Slik angriper de deg

Ransomware har blitt en risiko for samfunnet

I løpet av det siste året har bruk av ransomware gått fra å være en fare for enkeltbedrifter til å bli en fare for samfunnet og liv og helse. Trusselaktører som driver profesjonell utpressing blir stadig proffere og størrelsen på løsepengekravene øker. Hvert døgn blir flere titalls bedrifter og statlige organisasjoner over hele verden rammet. Ifølge selskapet PurpleSec har den globale kostnaden av ransomware-angrep økt fra $8 milliarder i 2018 til $20 milliarder i 2020, mer enn $350 millioner i kryptovaluta ble utbetalt i form av løsepenger siste år.

Koronapandemien har ført til økt press mot helsevesenet. Aktører som benytter ransomware har gjort situasjonen enda verre ved å ramme flere sykehus og helseinstitusjoner, spesielt i USA og Storbritannia, med bortfall av tjenester og utsatte operasjoner som resultat. Mange universiteter har også blitt rammet, noe som har vært spesielt utfordrende når forelesninger hovedsakelig har vært basert på fjernundervisning.

Arbeidsprosessene til trusselaktører som bruker ransomware har blitt profesjonalisert og forenklet det siste året. Det finnes nå flere typer ransomware som kan kjøpes eller leies, slik at programmeringskunnskap ikke er nødvendig for å kunne dra nytte av handlemåten.

På det mørke nettet er det egne auksjonssider der såkalte access brokers tilbyr tilgangsinformasjon til tusenvis av virksomheter. Tilgangsinformasjonen auksjoneres bort til høystbydende. Her kan kjøperne søke på firmatype, antall ansatte eller omsetning. Det er ofte fjerntilgang til PCer eller servere internt i målvirksomhetene som selges slik at innbruddet ikke enkelt kan oppdages. Firmaet Digital Shadows opplyser at snittprisen for salg av en slik tilgang til en større virksomhet i starten av 2021 var på nesten $10.000 dollar. De forskjellige trusselaktørene har egne nettsider på det mørke nettet der de annonserer hvilke virksomheter de har brutt seg inn hos og legger ut smakebiter av informasjon de har tilegnet seg. Dersom de ikke mottar betaling, blir ofte all stjålen informasjon lagt ut gratis eller auksjonert bort.

Ransomware-aktører tjener milliarder av dollar på sin virksomhet. Dette fører til at de kan kjøpe detaljer om ferske svakheter i populære produkter. Tidligere ble slike svakheter først og fremst benyttet av nasjonalstater i etterretningsoperasjoner, nå havner denne farlige programvaren ofte i hendene på ransomware-aktører. I april 2021 ble for eksempel en fersk svakhet i brannmuren SonicWall brukt til å kryptere nettverket til flere bedrifter.

Tidligere var krypteringen av informasjon det viktigste pressmiddelet for trusselaktørene som benyttet ransomware. Dette har endret seg etter hvert som aktørene har forstått verdiene som ligger i selve informasjonen og at den kan kopieres og forberedes for salg før den krypteres. Ofte blir kunder av offeret kontaktet direkte av utpresserne. Kundene blir truet med at deres personlige data vil bli lekket dersom de ikke legger press på offeret for å betale løsepengene.

Det siste året har det blitt vanlig å kjøpe forsikring mot ransomware-hendelser. Slike forsikringer senker terskelen for å betale betraktelig, siden det ofte gjør at den absolutt enkleste og billigste måten å komme seg ut av problemene på er å betale. Denne trenden fører dessverre til en enklere og mer innbringende hverdag for trusselaktørene som står bak angrepene. Forsikringsselskapet CNA Financial ble i vår utsatt for ransomware og tyveri av informasjon. Ransomware-aktøren Revil har senere påstått at de fikk tilgang til CNAs liste over kunder som har kjøpt ransomware-forsikring, og aktivt har gått etter firmaer på listen for å øke sjansen for å få utbetalt løsepenger.

Ransomware har blitt en handlemåte som utsetter samfunn, borgere og nasjoner for økt risiko, det går på samfunnsfunksjoner, forsyningskjeder og liv og helse løs. Et internasjonalt samarbeid er i gang for å redusere effekten av handlemåten; Ransomware Task Force (RTF) er organisert av Institute for Security and Technology i samarbeid med over 60 representanter fra teknologi- og sikkerhetsbedrifter, regjeringer, politi og internasjonale organisasjoner. Gruppen ga i mai ut sin første rapport med anbefalinger der noen av de viktigste er:

•         Politi og diplomati over hele verden må prioritere denne typen saker

•         Regjeringer bør opprette egne fond for å hjelpe rammede organisasjoner ut av knipe, uten at de trenger å betale løsepenger

•         Det må utarbeides et internasjonalt rammeverk som hjelper organisasjoner med å beskytte seg mot, forberede seg på og håndtere et ransomware-angrep.

•         Det må stilles krav til at kryptobørser vet hvem kundene er (KYC), overvåker mistenkelige transaksjoner og øker graden av regulering av slike børser.

Ransomware-aktører er raske til å utnytte sikkerhetshull i virksomheter, og det er viktig å heve grunnsikringen så mye som mulig. En kort, men ikke utfyllende sjekkliste er:

•         Ha to-faktor autentisering for innlogging

•         Begrens fjern-innlogging til systemer

•         Eksponere færrest mulig systemer mot internett

•         Ha ferske og fungerende backups som er adskilt fra produksjonsnettverket

•         Installer sikkerhets-patcher så snart disse blir sluppet av leverandørene.

Covid-19-kriminalitet

Siden pandemien brøt ut i Norge i mars 2020 har vi sett hvordan kriminelle aktører har utnyttet den sosiale distansen som har oppstått mellom oss. I Norge gjennomgikk samfunnet på kort tid en digital transformasjon der de fleste av oss mer og mer har måttet ta i bruk digitale flater og verktøy for å få tak i nødvendige varer og tjenester, men også for å kommunisere med omverden.

Svært mange arbeidstagere har måttet jobbe fra hjemmekontor. Dette gjør oss sårbare for svindel og annen digital kriminalitet ved at muligheten for å kontrollere usikkerhet mot kolleger, venner og familie er delvis borte. Mottar man for eksempel en suspekt henvendelse via e-post, må man i større grad selv vurdere om innholdet er ondsinnet. Dette vet trusselaktører å utnytte. Kriminelle bruker i økende grad bruke sosial manipulering for å få deg til å begå sikkerhetsbrudd. Når man er alene, vil de grunnleggende følelsene i oss forsterkes og det spiller trusselaktørene på; ved å spille på følelser og tidspress får de deg til å utføre det de ønsker. Det er typisk at de vil ha deg til å føle frykt, eventuelt grådighet eller nysgjerrighet, ofte i kombinasjon med tidspress. De gir inntrykk av at du må gjøre som de sier nå, ellers forsvinner «muligheten» som altså bare er svindel.

Fra 1. januar 2021 innførte myndighetene nye krav til sterkere kundeautentisering ved netthandel. Det betyr at nettbutikkene nå må støtte 3-D Secure for at en handel skal gjennomføres. 3-D Secure er en global standard som bankene og brukerstedene benytter for å sikre sterk kundeautentisering. I Norge bruker vi som regel kombinasjonen av både kortinformasjon og BankID i forbindelse med netthandel.

Bakgrunnen for strengere krav ved netthandel er å gjøre det vanskeligere for kriminelle å kjøpe varer og tjenester med

kredittkortinformasjon som har havnet på avveie, enten i form av fysisk stjålne kredittkort eller via kortopplysninger som er skaffet til veie via phishing.

Når sikkerheten blir bedre leter de kriminelle etter nye metoder, svært ofte i form av sosial manipulering. Det hjelper lite med sterke passord eller to-faktor-løsninger om man blir lurt til å oppgi passord og autentiseringskoder direkte til trusselaktøren. De kriminelle forsøker altså rett og slett å få deg til å begå bedrageriet for seg for å få godkjent et kjøp, uttak eller annen transaksjon.

Mer målrettet phishing

De fleste har fått med seg begrepet phishing; forsøk på å få deg til å gi fra deg informasjon du egentlig hverken vil eller skal gi fra deg. Det er økende bevissthet knyttet til hvilke linker man trykker på og hva slags vedlegg man åpner i e-post som virker suspekt. Men i takt med at vi er til stede på stadig flere digitale plattformer, får trusselaktørene flere flater der de kan nå deg og manipuler deg. Mens mange har guarden oppe når de får en suspekt e-post, er de kanskje ikke like varsomme om de blir kontaktet via SMS, en direktemelding i sosiale medier, eller via falske nyhetsartikler og innloggingssider.

Trusselaktører som bruker phishing og de andre variantene av sosial manipulering har samme intensjon: Ved å utgi seg for å være noen du stoler på prøver de å få deg til å oppgiinformasjon, både som privatperson og som ansatt, slik som brukernavn, passord og kortinformasjon. Når vi deler stadig mer informasjon om oss selv i sosiale medier, har de også mer

å spille på når de vil gå mer målrettet til verks for å lure deg.

Jo mer informasjon som er tilgjengelig, desto mer målrettet kan trusselaktøren være i sin manipulering. Trusselaktøren bruker informasjon om deg ved å utnytte eksisterende relasjoner og tillit, og kan på den måten få deg til å røpe privat informasjon du ellers ikke ville delt med fremmede.

Generelt har angrepene blitt mer troverdige og målrettede, deter det to hovedgrunner til:

1)        Vi er mer alene på jobb og har ikke det samme sosiale nettverket i hverdagen å sparre med omkring når vi er usikre. Når vi er alene må vi større grad stole på egne vurderinger. Vurderingene våre er basert på følelser, erfaring og kunnskap. Dette er noe svindlerne utnytter.

2)       Mange har innført strengere krav til autentisering og det holder ikke lenger med statiske opplysninger som kun kortopplysninger. Svindleren må i tillegg ha tilgang til bank-id for å misbruke kortopplysningene. Svindlerne må gjøre henvendelsene mer troverdige og gjøre «kulissene» mer troverdige. Svindlerne må i større grad involvere deg i bedrageriet mot deg selv. «Olgasvindel», «svindel i sanntid» (real-time phishing), og fakturasvindel er eksempler på dette.

Stopp opp, tenk deg om, og sjekk om du virkelig bør gå videre med det du blir bedt om å gjøre.

Manipulering i sanntid

Manipulering i sanntid eller real-time phishing starter gjerne med at trusselaktøren ringer offeret fra et spoofet (forfalsket) nummer. I det følgende eksemplet fra i år har telefonnummer til norske banker blitt misbrukt for å gjøre henvendelsen mer troverdig.

Svindlerne ringer til forskjellige kunder, svarer man på anropet spilles det av en talebeskjed om at kontoen har blitt automatisk sperret. Deretter får man beskjed om å taste «1» for å få tilgang til kontoen igjen. Her spiller trusselaktøren på frykt. Enkelte lar seg rive med og trykker derfor på «1» og får så melding om at de vil motta en SMS. Denne kommer like etter og inneholder en lenke svindleren vil du skal trykke på. Lenken leder deg til en falsk innloggingsside til nettbanken din og på første side på innloggingsiden blir offeret bedt om å taste inn telefonnummer, adresse og fødselsnummer.

Deretter rutes man videre til innlogging med BankID. I det du taster inn engangskoden fra BankID på den falske nettsiden, kan svindlerne lese av denne. Siden de også har fødselsdatoen din, kan de raskt logge inn i for eksempel den ekte nettbanken din før koden blir for gammel. Dette er mulig fordi bakmennene parat, i sanntid, og følger med på alt du skriver på den falske nettsiden som de kontrollerer. Straks de er inne i din virkelige nettbank setter de i gang overføring av penger ut av kontoen din. Men siden slike overføringer gjerne krever en ny godkjenning via BankID, kan de la deg tro at «innloggingen» din feilet. Når du da forsøker å «logge inn» på nytt med en ny BankID-kode, har du i realiteten gitt svindlerne koden de trenger for å godkjenne overføringen ut av kontoen.

Økt bruk av real time phishing er en konsekvens av at mange nettsider og tjenester har fått bedre sikkerhetstiltak, blant annet ved at du må godkjenne en transaksjon med BankID eller en kode, et passord eller en SMS. Svindelmetoden kan misbrukes på mange måter, ikke bare for å tømme kontoer i nettbanken, men også forsøk på å ta over en brukerkonto.

Flere falske nettsider og butikker

Som en konsekvens av pandemien har nordmenn dreid kjøpevanene sine i digital retning, og det utnytter trusselaktørene.

En kartlegging i EU viser at for hver ekte nettbutikk, finnes det fem falske. Bare i Danmark ble det funnet 15.000 falske

nettbutikker på dansk rettet mot danske kunder. Det er ingen grunn til å tro at det er færre som rettes mot norske forbrukere.

Disse nettbutikkene kan ved både første og andre øyekast se seriøse og ekte ut, mens de i realiteten er utspekulerte plattformer som skal få deg til å oppgi betalingsinformasjonen din. Hvis du faktisk får gjennomført en transaksjon på en slik nettside så blir du lurt likevel; du ender opp med piratkopier eller du får betalt, men mottar aldri noen varer. Slik nettsider bruker ofte bilder av kjente merkevarer og har priser som ligger under det du ellers finner. Det er her de første varsellampene bør begynne å blinke, men dessverre blir mange mindre kritiske når det ser ut som man kan spare penger.

Kapring av brukerkontoer

Det som ofte omtales som account takeover er en form for identitetstyveri der trusselaktøren får kontroll over offerets brukerkontoer, gjerne knyttet til e-post eller sosiale medier. Mange nye sikkerhetsfunksjoner går ut på at du må bekrefte at du er deg, og da kan dette for eksempel skje ved å bekrefte en lenke i en e-post. Men klarer trusselaktørene å lure deg til å oppgi passordet til e-posten, kan de ta over brukerkontoen på forskjellige plattformer ved å endre passordet til e-postkontoen som de har kontroll på.

Å kapre brukerkontoer i sosiale medier kan ha stor verdi for trusselaktører. Du har gjerne stor troverdighet hos dine venner og de som følger deg. Får en svindler tilgang på din konto, kan dette brukes i mer målrettede phishingangrep mot de som har tillit til deg. Trusselaktøren spiller på den eksisterende tilliten mellom dere og øker sin sjanse for å lykkes.

Telefonsvindel

De siste årene har mengden telefonsvindel eksplodert, både i Norge og internasjonalt. Svindeloperasjoner går i bølger og

all svindeltrafikk mot våre kunder har til intensjon å generere penger til trusselaktørene.

Telenor Norge har i alle år arbeidet målrettet for å begrense svindelaktivitet mot våre kunder. Innføring av ny teknologi og samarbeid på tvers av ulike miljøer i Telenor er nødvendig for å opprettholde effektivt beskyttelse mot svindlerne for å begrense deres handlingsrom. Dette er en kamp hvor det handler om å gjøre det så krevende som mulig for svindlerne å operere.

Det er i hovedsak to metoder som brukes til denne typen svindel:

1.        Microsoft-svindlere ønsker tilgang til kredittkortet til sine ofre. Vi kan identifisere Microsoft svindel og tilsvarende anrop fra utlandet med noen unntak. Vi kan stenge et nummer som spammer Norge, men vi kan ikke hindre at de tar et nytt nummer i bruk.

2.       Wangiri-svindlerne, de som ringer med ett ring og avslutter samtalen vil ha deg til å ringe tilbake. Da ringer du et høytakstnummer (Internasjonale Premium Rate/IPR-nummer) som trusselaktøren får en andel av inntektene til.

Vi stopper uønsket trafikk inn til vårt nett, på den måten kan vi blant annet blokkere muligheten for å kunne ringe tilbake til internasjonale nummer som er knyttet til svindel.

Telenor Norges transportør av telekommunikasjonstrafikk utenfor Norge er Telenor Global Services (TGS). De sikrer at identifisert svindeltrafikk blir blokkert før den kommer inn til Telenor Norge og våre kunder. I løpet av de siste åtte månedene har TGS blokkert i overkant av 23 millioner anrop inn mot Norge. Til tross for slike tall blir ikke all svindeltrafikk blokkert, og da må Telenor Norge som operatør og mottaker av trafikk til våre kunder iverksette tiltak som kan stoppe det som slipper igjennom.

Det som faktisk slipper gjennom er oftest forfalskning av norske mobilnummer (spoofing), noe som er plagsomt for de som blir oppringt, men minst like plagsomt som de som får sitt nummer misbrukt av trusselaktørene.

Telenor Norge har i mange år operert med en «sperreliste», der eieren av et nummer som blir misbrukt har kunnet be om at vi blokkerer anrop fra utlandet der deres nummer benyttes som visningsnummer. Dette har vært effektivt, men det hadde også sine ulemper all den tid den var reaktiv; det tok tid fra kunden klaget til nummeret var blokkert. Løsningen innebar også at hvis kundens nummer lå på sperrelisten når kunden reiste utenlands, ville samtaler som kunden tok til Norge også blokkeres.

I januar 2021 innførte Telenor Norge et nytt system som identifiserer om telefonen med nummeret du ser på din telefon befinner seg i Norge eller ikke. Hvis telefonen befinner seg i Norge, men systemet detekterer at anropet er satt opp fra utlandet, vil etterfølgende anrop settes opp med skjult nummer etter første forsøk. Vi stopper altså ikke all spoofing-trafikk med denne løsningen, men kunder skal nå ikke oppleve å bli oppringt av hundrevis av personer som lurer på hvorfor kunden har ringt dem.

Den nye løsningen identifiserer og sladder også wangiri-trafikk, dette gjør at det ikke blir mulig å ringe tilbake til høytakserte internasjonale nummer.

Flubot

Flubot er et av de mest omfattende svindelangrepene Telenor har registrert i nyere tid. Konsekvensene av å bli lurt kan være store. Flubot er en programvare som er laget for å finne og dele personopplysninger og nettbankdetaljer på din telefon med svindlere. Samtidig sprer viruset seg videre til intetanende mobilkunder på SMS.

Kunden får en tekstmelding om at en pakke er på vei, at du har fått en MMS eller talemelding, at TV-en din må kalibreres, eller lignende. Meldingen inneholder en lenke du skal bli lurt til å trykke på. Da er risikoen stor for at du laster ned Flubot eller kommer til en side som er kontrollert av svindlerne. I verstefall får svindlerne kontroll over nettbanken din eller tilgang til sensitive personopplysninger de kan benytte for å lure andre. Telenors innebygde forsvarsmekanismer i mobilnettet har stoppet opptil 30.000 tekstmeldinger fra Flubot i timen fra å nå Telenors kunder. Vanligvis stopper filteret cirka 20.000 meldinger i døgnet.

SIM swap fraud

De siste årene har svindelmetoden SIM swap fraud bredt om seg internasjonalt. Telenor Norge har vært meget årvåkne på

denne handlemåten, og det er gjennomført en rekke tiltak for å gjøre det vanskelig for trusselaktører å gjennomføre en uautorisert SIM endring på et offers abonnement.

SIM swap fraud har i stor grad sammenheng med bruken av engangspassord (OTP) sendt via SMS. Mange tjenester bruker fortsatt OTP over SMS selv om det finnes andre, sikrere alternativer.

I Norge er det relativt enkelt å samle nok informasjon om enkeltpersoner og bedrifter til å kunne overta en brukerkonto,

enten ved søk i åpne kilder eller ved å snoke etter informasjon ved å ringe forskjellige instanser der personlig informasjon «sitter løst».

En svindler kan ta kontroll over en annen kundes abonnement ved sosial manipulering av kundeservice via telefon, eller andre sårbare kanaler. Forhandler-leddet benyttes også i tilfeller der svindleren er i besittelse av falsk eller stjålet dokumentasjon. Nye SIM-kort aktiveres på kontoen, og eksisterende abonnent blir frakoplet når det nye SIM-kortet aktiveres. Svindleren får via det nye SIM-kortet tilgang til kundens samtaler og SMS. Det er avdekket tilfeller av forsøk på påvirkning av ansatte i Telenor Norge og i Telenorbutikker. Kriminelle ønsker at ansatte skal bruke sine systemtilganger til å foreta uautoriserte SIM-kort endringer. Dette er en trend som tidligere har vært rapportert internasjonalt, men som vi frem til i vinter ikke hadde sett i Norge.

Nye former for identitetstyveri

Identitetstyveri er en gjenganger; trusselaktørene utgir seg for å være deg, for dermed å etablere for eksempel kredittkort de fritt kan bruke. Med nye sikkerhetskrav på plass, vil vi nok se en nedgang i denne typen direkte identitetstyveri, men samtidig vil andre relaterte svindelformer øke i omfang.

Eksempler på nye og mer målrettede svindelmetoder er «kjærlighetssvindel» og «Olga-svindel», der svindlerne bruker sosial manipulering for å lure enslige eller eldre til å oppgi koder eller bekrefte kjøp.

Gjennom det siste året har vi sett hvor sårbare mange nordmenn er, og det vet svindlerne å utnytte ved å spille på sårbarhet, frykt og manglende kunnskap. Bevisstheten rundt sikkerhet på nett og mobil er gjerne lavere hos de yngste og de eldste i familien, noe som gjør dem mer sårbare for aktører med mindre hyggelige hensikter.

Stadig mer investeringssvindel

Utover våren 2021 ble det mye oppmerksomhet omkring hvordan enkeltpersoner oppnår store gevinster på små investeringer, for eksempel via sensasjonelle aksjekjøp eller spekulering i kryptovaluta. Det har versert falske nyhetsartikler i sosiale medier som mange har bitt på. Flere norske kjendiser har fått navnene sine misbrukt i disse kampanjene for å manipulere lesere.

Løfter om sensasjonelle gevinster er oftest like risikable som de er sensasjonelle. Ofrenes reaksjon viser hvor spontane mange blir når det er raske gevinster i sikte. Dette vet trusselaktører å benytte seg av, og de bruker gjerne løfter om store penger for å lure ofrene.