– Svindler kan unngås med de riktige rutinene og opplæring av ansatte, sier it-ingeniør og sikkerhetsspesialist Marit Tokle i it-konsulentselskapet Sopra Steria.

Onsdag sto det statlige investeringsfondet Norfund frem og fortalte at de hadde mistet 100 millioner kroner i en såkalt Business Email Compromise (BEC).

– De greide å komme på innsiden av våre systemer over lang tid. De gjorde seg godt kjent med hvordan vi kommuniserte. De manipulerte og forfalsket informasjonsutvekslingen, sa Norfund-direktør Tellef Thorleifsson på en pressekonferanse onsdag ettermiddag.

BEC-svindler kategoriseres som svindler og bedrageri innenfor direktørbedrageri, falske fakturaer og kompromitterte epostkontoer.

– Alle kan bli lurt

Tokle peker på to grep som kan hindre denne typen svindler: Den ene er å innføre tekniske løsninger, som for eksempel tofaktor-autentisering.

Tofaktor-autentisering betyr at innlogging på en plattform krever to former for identifisering. I tillegg til pålogging med passord kan det for eksempel være en kode som blir sendt på sms.

– Den andre måten er å prøve å lære opp ansatte til å hindre å bli lurt. Det er kanskje litt gammeldags, men det handler om å prøve å se etter skrivefeil. Selvsagt er det sånn, at i et mer profesjonelt angrep vil ikke det være så lett å se, sier Tokle.

Tokle opplyser at det er viktig å skille mellom hackerangrep og phishing. Et phishingangrep er en typisk svindelmåte hvor en person mottar en forfalsket epost, eller blir bedt om å klikke seg inn på en falsk nettside. Svindelen Norfund ble utsatt for, er resultatet av et phishingangrep.

– Ofte er det vi som brukere som burde ha hatt flere sikkerhetsmekanismer, så vi ikke hadde trengt å bekymre oss. Alle kan bli lurt hvis det er rett tidspunkt, sier Tokle, som forteller at svindlere kan prøve å stresse folk med eposter hvor det for eksempel står «svar på dette fortest mulig».

Lett å utføre

Tokle holdt et foredrag på en antisvindelkonferanse og ville presentere hvordan phishingangrep utføres. Det hun gjorde var å lage en falsk DNB-nettside og kopiere en epost fra DNB.

– Jeg hadde selvsagt fått tillatelse fra DNB til å gjøre dette. Men jeg synes det var litt kjedelig, fordi det ikke var teknisk nok. Du trenger veldig lite teknisk erfaring for å utføre et phishingangrep, sier Tokle.

Terje Aleksander Fjeldvær i DNBs Cyber Crime Center beskrev angrepet mot Norfund som sofistikert og avansert.

– Modusen deres er godt kjent. Dette er et alvorlig, avansert og sofistikert angrep, sa Fjeldvær onsdag da svindelen ble kjent.

Ifølge Tokle er epost som kommunikasjonskanal spesielt sårbart for angrep.

– Teknisk sett er hovedproblemet at de aller fleste sender epost i klartekst. Det si vil at det ikke brukes noe kryptering ved sending eller mekanisme for å se epostens legitimitet. Ellers er det et problem med epost at ingen kan hindre andre fra å utgi seg for å være deg, sier Tokle.

Hun forteller om sikkerhetsløsningen DKIM. Det er en epost-autentiseringsmetode som brukes for å oppdage forfalskede avsenderadresser.

– Jeg har sett det blir brukt av noen, men hovedsakelig de som har sikkerhetsfokus. Det er også andre tekniske måter å få mer sikkerhet, men man kan likevel ikke hindre at noen utgir seg for å være deg. Man kan for eksempel enkelt endre «avsender»-feltet, det har ikke nødvendigvis en sammenheng med faktisk avsender, sier Tokle.

Tester ansatte

Informasjonssikkerhetsdirektør Tore Orderløkken i Posten mener Nordfund-saken vil være en vekker for mange bedrifter.

– Jeg tror alle virksomheter har vært utsatt for forsøk på epostsvindel. Phishingforsøk skjer hele tiden. Det som derimot er det fine her, er at mesteparten blir sperret i det bedriften har satt opp av filtreringssystemer, sier Orderløkken.

Orderløkken forteller at omtrent 90 prosent av all epost som kommer inn er uønsket og blir filtrert ut. Han understreker likevel hvor viktig det er med tofaktor-autentisering for epostsystemer.

– Brukernavn og passord vil alltid komme på avveie – så ille er det. Men det finnes løsninger. Det finnes tjenester hvor man kun bruker brukernavn og passord, dette er ikke godt nok. Anbefalingen er å ha tofaktor-autentisering.

Posten, som mange andre virksomheter, har opplevd svindelforsøk via epost, ifølge Orderløkken. Han forteller at de regelmessig tester ansatte ved å sende falske eposter for å sjekke hvordan de responderer.

– De får en opplæring i etterkant, sier han.

To norske selskaper har tapt til sammen 130 millioner kroner på e-postsvindel

Ser en dramatisk økning

Tirsdag kom DNB med sin årlige trusselrapport. I rapporten fremheves BEC-svindler som den største bedrageritrusselen for bankens bedriftskunder.

«Andre halvdel av 2019 så vi en dramatisk økning i angrep mot store bedrifter hvor angrepssummen ofte var over 10.000.000 NOK,» står det i trusselvurderingen.

I samme trusselrapport peker DNB på kriminelle i et spesifikt land som gjennomfører sofistikerte former for epostsvindel.

«Det er sannsynlig at disse angrepene med betydelig høyere angrepssum gjennomføres av langt mer sofistikerte grupperinger med tilknytning til og tilstedeværelse i Israel», skriver DNB i rapporten.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.