Slik forsøkte trusselaktører å rekruttere Telenor-ansatte

Forespørselen om å tukle med SIM-kort mot betaling gikk samtidig ut til flere ansatte i Telenorbutikken og Telenors kundeservice flere steder i Norge.

– Hadde bakmennene fått napp, kunne de i praksis fått full kontroll over mobilnummeret til den som egentlig eier nummeret, sier Busch.

Han forklarer hvordan dette videre kunne blitt brukt for å skaffe seg tilgang til offerets kontoer – for eksempel e-post eller kryptolommebøker – ved å nullstille passord eller motta koder for totrinnsverifisering over SMS.

– Dette er ikke bare en potensiell trussel for private, men også bedrifter – der full tilgang på telefonsamtaler og SMS-er til en ansatt kan åpne dørene videre for spionasje, direktørsvindel eller andre typer angrep mot en virksomhet, sier Busch.

– Uansett kan skadeomfanget være enormt for offeret og gevinsten tilsvarende stor for trusselaktørene, i tillegg til at Telenor hadde risikert et kraftig omdømmetap, sier Busch.

Det er nær umulig for uvedkommende å tukle med SIM-kort via teknisk manipulasjon utenfra. Da er det, som disse tilfellene viser, langt «enklere» å forsøke å manipulere og rekruttere ansatte som allerede har slike tilganger gjennom arbeidet sitt.

– Det begynte med at de ansatte fikk en kontaktforespørsel via LinkedIn, der de hadde oppgitt at de jobbet i Telenorbutikken, forklarer Busch.

Forespørselen kom fra en for dem ukjent person som tilsynelatende også jobbet i Telenor – en stor organisasjon med mange ansatte – og ble derfor godkjent uten videre ettertanke.

– Like etter kom SIM-forespørselen til de ansattes private e-postadresse, som bakmennene mest sannsynlig har hentet ut fra LinkedIn. Her er det altså blitt jobbet målrettet og spesifikt, med ett mål for øye: Å skaffe seg noen på innsiden, som kan gjøre en jobb for dem, sier Busch.

Hvem som sto bak forsøkene på rekruttering, og hva de ønsket å oppnå med de forfalskede SIM-kortene, er fortsatt uvisst.

– Saken ble tatt videre av Europol, da alle spor førte ut av landet. Det er ikke utenkelig at vi snakker om organiserte kriminelle her, potensielt med bindinger til statlige aktører. Dette viser bare hvordan alle ledd i en stor organisasjon kan være et mål i seg selv – og at selv det å rekruttere ansatte på et «lavt» nivå kan være attraktivt for mange typer trusselaktører, og føre til stor skade for virksomheten, sier Busch og legger til:

– Disse kjente hendelsene er nok bare toppen av isfjellet, og vi mistenker at det er store mørketall når det kommer til omfang av innsidevirksomhet her til lands. Og med en økende internasjonal spenning, vil vi også trolig se en ytterligere økning av statlige aktører som benytter seg av disse metodene.

Ifølge Busch er det en rekke grep man kan ta som leder for å redusere risikoen for innsidetrusler – blant annet å gjennomføre bakgrunnssjekker for nye ansatte, samt å øke bevisstheten rundt sikkerhet og farene for innsidevirksomhet hos alle i virksomheten.

– Men det er også viktig at du som leder er bevisst på hvordan de ansatte har det. Vi vet at enkelte i mer sårbare situasjoner kan være lettere å rekruttere som innsidere – og dette er noe man bør være obs på ikke bare i medarbeidersamtaler, men også ellers, sier Busch.

– Har du fornøyde ansatte som har en bevissthet rundt innsidetrusler og samtidig vet hva de skal gjøre om noen forsøker seg på dem, er du allerede langt på vei.

Og hvordan gikk det så med de Telenor-ansatte som ble tilbudt penger i bytte mot en tilsynelatende enkel SIM-svindel?

De varslet umiddelbart sine nærmeste ledere, som kunne varsle resten av organisasjonen – inkludert sikkerhetsavdelingen, som etterhvert kunne slå fast at trusselaktørene ikke hadde lyktes med å lure noen utpå.

– Her viste det seg hvor viktig det var med gode rutiner – og ikke minst årvåkne og lojale ansatte, sier Busch.

Et godt råd er å sette seg inn i hvordan virksomheten kan redusere risikoen for innsidevirksomhet