En fredag i mars i år fikk Haakon Gellein en epost fra en kunde som oppfordret ham til å klikke på en lenke som ville gi ham tilgang til en PDF-fil. Eposten var skrevet på norsk og henviste til fildelingstjenesten Smartfile.com.

– Jeg ble likevel litt skeptisk fordi dette var utenfor normalen og ventet ikke en slik epost fra den kontakten. Jeg spurte it-avdelingen som sa jeg burde ringe og spørre avsender om eposten var reell, sier Haakon Gellein, daglig leder i ledernettverket EGN Norge.

Les også: Hackere lammet Hydro med løsepengevirus dnPlus

Gellein fikk ikke svar på telefon, men sendte en epost til avsender. Han fikk raskt svar om at eposten var reell og at det bare var å trykke på lenken.

– Dessverre var denne eposten skrevet av hackeren, sier Gellein.

Faksimile: Slik så eposten Gellein mottok ut. Samme type epost har nå spredt seg videre i Norge.
Faksimile: Slik så eposten Gellein mottok ut. Samme type epost har nå spredt seg videre i Norge. (Foto: Skjermbilde)

Handlet for 200.000

Kort tid senere snakket Gellein med finansdirektøren i selskapet sitt. Finansdirektøren spurte hvorfor han hadde bestilt «de 20 pc-ene fra en nettbutikk i Nederland».

– Jeg skjønte ingenting og svarte at det kjente jeg ikke til. Kollegaen min sa at da han hadde sendt meg epost for å spørre om regningen skulle betales, hadde jeg svart ja. Nok en gang hadde hackerne kapret en epost og svart i mitt sted, sier Gellein.

Gellein og finansdirektøren fikk stoppet handelen, politianmeldte svindelen, varslet Datatilsynet om avvik og oppsøkte hjelp hos sikkerhetsselskapet Watchcom.

Anette Roll Richardsen, daglig leder i Watchcom.
Anette Roll Richardsen, daglig leder i Watchcom. (Foto: Watchcom)

– Gellein har gjort mye riktig, men det skar seg da han brukte epost til å verifisere om eposten var reell. For oss ser dette ut som et ganske vanlig phishingangrep, men det at svindlerne også har tilgang til ofrenes epost er ikke så vanlig, sier Anette Roll Richardsen, administrerende direktør i Watchcom as, som understreker at muntlig bekreftelse fra avsender er den eneste sikre verifiseringen.

Les også: Slår alarm om cyberkriminalitet: – Et stort, stort problem

Å lure noen til å klikke på en lenke er den vanligste fremgangsmåten i slike id-tyveri-angrep, også kalt phishing.

– Det finnes jo gode grunner til å bruke fildelingstjenester i noen tilfeller og det finnes flere seriøse aktører, men det betyr likevel ikke at filene alltid er fri for skadevare. Man bør uansett være ekstra aktsom når man får tilsendt filer på denne måten, sier Richardsen.

Watchcom har ikke gjort en fullstendig analyse av angrepet. Filen som Gellein ble lurt til å laste ned er fjernet, så analytikerne får ikke kommet til bunns i hva slags virus som har vært brukt.

– Vi foretar vanligvis en full sikkerhetsrevisjon hos kunden i slike tilfeller. Det er nødvendig for å kartlegge omfanget av angrepet og om viruset kan ha åpnet flere bakdører som kan utnyttes senere, sier Richardsen.

Ønsker å dele

Gellein og EGN Norge slapp å betale for de 20 pc-ene som hackerne hadde bestilt og vil ikke lide noe stort økonomisk tap som følge av angrepet. Men erfaringen ønsker han å dele.

– Jeg tenkte at dette må jeg fortelle om, ikke pokker om svindlerne skal få «shame» meg til stillhet. Formålet til selskapet jeg jobber i, er jo å «gjøre hverandre bedre», så jeg har sendt ut epost til alle mine kontakter og fortalt dem om angrepet og advart dem mot å åpne epost fra meg, sier Gellein.

Les også: Så enkelt kapret vi Sophie Elises mobilnummer magasinetPlus

Flere kontakter har meldt tilbake at de har fått den samme eposten med den samme lenken fra Gellein.

– Responsen er støttende og positiv. Et par kontakter har til og med innrømmet at de selv har klikket på lenken, til tross for at de er teknisk kyndige folk. Åpenheten har ikke hatt noen negative følger for hverken meg eller bedriften, tvert imot har vi kunnet bidra til å begrense spredningen av svindelen. Hadde det kommet frem senere at jeg hadde feid noe slikt under teppet, ville nok konsekvensene blitt verre, sier Gellein.

Vis alle stillinger

Watchcom anbefaler alle bedrifter som opplever cyberkriminalitet til å være åpne.

– Cyberkriminelle har veldig liten risiko for å bli tatt. De kommer ikke til å stoppe angrepene sine, spesielt ikke så lenge de virker. Derfor er det helt avgjørende å varsle og være åpne i slike tilfeller. På den måten kan vi dra lærdom av hendelsen, og sammen hjelpe hverandre å stoppe denne typen angrep, sier Richardsen.

– Hadde denne svindelen gått gjennom, ville nær en tredjedel av driftsresultatet vårt vært skrapet vekk. Jeg tenker at dette er alvorlig for andre også, siden de fleste virksomhetene i Norge er små og mellomstore selskaper som oss, sier Gellein.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.