Slik angriper de

Illustrasjonsbilde.

Hybridundersøkelsen til Næringslivets Sikkerhetsråd viser at et flertall av norske virksomheter mener det er vanlig å bli utsatt for hybride trusler. De fleste som har svart tror trusselaktørene bruker skadevare for å bryte seg inn i deres informasjonssystemer.

Som eier av landets største kommunikasjonsinfrastruktur og del av et globalt konsern, får vi god innsikt i hvordan ondsinnede aktører opererer og hva de ønsker å oppnå. Våre sikkerhetseksperter oppsummerer utviklingen fra det siste året.
Digital Sikkerhet

Utnyttelse av svakheter

  • Angripere prøver ofte å utnytte sårbarheter i Microsoft Office. Sikkerhetsselskapet Kaspersky meldte at i Q4 2018 var 70 prosent av angrepene som utnyttet svakheter rettet mot Microsofts kontorpakke. Ofte prøver også kriminelle å lure brukeren til å slå på kjøring av makroer i Office-dokumenter for deretter å ta kontroll over maskinen. 
  • «Phishing»-angrep er svært utbredt og øker fortsatt i omfang. Antall phishing-angrep mot bedrifter ble ifølge selskapet Proofpoint firedoblet i Q3 2018 sammenlignet med året før. Over halvparten av phishing-sidene bruker nå HTTPS-kryptering, slik at siden blir markert med en “sikker” hengelås i nettleseren. Dessverre er det ofte tilstrekkelig at bare én person gir fra seg brukernavn og passord før angriperne kan få fotfeste på innsiden av bedriftens nettverk. 
  • I mai delte Google informasjon som viser hvor effektivt to-faktorinnlogging hindrer phishingangrep. Å måtte skrive inn en kode fra en SMS-melding blokkerte for eksempel 100 prosent av automatiserte angrep, 96 prosent av masseutsendte angrep og 76 prosent av målrettede angrep. En fysisk USB-nøkkel for å verifisere innloggingen er det aller sikreste. Ingen av Googles ansatte har blitt utsatt for vellykkede phishing-angrep etter at en slik løsning ble innført tidlig i 2017. Fysiske sikkerhetsnøkler eller biometri som en tilleggsfaktor vil bli langt mer vanlig i årene som kommer for å motstå phishing-angrep. 
  • I første kvartal 2019 ble det meldt om alvorlige svakheter i både samhandlingssystemet Confluence og applikasjonsserveren Oracle WebLogic. Systemene benyttes i stor grad av bedrifter og er ofte eksponert mot Internett. Selv om svakhetene ble raskt utbedret, var det mange bedrifter som slurvet med patchingen, og ble dermed raskt utsatt for innbrudd i systemene sine. Titusener av bedrifter ble kompromittert, gjerne av ransomware/løsepengevirus eller programvare for å utvinne kryptovaluta. I noen bedrifter ble kompromitterte servere brukt av avanserte angripere til å ta seg videre inn i bedriftens nettverk. 
  • For to år siden ble millioner av PC-er rammet av dataormen «WannaCry». Denne spredte seg ved hjelp av programkode stjålet fra amerikanske NSA (National Security Agency) kalt «EternalBlue». Fortsatt er det store mengder PCer som ikke er oppdatert mot EternalBlue. Eksempelvis ble byen Baltimore i USA, i starten av mai, rammet av løsepengevirus som benyttet denne svakheten. Store deler av administrasjonen stod stille i flere uker etter hendelsen. 
  • Verdien av virtuelle valutaer som Bitcoin hadde en kraftig nedgang gjennom 2018. I 2019 har imidlertid verdien på kryptovaluta økt med 130 prosent. Dersom prisene holder seg høye, vil dette føre til at det blir enda mer lønnsomt å utvinne kryptovaluta på og ved hjelp av infiserte PC-er og servere. Ved utvinning av kryptovaluta er det svært lite penger å tjene per infiserte enhet, så angriperne vil prøve å infisere store mengder utstyr for å øke inntjeningen. 
  • Midt i april offentliggjorde Microsoft patcher for en svakhet kalt «BlueKeep». Svakheten denne utnytter ligger i tjenesten for fjerninnlogging i Windows. En kartlegging utført av en sikkerhetsforsker viser at over en million PC-er tilkoblet Internett var sårbare i slutten av mai. Denne svakheten kan utnyttes av malware til å spre seg videre automatisk slik som WannaCry-ormen for to år siden. Denne svakheten blir av mange regnet som en tikkende bombe. 
  • Gjennom 2018 ble såkalte «SIM-swap-angrep» mer utbredt. Denne typen angrep retter seg mot personer med tilgang til viktig informasjon eller store verdier, gjerne kryptovaluta. Angriperne kontakter typisk kundeservice til mobiltilbyderen til offeret. Her får de overbevist kundeservice om at de har mistet mobilen og må flytte abonnementet over på et nytt SIM-kort som de kontrollerer. Ved hjelp av engangskoder via SMS blir så kontrollen over e-postkontoen til offeret overtatt. Deretter kan angriperne bryte seg videre inn i kontoer med penger eller kryptovaluta. Bare i California har 50 ofre blitt frastjålet verdier for over 35 millioner dollar. Telenor Norge har strammet inn på rutinene hos kundeservice for å hindre denne typen angrep. 
  • Flere selskap blir utsatt for målrettede ransomware-angrep. Trusselaktøren får først fotfeste i bedriften ved å benytte seg av phishing-angrep, eller ved å ta kontroll over en server som tilbyr tjenester til Internett. Via denne kan de komme seg videre inn i nettet og ta kontroll over katalogtjenesten Active Directory i Microsoft Windows. Herfra kan trusselaktøren kopiere ut og kjøre utpressingsvirus på alle firmaets PC-er og servere samtidig, det vil si at PC-er og servere ikke er tilgjengelig for de ansatte eller virksomheten, noe som kan bli virksomhetskritisk.

Sosial manipulasjon og svindel

For å lykkes med telekomsvindel er sosial manipulering, eller «social engineering», en vanlig handlemåte. Det hjelper lite med tekniske sikkerhetsløsninger om menneskene bak systemene blir forledet til å overstyre teknologien.

Svindlere bruker flere metoder for å nå sine mål, de vanligste er phishing, «baiting», «elicitation», «pretexting», «tailgating», «malvertising» samt e-post fra en betrodd person. Ofte brukes disse metodene sammen med for eksempel ransomware eller kompromittering av e-postkontoer. Dette er relativt enkle metoder, men de kan få alvorlige konsekvenser for både virksomheter og privatpersoner.

I forbindelse med telekomsvindel blir ofte mer sofistikerte metoder benyttet. Vi har blant annet registrert tilfeller der svindlere, med overbevisende hensikter, har kontaktet Telenor Norge via telefon eller chat hvor hensikten har vært å få oss til å gjøre endringer i interne systemer for å muliggjøre svindel. Et eksempel på telekomsvindel er International Revenue Share Fraud (IRSF-svindel). Dette er å regne som den mest alvorlige formen for telekomsvindel mot Telenor Norge og andre norske og utenlandske telekomoperatører, og Europol ser en økende trend innen denne type kriminalitet. Målet med IRSF-svindel er å oppnå et økonomisk utbytte ved å styre anropstrafikken til høytakstnumre i utlandet, for eksempel kostbare teletorgtjenester.

Roamingsvindel
Den mest utbredte formen for roamingsvindel er at fakturabaserte abonnement blir etablert på fiktive selskaper eller under falske identiteter. Svindlerne klarer ved hjelp av sosial manipulasjon å overbevise telekomoperatøren om at det fiktive selskapet er reelt, og at behovet for abonnementene er tilstede. Etter å ha mottatt SIM-kortene, smugles disse ut av Norge, deretter starter svindlerne å roame med abonnementene til høytakstnumre, gjerne i andre land enn der det roames i fra. 

Svindleren oppnår et økonomisk utbytte ved at det er de selv som eier teletorgtjenesten. Telekomoperatøren ender da opp med å betale for roamingtrafikken ettersom personene bak det fiktive selskapet ikke eksisterer eller har forsvunnet med gevinsten. At det benyttes fiktive selskaper og identiteter vanskeliggjør anmeldelse og politiets arbeid. 

Det finnes også eksempler der svindlere har kapret eller overtatt SIM-kort og abonnement, for deretter å utnytte abonnementet til roamingsvindel. Denne metoden er foreløpig mindre vanlig i Norge.

PBX-hacking
PBX-hacking (Private Branch eXchange system) skjer ved at svindlere hacker hussentralene til virksomheter. Svindlerne skanner etter sårbare hussentraler via Internett. Slike sårbarheter kan være feilkonfigurerte brannmurer, uendrede standardpassord eller manglende vedlikehold av nettverket. Deretter kan svindlerne effektivt generere anrop eller viderekoble anrop til høytakstnumre i utlandet. Her er det som regel eieren av hussentralen som må ta det økonomiske tapet. 

CxO-svindel
CxO-svindel er en av de mest alvorlige formene for svindel norske bedrifter kan utsettes for, og skjer ved at svindlere via e-post, SMS eller andre kommunikasjonskanaler utgir seg for å være en sentral leder i bedriften. Som regel er e-postadressen eller telefonnummeret til avsender forfalsket («spoofet»), slik at det blir vanskelig for mottakeren å avsløre at henvendelsen er falsk. Hensikten med e-posten eller SMS-en er å få mottakeren til å utføre en eller flere betalinger. Mottakeren er ikke tilfeldig valgt, og er ofte en ansatt med betalingsautorisasjon, for eksempel en regnskapssjef. I de mest omfattende angrepene, har svindlerne drevet innhenting av informasjon om bedriften og dens ansatte i lang tid før de slår målrettet til. Bakmennene er organiserte kriminelle og har store ressurser til å drive denne form for etterretning. De kriminelle har både vilje, evne og kapasitet til å gjennomføre et presist og planlagt angrep. Ettersom det har blitt mer kunnskap om CxO-svindel blant norske myndigheter og bedrifter, har svindlerne tilpasset seg og gjort angrepene mer sofistikerte og avanserte for å lykkes. Vi forventer flere forsøk på CxO-svindel mot oss og andre norske virksomheter i månedene som kommer.

Digital Sikkerhet

Spoofing
Om du har besvart en samtale der den som ringer benytter et telefonnummer som opplagt ikke tilhører vedkommende, kan du ha blitt utsatt for nummerforfalskning, også kjent som «spoofing». Svindlerne har gjerne ett av to formål med spoofingen; fiske personlige opplysninger om deg eller å få tilgang til PC-en din for å installere ondsinnet programvare, dette er også kjent som «Microsoft-svindel». Den som ringer forteller deg at du har feil på din datamaskin. Deretter ber innringeren deg om å utføre diverse handlinger på PC-en for at de skal kunne «rette feilen». Disse handlingene vil gi svindlerne tilgang på datamaskinen din. Årsaken til at det benyttes norske nummer til å ringe med, er at det øker sjansen for at folk svarer på anropet. Mange er blitt skeptiske til å svare på anrop fra ukjente, utenlandske nummer og på anrop med skjult nummer. Om en ringer tilbake, vil en komme frem til den som i realiteten eier telefonnummeret. Eieren av nummeret er sannsynligvis helt uvitende om at telefonnummeret er misbrukt. Antall henvendelser relatert til spoofing har økt det siste året. 

Vi ser ofte at svindlerne misbruker numre innenfor samme nummerserie i en viss periode. Deretter går de videre og misbruker nye nummerserier. Vi ser også en tendens til at hvert spoofede nummer brukes færre ganger enn før, altså at de bytter nummer oftere, noe som gjør deteksjonen vanskeligere for operatørene. 

Det finnes i dag ingen vanntett løsning for å hindre spoofing. Hver enkelt sak blir analysert for å undersøke omfanget. Telenor Norge har et anropsfilter der nummeret til kunden kan sperres fra utlandet. Flere titalls tusen anrop stoppes hver uke av dette filteret. Sperringen innebærer at en ikke kan ringe fra utlandet til Norge med det aktuelle nummeret. Det betyr at heller ikke kunden kan ringe til Norge om vedkommende skulle befinne seg i utlandet. Dette tiltaket er ikke en fullgod løsning, da en del av anropene fra utlandet likevel kan komme gjennom via andre operatører. Likevel opplever majoriteten at problemet forsvinner. Telenor Norge arbeider proaktivt for å løse problemet med spoofing, men det gjenstår fortsatt en del analysearbeid før eventuelle tiltak kan settes i drift.

SMS spoofing
Avsendernummer på SMS kan også manipuleres. Primært dreier dette seg om SMS som er sendt via kortnummer (5-sifrede nummer) med mulighet til å sette valgfri alfanumerisk avsender. De fleste tilfellene av SMS-svindel det siste året har vært saker der avsender har utgitt seg for å være kjente bedrifter som for eksempel FINN.no eller Facebook, men vi har også sett tilfeller der det er valgt et vanlig norsk mobilnummer som avsender. SMS-ene inneholder ofte en link som tar kundene til en nettside der man blir bedt om å oppgi personalia, eller for eksempel en tekst der en blir bedt om å betale en faktura som har forfalt. Normalt oppdages disse sakene på bakgrunn av kundeklager og blir deretter blokkert individuelt. Telenor Norge har et spamfilter i mobilnettet som stopper en stor del av denne type svindelforsøk før de når fram til våre kunder. 

Wangiri – «One ring and cut»
Svindelen utføres ved at svindlerne genererer flere tusen automatiserte korte oppringinger fra utlandet til et stort antall telefonnumre. Hensikten til svindlerne er å få mottakeren av det ubesvarte anropet til å ringe tilbake. Dersom du gjør dette blir anropet som regel besvart ved at det blir spilt av en lyd eller et ventesignal. Slike anrop kan fort bli kostbare på samme måte som å ringe til teletorgnumre. Svindleren oppnår et økonomisk utbytte ved at det er de selv som eier nummeret du ringer tilbake til, og dermed mottar en pengesum for hvert anrop de mottar. Telenor Norge arbeider kontinuerlig med å sperre numre knyttet til Wangiri-svindelen. Antall registrerte saker tilknyttet Wangiri-svindel har gått noe ned det siste året. Årsaken til nedgangen er ikke verifisert, men vårt proaktive arbeid med å sperre mange nummerserier fra kjente svindeldestinasjoner er trolig en viktig årsak.

Les neste artikkel Et angrep på Norge?