Over 40 Telenorbutikker angrepet – slik gjennomskuet Safi hackeren
Da Safi Hussain ble oppringt på jobb i Telenorbutikken, trodde han først at han snakket med en kollega. Så skjønte han at noe ikke stemte. I kulissene jobbet Telenor allerede med å spore angrepet.
Den 3. januar blir Telenorbutikken på Stovner oppringt fra et svensk telefonnummer.
Stemmen i den andre enden tilhører en ung norsk mann som sier han ringer fra Telenors IT-support. Grunnen til at han tar kontakt, er printeren butikken har hatt problemer med den siste tiden.
Rundt samme tid blir over 40 Telenorbutikker oppringt fra det samme nummeret. Det hele er et systematisk angrep, der målet er å få tilgang til Telenors datasystemer ved hjelp av phishing og sosial manipulasjon.
– Shit! Hva har jeg gjort?!
Angrepet mot Telenorbutikkene føyer seg inn i rekken av phishing-angrep, der gjerningspersonen forsøker å få tak i sensitiv informasjon ved hjelp av en falsk nettside eller en applikasjon som kalles AnyDesk.
Denne gangen snakket gjerningspersonen i tillegg flytende norsk.
– Jeg stusset over at personen ringte fra et svensk nummer, siden han åpenbart var norsk. Samtidig virket det logisk at noen fra support tok kontakt, forteller Safi Hussain som var alene på jobb da telefonen ringte.
Safi hadde selv meldt fra til sjefen om at printeren ved den ene kassa ikke fungerte som den skulle. Han var derfor overbevist om at han visste hva anropet dreide seg om.
Ti minutter senere skjønte han imidlertid at han hadde blitt lurt.
– Med en gang tenker man jo selvfølgelig «shit! hva har jeg gjort?!» Jeg har hørt om andre bedrifter som har blitt hacket, men så ikke for meg at gjerningsmennene var så proffe.
Slik foregikk svindelforsøket: Falsk nettside og AnyDesk
Etter å ha presentert seg, forklarer mannen på telefonen at trøbbelet med printeren skyldes en nettverksfeil. For å løse problemet trenger han tilgang til butikkens systemer og ber Safi om å åpne en nettside: Billett-Telenor.com
Nettsiden ser identisk ut som en global Telenor-side, men er falsk.
På nettsiden må Safi logge inn med brukernavn og passord til Telenors systemer – noe han ikke har, ettersom Telenorbutikken kjører sitt eget nettverk uavhengig av Telenor sitt.
Mannen ber da Safi om å laste ned AnyDesk, så han kan hjelpe til med innloggingen.
– Jeg kjente til AnyDesk fra før, og visste at det er et verktøy som gjør det mulig å fjernstyre én PC fra en annen. Siden dette var en person fra Telenor, tenkte jeg at det var trygt å la ham få tilgang, sier Safi.
Så begynner ting å skurre.
Først legger Safi merke til at nettleseren varsler om at URL-en han er inne på, er usikker. Så oppdager han at noen har opprettet et nytt skrivebord på PC-en, som ligger skjult bak nettleseren han har oppe.
Det er åpenbart at mannen i den andre enden holder på med noe annet enn det han sier. Når Safi i tillegg blir bedt om å la AnyDesk stå på over natten, skjønner han at butikken kan være under angrep.
– Da det gikk opp for meg hva som skjedde, gikk jeg rett inn og avinstallerte applikasjonen, slettet filen og skrudde av PC-en. Etterpå ringte jeg til driftslederen min og fortalte hva som hadde skjedd. Nå er jeg bare glad for at jeg gjennomskuet ham i tide, forteller Safi.
Visste om angrepet før telefonen ringte
Mens Safi pratet med svindleren på telefonen, var Telenor allerede i full gang med å spore angrepene mot Telenorbutikkene. En forhandler i Bergen hadde tidlig varslet om et phishing-forsøk der svindlerne utga seg for å være fra Telenors IT-support.
– Da vi mottok det første tipset, satte vi umiddelbart i gang en gransking for å kartlegge omfanget av saken, sier Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor.
Det svenske telefonnummeret viste seg å være et reelt nummer tilkoblet en Skype-konto.
At det ble brukt et svensk nummer kan være et signal om at aktørene forsøker å gå nye veier, etter at Telenor i 2022 innførte en sperre som forhindrer misbruk av norske fastnettnumre ved hjelp av såkalt spoofing, mener Busch.
– Mange bedrifter har sterke forbindelser til Sverige, så et svensk nummer innbyr ofte til tillit. Men når anropet kommer fra Sverige, betyr det også at man må gå etter de kriminelle i utlandet – noe som gjør det mer utfordrende å granske angrepet.
Etter et omfattende søk i trafikkdata på det svenske nummeret, kunne sikkerhetsteamet raskt se hvilke andre Telenorbutikker som allerede hadde blitt utsatt for phishing-angrepet.
– Etter å ha pratet med noen av forhandlerne, fikk teamet mistanke om at gjerningspersonene forsøkte å få tilgang til Telenors overordnede datasystemer via Telenorbutikkene – noe som heldigvis ikke er mulig, forklarer Busch.
– Her har trolig første mål vært å samle inn brukernavn og passord på den falske nettsiden. Når det ikke lyktes, har steg to vært å få tilgang til bedriftens PC via AnyDesk.
Målet kan ha vært kontroll over mobilnumre
Hva det endelige målet med angrepet er, er ennå usikkert - men det er ingen tvil om at de kriminelle kan utnytte en slik tilgang til en rekke kriminelle formål, der målet stort sett er å tjene penger.
Et potensielt mål kan ha vært såkalt SIM-swap.
Dette kan i verste fall bli brukt for å skaffe seg tilgang til offerets kontoer – for eksempel e-post eller kryptolommebøker – ved å nullstille passord eller motta koder for totrinnsverifisering over SMS.
– Dette er ikke bare en trussel for private, men også bedrifter – der full tilgang på telefonsamtaler og SMS-er til en ansatt kan åpne dørene videre for spionasje, direktørsvindel eller andre typer angrep mot en virksomhet, sier Busch.
– En teori er at gjerningspersonen var på jakt etter kundelister for å få kontroll over mobilnumrene til dem som eier nummeret, sier Busch.
– Åpenhet avgjørende for å avdekke svindel
På Stovner er Safi og daglig leder Roy Malterud glade for at Telenor var raskt på ballen, og at de tidlig fikk svar på hva som faktisk hadde skjedd.
– Før vi rakk å melde fra til Telenor, tok de kontakt med oss. Da fikk vi vite at de allerede jobbet med å granske det som hadde skjedd. Selv om det føles skremmende å bli utsatt for noe sånt, er det også betryggende å vite at Telenor følger nøye med, sier Malterud.
Busch forteller at saken ble overlevert til politiet, og han hyller de andre ansatte i Telenorbutikkene for rapporteringen og åpenheten rundt svindelforsøket.
– Selv om anmeldelser ikke alltid fører til noen pågripelse, gir det politiet viktige etterretningsopplysninger som kan komme til nytte ved en senere anledning.
– For å kunne granske slike saker, er vi også helt avhengige av at ansatte og ledere sier ifra når de oppdager noe mistenkelig eller frykter at de kan ha blitt lurt. Når vi rekker å gjøre en grundig granskning selv, øker sjansen for at politiet kan gjøre en pågripelse.
Men hvordan kunne egentlig svindlerne vite at printeren på Stovner ikke virket?
– Dessverre er nok det en gambling med lav risiko, uansett hvilken bedrift du ringer, sier Busch, og legger til:
– For hvem har vel egentlig ikke en printer det er noe trøbbel med?
