Svindelforsøket startet idet en ansatt i it-selskapet Atea, ved et av kontorene utenfor Norge, mottok en epost fra en kjent kontakt. Siden den ansatte kjente igjen kontakten åpnet vedkommende linken og logget seg på en falsk side som var laget for å stjele til seg innloggingsdetaljer.
Eposten var i realiteten sendt fra en hacker som med det fikk opplysninger og kontroll over den Atea-ansattes epost.
Brukte Skype
Innloggingsdetaljene ga hackeren en mulighet til å starte en Skype-samtale med en av direktørene i konsernet fra den ansattes bruker. Her forsøkte hackeren å få direktøren til å åpne vedlegg og logge seg på ulike sider.
– Angriperen brukte brukeren til den ansatte i et forsøk på å lure direktøren til å utføre betalinger via økonomiavdelingen ved hjelp av en «CEO-scam», forteller it-sikkerhetssjef Thomas Tømmernes i Atea.
Direktørsvindel, eller såkalt CEO-scam, går ut på at hackeren utgir seg for å være direktør i et selskap og sender epost med falsk informasjon til de ansatte for å få disse til å utføre oppgaver hackeren ønsker.
Tømmernes forteller at angriperens mål denne gangen var å få kontroll over direktørens epost og brukerkonto, for så i neste runde å bruke denne til å få økonomiavdelingen til å utføre utbetalinger.
– Vi har gode rutiner for dette, så det ble meldt ifra om med én gang. Deretter sendte vi ut en advarsel til ledergruppen og økonomiavdelingene og fikk mange henvendelser om lignende forsøk, sier han.
Fjernstyrte bedriftens datamaskin
Tømmernes forteller at når hackere først har kommet inn i systemet, så har de ofte brukt lang tid på å kartlegge organet. Han viser til at angriperen ofte har opparbeidet seg informasjon om hvem i bedriften som sitter med mandat til å utføre utbetalinger, for eksempel ansatte i økonomiavdelingen.
– Angriperne kommuniserer med de ansatte og prøver å skape en tillit i epostene. Gjerne ved såkalt «namedropping» for å virke mest mulig intern. Det som er spesielt med dette tilfellet er at angriperen har klart å komme inn på den ansattes Skype-bruker, sier Tømmernes.
Vanligvis ser de epostangrep der hackeren utgir seg for å være direktør ved å opprette en falsk epostadresse. Denne gangen kom angrepet fra en ekte epost fra en av bedriftens datamaskiner som hackeren fjernstyrte.
– Vi jobber hele tiden med å utvikle rutinene våre på innsiden, for hackerne finner stadig nye metoder. Denne typen angrep er vi veldig bevisste på. De fleste angrep blir stoppet av verktøy, men det gjelder å være bevisste på at URL-adressene er riktige, og at browsere og e-postadresser kan være falske.
Tømmernes viser til at hvem som helst kan oppleve et hackerangrep, men hvis man ikke har gode rutiner for å fange det opp så kan det få alvorlige konsekvenser.
I løpet av det siste året har det vært flere tilfeller av CEO-svindel, der flere saker er blitt etterforsket. Når slike forsøk skjer har Atea et responsteam som håndterer det internt, og anmelder forholdet.
– Det er ofte vanskelig å ta en hacker, men vi jager dem unna og stenger hullet i gjerdet, sier Tømmernes.
Attraktive mål
Bedriftsledere er ofte attraktive mål for datasvindlere.
Ifølge Mørketallsundersøkelsen 2016 fra Næringslivets Sikkerhetsråd hadde 27 prosent av norske bedrifter uønskede sikkerhetsbrudd i løpet av 2016. Disse bruddene kan få store konsekvenser for en bedrift.
Bedriftsledere regner i snitt med å tape åtte millioner kroner eller 10,5 prosent av omsetningen etter et datainnbrudd viser en undersøkelse utført av det britiske analyseselskapet Vanson Bourne for NTT Security, som DN nylig omtalte.
Grunnen til at svindlerne går etter lederne er ofte at de sensitiv data tilgjengelig eller tilgang til systemer der informasjonen ligger.
Skjult hacking – eller spionasje – er en voksende type av datakriminalitet. I motsetning til løsepengevirus og hacktivisme er hensikten her å ikke gjøre direkte skade, men tilegne seg sensitive opplysninger over tid.
– Det overrasker meg ikke at man har suksess med denne typen hacking. Alle bedrifter, spesielt de store, må ha som strategisk utgangspunkt at de allerede er hacket uten å vite det, sa Sofie Nystrøm, direktør for Center for Cyber and Information Security ved NTNU Gjøvik, til DN.(Vilkår)