Slik angriper de

Illustrasjonsbilde som viser et vindu med persienne og speilbilder til mennesker.

Syv av ti nordmenn uttrykker bekymring for at samfunnskritiske funksjoner som for eksempel økonomi, helsetjenester, nødetater, krafttilførsel, kommunikasjon, transport og myndighetenes ledelsesevne, skal kunne slås ut av cyberangrep.

Som eier av landets største kommunikasjonsinfrastruktur og som del av et globalt selskap får Telenor Norge god innsikt i hvordan ondsinnede aktører opererer.
Graf som viser nordmenns bekymring for at samfunnskritiske tjenester skal slås ut av cyberangrep.
Graf som viser at norske ledere er positive til at erfaringer skal deles slik at andre kan lære og advares.

Åpenhet om trusler

Vi har valgt å være åpne om sikkerhetsutfordringer og konkrete kritiske hendelser. Samtidig er det nødvendig å tenke sikkerhet før man velger å gå offentlig ut med informasjon om sårbarheter. Avanserte aktører følger også med i media. Åpenhet må derfor ikke forveksles med offentlig tilgjengelig for alle.

Mange norske ledere ønsker å være åpne om digitale angrep, men det er også er et stort behov for å dele hendelser i mer lukkede fora. 36 prosent av de spurte mener at angrep kan deles åpent, mens 32 prosent mener det er viktig å dele – men i lukkede fora. 7 prosent mener dette er en jobb myndighetene må gjøre selv, eller at de ikke ønsker å dele informasjon av hensyn til eget omdømme (6 prosent).

«Deling av informasjon om nye angrepsformer og trusselaktører øker evnen til å avdekke angrep.»

Vi arbeider med noen av landets største selskaper og erfarer at det først de senere årene har blitt akseptert å snakke om at man selv har blitt offer for et angrep. Resultatene fra undersøkelsen viser forhåpentligvis en trend der flere norske virksomheter ønsker å dele informasjon rundt hendelser.

Telenor Norge ønsker et formalisert samarbeid med offentlige og private aktører som eier og forvalter samfunnskritisk infrastruktur. Deling av informasjon om nye angrepsformer og trusselaktører øker evnen og sannsynligheten for å avdekke angrep på tvers av sektorer eller bransjer, før skade har skjedd. Slik informasjonsdeling må skje i henhold til lovverket og ikke i «lukkede rom» mellom teknologimiljøer.

Gif som viser angrepsmetoder: Spear phishing, direkte innbrudd og vannhullsangrep.

Slik angriper de mest avanserte aktørene

Noe lærdom er det mulig å snakke åpent om. For eksempel hvilke metoder de mest avanserte trusselaktørene bruker for å bryte seg inn bak de ytre forsvarsverkene. Det finnes mange muligheter, men det er tre metoder som er vesentlig mer brukt enn andre:

  1. Spear phishing

    Den vanligste formen for innbruddsmetode er det som kalles «phishing» eller «spear phising». Dette går ut på å sende e-post til noen som sitter på innsiden av nettverket de ønsker å angripe, og lure mottakeren til enten å åpne et vedlegg eller trykke på en link. Dersom du åpner dokumentet eller trykker på linken skjer vanligvis én av to ting: enten forsøker angriperen å utnytte en sårbarhet i programvaren for å ta kontroll over datamaskinen din, eller du blir forsøkt lurt til å gi angriperen kontroll over din maskin.

    De aller fleste nordmenn har opplevd å bli forsøkt kontaktet med slike e-poster, men de mest avanserte aktørene skreddersyr angrepene ved hjelp av sosial manipulering og god etterretning, slik at angrepene blir svært likt en av de mange epostene man mottar hver dag. Spear pishing-metoden legger igjen digitale spor som kan undersøkes av sikkerhetseksperter, og det kan være enkelt å oppdage for de som utsettes for angrep. Det er derfor naturlig å anta at avanserte aktører også vurderer andre metoder for å lykkes.

  2. Direkte innbrudd

    Dette er metoden som etterlater færrest spor. Her handler det om å finne en ubeskyttet bakvei inn gjennom perimetersikringen til et nettverk og utstyr. Dette skjer typisk gjennom å undersøke direkte eksponerte tjenester for sårbarheter som kan utnyttes. Andre metoder som kan benyttes er å prøve å logge inn med ulike kombinasjoner av brukernavn og passord på tjenester som er eksponert på nettet, men passordbeskyttet. Typiske tjenester som blir angrepet på denne måten er webservere og ulike former for innloggingstjenester.

    Siden angriperen går direkte på utstyr den vet tilhører målet, krever den ingen interaksjon med mennesker - kun tekniske sårbarheter som gjør det mulig å snike seg inn. Dette gjør at denne typen angrep kan være vanskeligere å oppdage, spesielt uten god sikkerhetsovervåkning.

    Det viktigste tiltaket for å sikre seg mot slike innbrudd er å holde alt utstyr oppdatert med seneste programvare, og fase ut gammelt teknisk utstyr som ikke lenger oppdateres av leverandøren.

  3. Vannhullsangrep

    Dette er en metode som tiltrekker seg minst mulig oppmerksomhet og digitale spor. Angrepsformen er navngitt etter rovdyrene som jakter ved vannhullene på savannen. I stedet for å lete etter offeret, så venter angriperen på at byttet kommer til dem.

    Teknikken går ut på at angriperen tar kontroll over en dårlig sikret nettside som de vet at ett eller flere av ofrene stadig besøker og har et tillitsforhold til. Når offeret besøker websiden blir sårbarheter i nettleseren utnyttet for å bryte seg inn på den ansattes datamaskin. Denne formen for angrep er målrettet og krever høy teknologisk kompetanse og etterretningskapasitet.

Vannhullsangrep har flere fordeler for trusselaktørene som mestrer metoden:

  • Den legger igjen færre spor.
  • Dersom angrepet avsløres vil sporene kun lede tilbake til en legitim nettside som brukeren selv har besøkt.
  • Offeret forstår sjelden at de har blitt angrepet.


En av fire (26 prosent) ledere i privat sektor svarer at de ikke vet hvem de skal kontakte dersom deres virksomhet blir angrepet, svindlet eller sabortert i digitale kanaler. 16 prosent av lederne i offentlig sektor mener det samme. Mer enn en av fire næringslivsledere vet ikke hva de skal gjøre hvis selskapet blir angrepet digitalt.
Gif som viser at 1 av 4 næringslivsledere ikke vet hva de skal gjøre hvis deres selskap blir angrepet digitalt.
Graf
Graf

Globale angrep

I fjor var løsepengevirus (ransomware) den trusselen som fikk mest oppmerksomhet i datasikkerhetsverden. Løsepengevirus innebærer at du angripes via e-post med et infisert vedlegg, eller lures til å klikke på en lenke som fører til at du får servert en ondsinnet kode som tar maskinen din som «gissel». Det vil si at alle dokumenter blir låst og utilgjengelig. Angriperen ønsker at du skal betale for å få nøkkelen til å låse opp igjen informasjonen din.

Kryptovaluta

Med oppsvinget i verdiene til krypto-valutaer i 2017 har det etter hvert blitt innbringende å bruke dataressurser til å “utvinne” forskjellige krypto-valutaer. Andelen angrep som brukes til å stjele dataressurser fra uvitende brukere har eksplodert det siste året. Bruken av ransomware (løsepengevirus) har gått tilsvarende ned. For angriperne er det en del fordeler med å bruke denne teknikken framfor løsepengevirus:

  • Ofrene merker ofte ikke at de er infisert og at ressursene til PC-ene deres misbrukes, og kan ofte misbrukes over lang tid.
  • Pengene tjenes helt automatisk uten at offeret må betale eller gjøre noe aktivt.
  • Ingen kommunikasjon med offeret.
  • Ransomware-angrep kan gjøre stor skade for offeret og dermed føre til større straff. Å stjele dataressurser er ikke like destruktivt.

I februar ble det oppdaget et stort botnet bestående av rundt en halv million maskiner, hoveddelen Windowsservere. Botnettet fikk infiserte maskiner til å utvinne kryptovalutaen Monero.

Eierne av botnettet har trolig tjent rundt 8.900 Monero (rundt 1,4 millioner USD) fra mai 2017 til februar 2018.

Det foregår imidlertid fortsatt målrettede angrep med ransomeware. Gjerningspersonene går systematisk til verks og infiserer et helt nettverk, før de krypterer mange viktige systemer samtidig.

Grafen viser mining-relaterte hendelser fra 2017 til 2018

Botnet

Datamaskiner, nettbrett, smarttelefoner og «ting» kan bli kapret og bli en del av et botnet. Et botnet er et nettverk av datamaskiner infisert av datavirus eller trojanske hester. Disse kan fjernstyres av bakmennene til å utføre ulovlige handlinger som dataangrep, sending av spam osv.

I mars 2018 ble byen Atlanta (USA) offer for et angrep med den kjente ransomwaren SamSam. Flere av byens systemer og websider ble rammet, inkludert systemer som håndterer prosessering av innbetalinger og videreformidling av informasjon fra pågående rettssaker. Byens myndigheter jobbet med FBI, Microsoft, og Cisco i et forsøk på å rette opp etter angrepet. Ifølge CBS mottok myndighetene krav om betaling av seks Bitcoins i bytte mot nøkler som kunne dekryptere de rammede systemene. Det tok over én uke før alle systemene var oppe igjen.

Refleksjonsangrep

Refleksjonsangrep er en type tjenestenektangrep (DDoS-angrep) - en angrepsform med formål om å skape ustabilitet i nettet eller få tjenester til å bryte sammen. De aller fleste DDoS-angrepene som rammer Telenor eller våre kunder har datatrafikk fra forskjellige typer refleksjonsangrep.

Det største registrerte DDoS-angrepet det siste året i Telenors nettverk var et refleksjonsangrep med forsterkning. Det var på 101 gigabit per sekund, varte i én time og var rettet mot en av våre privatkunder.

Telenor blokkerer utgående trafikk fra vårt nett som har forfalskede IP-adresser. Det gjør det vanskeligere å starte DDoS-angrep fra vårt nett. Vi har dessuten et eget miljø som arbeider med å redusere uvedkommendes misbruk av Telenor-nettverket. De holder også til enhver tid oversikt over adresser i våre nettverk, både interne og tilhørende kunder, som kan misbrukes til forskjellige typer refleksjonsangrep.

Innkommende angrep mot Telenors kunder kommer inn i Telenors nettverk via våre store rutere i Internetknutepunkter som utveksler trafikk med andre store nettilbydere. På disse routerne har vi satt på filtrering som stopper, eller begrenser de vanligste angrepstypene som rammer våre kunder. Disse filtrene oppdateres etter hvert som det oppdages nye angrepstyper, eller at angriperne skifter taktikk. Dersom angrepet ikke blir stoppet av filteret, vil det bli foretatt videre filtrering.

Graf viser ransomeware-relaterte hendelser fra 2017 til 2018

Telefonsvindel

Om du har besvart en samtale der oppringer benytter et telefonnummer som opplagt ikke tilhører vedkommende, kan du ha blitt utsatt for nummerforfalskning også kjent som «spoofing».

Svindlerne har gjerne ett av to formål med spoofingen. Det ene formålet er å fiske personlige opplysninger omdeg. Det andre formålet er å få tilgang til PC-en din for å installere ondsinnet programvare. Ofte meldes det da om feil på datamaskinen din, hvor på innringeren ber deg om å utføre datatekniske handlinger for å rette feilen. Disse handlingene vil gi svindlerne tilgang på datamaskinen din.

Det koster ikke noe å motta anrop med spoofede numre. Dette gjelder alle inngående anrop i Norge, uansett hvor de måtte komme fra. Tapet knytter seg derimot til det du blir lurt til å gjøre. Om en ringer tilbake, vil en komme frem til den som i realiteten eier telefonnummeret.

Eieren av nummeret, er sannsynligvis helt uvitende om at telefonnummeret er misbrukt.

Tiltak mot spoofing

Status i dag er at det ikke finnes noen vanntett løsning for å hindre spoofing. Hver enkelt sak, der svindelforsøket er verifisert, blir analysert for å undersøke omfanget og Telenor har et anropsfilter der nummeret til kunden kan sperres. Sperringen innebærer at en ikke kan ringe fra utlandet til Norge med det aktuelle nummeret. Heller ikke kunden kan ringe tilbake til Norge om vedkommende skulle befinne seg i utlandet. Dette tiltaket er ikke en fullgod løsning, da en del av anropene fra utlandet kan komme via andre operatører, likevel opplever majoriteten at problemet forsvinner, da nummeret mister verdi for svindlerne.

Spoofing og sms

I tillegg til de vanlige problemene med spoofing av I løpet av 2018 har vi jobbet med noen tilfeller av «spoofede SMS». Dette er SMS som har et norsk nummer som avsender, men der meldingen faktisk er sendt fra noen andre. Dette er ikke spoofing i tradisjonell forstand, men meldinger som ble sendt ut via automatiserte SMS-løsninger hvor man i prinsippet kan velge hva som skal fremkomme som avsendernummer. Numrene som ble brukt i disse sakene ble raskt identifisert, og avsender blokkert. Det ble registrert et par tilsvarende saker etter blokkeringen. Meldingene var da ikke sendt ut via Telenor sitt nett, men trolig av de samme bakmennene.

Wangiri

Svindelen utføres ved at svindlerne genererer flere tusen automatiserte oppringinger fra utlandet til et stort antall telefonnumre i Norge. Hensikten til svindlerne er å få abonnenten til å ringe tilbake til svindleren. Dersom en ringer tilbake, blir anropet som regel besvart ved at det blir spilt av en lyd eller et ventesignal.

Hittil i år har majoriteten av samtalene tilsynelatende kommet fra land som Tunisia, Marokko, og Somalia. Når en besvarer de innkomne wangiri-anropene kan en ofte høre en samtale bli spilt av. Samtalen blir deretter brutt underveis. Det gis inntrykk av at innholdet i samtalen er viktig. Hensikten er å manipulere og motivere mottakeren av anropet til å ringe tilbake. Når en ringer tilbake blir samtalen som regel besvart etter kort tid, gjerne med et opptak. Dette kan f.eks. være en summetoneeller ren stillhet. Hensikten er å få innringeren til å holde samtalen i gang. Enkelte av numrene koster ca. 40 kroner (satelittnummere) å ringe per minutt, slik at anropene fort kan bli kostbare.

Telenor arbeider kontinuerlig med å sperre ned numre knyttet til Wangiri-svindelen. Allikevel kommer en del av anropene fortsatt gjennom til våre kunder via andre operatører. De fleste perringene blir gjort på bakgrunn av henvendelser fra kundeservice der svindelen er verifisert.

Antall innkomne saker tilknyttet wangiri og spoofing har holdt seg stabilt høyt i 2017 og 2018. Tross et jevnt høyt antall sperringer i filteret, har det i løpet av de siste månedene blitt registrert færre blokkeringer. Dette kan tyde på at svindlerne har tilpasset seg sperringene.

Telenor mistenker at svindlerne gjør hyppigere endringer av numrene for å omgå blokkeringene. Tidligere ble samme wangirinumre gjenbrukt i lengre tid før de ble byttet ut av svindlerne, og gav således også flere registrerte blokkerte anrop i filteret. I 2018 har vi anmeldt enkelte angrepsbølger til politiet.

Flere Telenor-kunder pådro seg store kostnader etter å ha ringt tilbake til tapte anrop fra Thuraya (satelittelefonnummer). Det er også gjort forsøk på å holde tilbake utbetalingene i forbindelse med anropene som knytter seg til anmeldelsene.

«Telenor erfarer at 7-10 prosent ringer tilbake i forbindelse med tapte wangirianrop, noe som gjør svindelmetoden lukrativ og innbringende for svindlerne.»

Grafen viser teleblokkering fra 2017 til 2018