Slik angriper de

Illustrasjonsbilde. Bildet viser en hektisk København sommerstid.

Fra mai 2016 til mai 2017 håndterte Telenor Norge over 1800 forsøk på innbrudd på egne og kunders nettverk, og langt flere forsøk på å sabotere selskapets tjenester med tjenestenektangrep.

I takt med at stadig flere ting kobles til internett har også angriperne blitt stadig mer kompetente til å utnytte svakheter og sårbarheter i våre systemer, men det handler om mer enn teknologi. De menneskelige svakhetene er like viktige som de teknologiske når trusselaktørene går til digitalt angrep.

I Telenor Norges undersøkelse svarer nesten halvparten at de har blitt utsatt for «phishing», altså blitt forsøkt fralurt informasjon i privat sammenheng eller på jobb. 12 prosent har opplevd innbrudd i sin private e-post eller på private kontoer på sosiale nettverk. Fire prosent har blitt utsatt for løsepengevirus.

Krevende beskyttelse

Mange nordmenn synes det er krevende å beskytte seg mot kriminalitet i cyberspace. Mer enn 60 prosent av respondentene svarte at de syntes det i noe eller i stor grad er krevende å beskytte seg selv mot svindel og annen type kriminalitet. Det viser at denne typen kriminalitet er noe som angår oss alle, og vi er nødt til å bli mer kritiske til henvendelser vi får digitalt, og hvordan vi passer på informasjon. Det dette viser er at denne type kriminalitet krever kompetanse og innsikt hos alle. Skal vi endre adferd og holdninger, må vi tilføres kompetanse. Fra vårt ståsted har NorSIS en viktig rolle i Norge i forhold til å formidle kunnskap om hva enkeltindividet kan gjøre selv.

Som leverandør av meldingstjenester har Telenor et ansvar for å håndtere phishingangrep rettet mot våre kunder, og oppdage når tilgangen til våre tjenester har blitt kompromittert som følge av skadevare eller phishing. Det krever oppdatert kunnskap om trender og trusselbilde.

Telenors merkevare er attraktiv å misbruke for svindlere. Dette har vi sett eksempler på under kampanjer der det er sendt ut løsepengevirus forkledd som fakturaer fra Telenor. Vi må også forvente at vår posisjon som leverandør misbrukes av både statlige aktører, kontraktører og kriminelle med økonomisk motivasjon mot våre kunder i målrettede phishingkampanjer.

Vil ha varslingskanal

Vi jobber aktivt med håndtering av alle hendelser, og anmelder de store og viktige sakene til politiet. Omfanget av hendelser gjør det urealistisk å anmelde hver enkelt, også fordi mange hendelser i seg selv ser ut, for oss, å ha lite skadepotensiale. Det vi savner er en digital varslingskanal der vi og andre kan rapportere hendelser til politiet på en effektiv måte slik at politiet kan gjøre sine vurderinger om hendelser fra flere virksomheter og sette disse i sammenheng som en del av et større sakskompleks. For det vet jo ikke vi. Vi tror en slik løsning vil ha mye positivt ved seg, både for å få oversikt over omfang av hendelser, hyppighet og målgruppene det treffer, samt at politiet får et bedre bilde av hva som faktisk foregår av digitale kriminelle aktiviteter.

Har du blitt utsatt for eller forsøkt utsatt for noe av følgende:

slik_angriper_de_graf1-600x400


Hva slags digital informasjon er du mest redd for å miste tilgangen til eller kontrollen på?


slik_angriper_de_graf2-600x400


I hvilken grad synes du det er krevende å beskytte deg selv og dine personopplysninger mot ulike former for svindel og digital kriminalitet?

slik_angriper_de_graf3-600x400


Ønsker tilgang

De aller fleste cyberoperasjoner benytter sosial manipulering, enten digitalt eller ved direkte menneskelig kontakt. Hensikten er uansett påvirkning. E-post er en yndet måte å gjøre det på, fordi det virker. De mest avanserte aktørene ønsker ikke å bruke ondsinnet kode, men vil skaffe seg tilganger ved å få ansatte til å gi fra seg påloggingsinformasjon og annen sensitiv jobbinformasjon. På denne måten ønsker slike aktører å kunne operere inne i virksomheters nett uten å bli oppdaget i lengst mulig tid.

Her er noen eksempler på sosial manipulering:
  • Personer utgir seg for å være noen andre for å skape tillitt, som for eksempel driftsansvarlig, reparatør eller fra IT-avdeling.
  • Noen spiller på frykt, av typen «Hvis du ikke fyller inn dette webskjemaet med kredittkortopplysninger eller brukernavn og passord, vil brukerprofilen eller mailkontoen din bli slettet.»

Vil tjene penger

Når trusselaktørene har økonomisk vinning som mål er ransomware eller «løsepengevirus» en kjent metode. Du angripes gjerne via e-post med et infisert vedlegg, eller lurer deg til å klikke på en lenke som så fører til at du får servert en «cocktail» med ondsinnet kode som tar maskinen din som «gissel». Det vil si at alle dokumenter blir låst og utilgjengelig. Angriperen ønsker du skal betale for å få nøkkelen til å kunne låse opp igjen informasjonen din. Denne metoden har blitt mye brukt så langt i 2017.

I mai ble et større antall offentlige institusjoner og firmaer rammet av løsepengeviruset kalt «WannaCry», som spredde seg over hele verden. I Storbritannia ble blant annet mange helseforetak rammet. I Norge var spredningen heldigvis liten, og det ble kun meldt om et fåtall smittede maskiner. Skadevaren spredde seg som en orm fra maskin til maskin. Eldre versjoner av Windows uten de siste oppdateringene ble rammet. WannaCry var forholdsvis amatørmessig laget, og manglet blant annet en god betalingsløsning. Både Nord-Korea og mindre dyktige cyberkriminelle aktører har vært lansert som mulige aktører bak angrepet. Teknikken for å spre skadevare har også endret seg jevnlig, for eksempel har det vært brukt filvedlegg i e-post, linker til nedlastning via Dropbox og Word-filer med makroer.

Som internettleverandør har Telenor Norge et ansvar for å redusere risikoen for spredning av skadevare i vårt nettverk, og gjøre det vi kan for å beskytte kundene fra å få utstyr infisert. I tillegg bistår vi bredbåndskunder som har fått infisert sine maskiner med skadevare, eller som har utstyr som er sårbart for misbrukes til skadevareangrep.

Vi blokkerer også infrastruktur på internett som utelukkende benyttes til spredning av skadevare.

Mer direktørsvindel

Fra september 2016 opplever vi at flere kriminelle forsøker å lure til seg penger ved å svindle ledere og andre nøkkelpersoner som har myndighet til å utføre store utbetalinger i norske selskaper.

Direktørsvindel (også omtalt som CxO-svindel) er en metode der angriperen benytter sosial manipulering via e-post, ofte kombinert med telefonhenvendelse for å få utbetalt penger til seg selv. Telenors toppledere har også blitt utsatt for dette og trusselaktørene i slike saker er på jakt etter penger.

De som henvender seg har ofte gjort forundersøkelser som gjør at de har et språk og refererer til intern informasjon som får hele henvendelsen til å fremstå mer reell. I fjor ble et verdensomspennende norsk selskap forsøkt svindlet for 500 millioner norske kroner. De lyktes med å stoppe majoriteten av overføringen, men svindlerne slapp unna med over 100 millioner kroner.

Denne typen svindel har økt i omfang, og siden det er store penger å tjene her forventer vi at de kriminelle vil fortsette å bruke denne metoden også fremover. Vårt råd til virksomheter er å innføre krav om minimum to personers godkjenning før større pengeoverføringer kan gjennomføres.

Ønsker å lamme virksomheten

Tjenestenektangrep eller DDoS-angrep (Distributed Denial of Service) går ut på å lamme tilgangen til en nettside eller tjeneste, ofte ved å sende store mengder trafikk mot den. Tjenesten, for eksempel en nettbank, vil for kundene oppleves ikke å være tilgjengelig. Distributed betyr at angrepet skjer fra mange steder på Internett samtidig.

En utfordring er at det finnes tjenester der man enkelt kan betale for å få utført angrep til en billig penge. De som kjøper tjenestene er alt fra gutteroms-hackere til profesjonelle aktører. De har ulike hensikter, som hærverk og utpressing med trusler om slike angrep, dersom man ikke betaler.

I fjor høst så vi det første store DDoS-angrepet som ble utført ved hjelp av tingenes internett. Da ble den amerikanske nettleverandøren Dyn rammet av et DDoS-angrep fra et stort nettverk som har fått navnet Mirai. Angrepet førte til at nettsidene til en rekke store selskaper var utilgjengelig, deriblant Twitter, Spotify, Netflix og PayPal.

Hackede webkameraer fra det kinesiske firmaet Xiongmai var ett av systemene som ble brukt i disse DDoS-angrepene. Kameraene leveres med standard brukernavn og passord og lar seg ikke oppgradere. Firmaet endte opp med å tilbakekalle kameraene sine i USA.

I perioden mai 2016 – mai 2017 ble det gjennomført over 8000 DDoS-angrep mot Telenor Norge og virksomheter som kjøper sikkerhetstjenester av Telenor Norge. Telenor Norges sikkerhetssenter (Telenor Security Operations Centre – TSOC) er selskapets førstelinje mot cyberangrep. De håndterer hundrevis av tjenestenektangrep hver eneste måned.

Omtrent en tredjedel av angrepene var så store at Telenor Norges sikkerhetssenter måtte gjøre tiltak for at angrepene ikke skulle påvirke Telenor Norges eller våre kunders tjenester. Det største angrepet var på over 277 gigabits per sekund (Gbps) og varte i én time. Slike trafikkmengder kan ta ned enhver virksomhet i Norge.

Vårt mål er at slik uønsket trafikk aldri skal treffe våre kunder. Vi bygger derfor ut vår evne til håndtering av denne type hendelser fortløpende.

Telefonsvindel

Telefonsvindlere ringer ofte fra utenlandske nummer, og legger på med en gang det svares. Det kan være et tilfelle av et såkalt ”wangiri”-anrop. Selve ordet ”Wangiri” betyr ”One and cut”. Denne formen for svindel går ut på å få offeret til å ringe tilbake. Svindlere bruker en datamaskin som kan ringe opp flere tusen numre i minuttet, og lar det ringe kun en gang før samtalen automatisk avbrytes. Dette gjør at mottakeren får et tapt anrop på telefonen sin. Målet er å vekke nysgjerrighet og at offeret ringer tilbake for å finne ut av hvem som ringte. Det er da svindlerne tjener penger fordi nummeret som det ringes til er forskjellige typer teletorgnumre, med skyhøye takster.

Vi jobber løpende med å beskytte våre kunder mot de verste formene for One-ring, og redusere mulige tap for dem. Ringer våre kunder til et utenlandsnummer som er tilknyttet en teletorgløsning betaler kunden kun utenlandstaksten som er forhåndsdefinert, men det kan naturligvis fortsatt bli dyrt.

Vårt råd er; ikke ring tilbake når ukjente utenlandske numre har ringt deg. Det er for øvrig en myte at det kan takseres for innkommende anrop på mobilen. Så lenge kundene befinner seg i Norge vil man aldri bli belastet for innkommende anrop.

Sperrer anrop fra svindlere

Kriminelle som forsøker å fiske ut informasjon eller svindle til seg penger via telefonen, er fortsatt en utfordring. Selv om nordmenn generelt har blitt mer skeptiske til mistenkelige telefonoppringninger vil kriminelle fortsatt benytte metoden så lenge den er lønnsom. Telenor Norge har et anropsfilter som kan hindre at anrop fra verifiserte svindlere kommer gjennom vårt nettverk. Vi oppdaterer filteret løpende og straks vi blir klar over nye numre i omløp.
sperrede-anrop-600x400