrer du svindelen

Kjennetegnene på direktørsvindel er flere. Svindlerne gjør det de kan for å få en forespørsel til å virke så ekte som mulig. Det benyttes avsendere med høy autoritet, saken er konfidensiell, og det fremstilles ofte som om det står mye på spill hvis man ikke gjennomfører betalingen i tide. 

Som for annen e-post svindel så er det enkelte kjennetegn man kan se etter:

• Endring av beløp og betalingsmottaker i siste øyeblikk

• Betalinger med svært høye beløp og som haster

• Betalinger til banker eller selskaper i andre land

• Språklige feil

• Henvisning til at transaksjonen er svært viktig for virksomheten, at det er en konfidensiell transaksjon

• Vedkommende leder som meldingen kommer fra er gjerne på reise og ikke mulig å komme i kontakt med før betalingsfristen

Generelle råd for å forebygge direktørsvindel i virksomheter

• Innfør dobbelt signering for alle utbetalinger

• Identifiser alle prosesser som kan være en innfallsport for slik svindel

• Sørg for at det er en åpen kultur i bedriften der det er lov til å stille spørsmål

• Opprett en policy for bruk av sosiale media for de ansatte

• Vær forsiktig med å åpne epost fra ukjente avsendere

• Sørg for at det er fornuftig administrasjon av brukerrettigheter og autorisasjonskontroll

• Oppfordre medarbeiderne til å bruke sunn fornuft

– Direktørsvindel lykkes først og fremst på grunn av menneskelige feil. Menneskelige feil er vanskelig å beskytte bedriften mot.

Eivind Gjemdal

adm.direktør i Bits, bankenes infrastrukturselskap

Oktober: Sikkerhetsmåneden 2017

•For syvende år på rad arrangerer Norsis den nasjonale sikkerhetsmåneden i oktober. Målet er gjennom økt kunnskap å skape en tryggere digital hverdag for oss alle som leder til økt verdiskapning og velferd. 

•Finansnæringen er en av støttespillerne i dette arbeidet. Penger er i hovedsak blitt digitale. Fordi vi er gitt tilliten til å forvalte folkets midler og håndtere de aller fleste av de flere milliarder betalingstransaksjonene som gjennomføres årlig, er IT-sikkerhet et tema høyt opp på vår agenda. 

•Finansnæringen mener det er bra at vi jevnlig gjennomfører en nasjonal dugnad for å øke bevisstheten og kunnskapsnivået hos oss alle. Særlig fordi IT-sikkerhet blir stadig bedre og svindlerne nå i større grad angriper oss mennesker som blir det svakeste leddet i sikkehetskjeden. 

•Finansnæringen vil denne måneden sette særlig direktørsvindel og ID-tyveri på dagsorden.  

Beskytt data med 1-2-3 regelen

Cloud computing. Illustrasjonsbilde.
Lagre alltid på flere steder. Foto: Shutterstock.

Hvis du lagrer 1 fil, på 2 fysiske steder på til sammen 3 forskjellige enheter, er du godt sikret mot å miste verdifull digital informasjon. Alternativet kan bli dyrt. 

ID-tyveri kan være ødeleggende

Hånd som kommer ut gjennom pc-en og stjeler bankkortet ditt. Foto.
Foto: Shutterstock

Over 150.000 nordmenn har fått Id-en sin stjålet. For mange av dem har det betydd at de i årevis har måttet løpe etter svindlerne og ryddet opp i det økonomiske kaoset de er blitt påført. Det kan være ødeleggende.