Hur samlar cyberbrottslingar in information för att kunna angripa IT-system? Hur lyckas en hackare skicka falska e-postmeddelanden till så många anställda i ett företag som möjligt? De lyckas ofta genom att rikta in sig på den svagaste länken i säkerhetskonceptets kedja: människor. Därför är det otroligt viktigt att de anställda känner till sin plats i effektiva åtgärder mot informationssäkerhetsincidenter. Och de måste se på informationssäkerhetens risker och möjligheter ur ett annat, mer medvetet perspektiv. Nyckelordet: säkerhetsmedvetenhet. En gästartikel av Arwid Zang, vd för greenhats.com.

Loading...

Webbplatser är som öppna böcker

IT-säkerhet och informationssäkerhet är som bekant två helt olika par skor, men gränserna kan ändå suddas ut. Det är uppenbart att IT-säkerhetsincidenter regelbundet leder till informationssäkerhetsincidenter. Om jag är en hackare som äventyrar ett företagsnätverk måste jag sitta framför skärmen med ögonen krampaktigt slutna för att inte få tag på en eller annan information som inte var avsedd för mig.

Det är dock också möjligt att cyberbrottslingar inledningsvis samlar in information som på lång sikt gör det möjligt för dem att överhuvudtaget angripa det utvalda offrets IT-system.

På plattformen för säkerhetskontroller greenhats.com är vårt dagliga arbete att hacka företag, identifiera sårbarheter och åtgärda dem innan brottslingar hittar dem.

Trogen mottot "Låt oss bara prata om det" vill jag i den här artikeln i detalj förklara en angreppsmetod som berör alla. Och tillsammans med dig vill jag ta upp frågan: Varför berättar jag egentligen allt detta för dig?

Incidenter i informationssäkerheten: Enkelt är farligast

Vi talar naturligtvis om den så kallade "phishing-attacken" - oroa dig inte, jag ska försöka bespara dig fler främmande ord och IT-vokabulär. Jag behöver dem inte ens, eftersom phishing inte är en teknisk attack, utan en attack mot den svagaste länken i kedjan för (nästan) alla säkerhetskoncept. En attack mot människor.

Låt oss anta att jag vill attackera dig. Då sätter jag mig inte bara planlöst vid min bärbara dator och börjar skriva på svarta konsoler. Nej, först behöver jag ... exakt! Information och personuppgifter. Detta innefattar bland annat:

  • E-postadresser till ditt företag.
  • Namnen på din IT-personal.
  • E-postsignaturer.
  • Information om din företagsidentitet.
  • Ett ämne som är intressant för dina anställda
informationssicherheitsvorfaelle-zang4streamline-icon-fast-email
Loading...

I princip är phishing inte en teknisk attack, utan en attack mot den svagaste länken i kedjan för (nästan) alla säkerhetskoncept.

En attack mot människor.

Om jag antar att jag inte vet något annat än namnet på ert företag, går jag naturligtvis först in på webbplatsen, läser och lär mig allt som finns att lära. Framför allt är jag intresserad av e-postadresser och kontaktpersoner för er IT. I följande attack vill jag nämligen skicka ett falskt e-postmeddelande till så många anställda som möjligt (vars adresser jag behöver) samtidigt som jag i möjligaste mån undviker att skicka det även till IT-avdelningen.

E-postadresser: "Kapitalet" i en nätfiskeattack.

När jag har hittat några e-postadresser kan jag härleda mönstret. Till exempel: "firstname.lastname@samplecompany.com" Jag försöker då att avslöja logiken i hur den anställdes e-postadress kan härledas från namnet.

Sedan ger jag mig ut på Internet igen - den här gången till de sociala nätverken. Jag talar inte om de "onda" aktörerna som Facebook & Co. XING och LinkedIn är mycket mer intressanta.

Loading...

Där söker jag efter ditt företag och tittar på vilka personer som uppger att de arbetar för detta företag. På så sätt får jag en lista med namn från vilka vi kan härleda adresser med hjälp av det identifierade mönstret. Samtidigt kan jag redan utifrån profilerna i de sociala nätverken se vilka av dina kollegor som eventuellt skulle kunna känna igen min kommande attack utifrån deras yrkeserfarenhet och IT-intressen.

Dessa kollegor kommer inte att få några falska mail från mig.

Säkerhetsmedvetenhet: Den trojanska hästen kommer officiellt

Nu när jag känner till mitt mål för attacken vill jag utge mig för att vara anställd på ditt företag. För att göra detta tar jag först kontakt med dig. Via officiella kanaler, till exempel som en potentiell kund. Jag skriver ett e-postmeddelande till dig och ber om en offert. Du svarar - helst med en produktportfölj eller liknande.

Ditt svar ger mig värdefull information:

  • Hur ser din e-postsignatur ut?
  • Vilka typsnitt använder du?
  • Var placerar du din logotyp i dokumenten?
  • Hur markerar du rubriker?
  • Vilka färger använder du?
  • Och, och, och, och...

Än så länge är det inte så komplicerat. Men se upp - nu kommer tricket. Låt oss anta att ditt företag heter "SampleCompany" och finns på Internet på "samplecompany.com". Då letar jag nu efter en adress på Internet som ser väldigt lik ut som din adress. Till exempel "samplecompany.eu". Jag köper denna adress (det kostar egentligen bara några euro) och kan nu bygga mitt angrepp på den.

Från "firstname.lastname@samplecompany.eu" kan jag nämligen skicka e-postmeddelanden med din signatur som ser ut att komma direkt från dig. Jag bryr mig inte om vilka namn eller synonymer jag använder som avsändare, för tekniskt sett spelar det ingen roll.

Incidenter i informationssäkerheten: Ett exempel från verkligheten

Din företagsledare är inte din företagsledare

Detta kan vara riktigt farligt om jag till exempel låtsas vara administratör för din IT. Jag skriver ett e-postmeddelande till dig och alla dina kollegor där jag till exempel uppmärksammar er på en ny videoportal för distansmöten, där alla anställda bör autentisera sig en gång för att kontrollera om de befintliga kontakterna har överförts.

Eller när jag skriver till dig som assistent till din verkställande direktör och förklarar att julfesten har ställts in på grund av pandemin, men att ledningen i stället lottar ut fem helt nya iPhones. För att se till att alla hamnar i potten bara en gång ber vi varje anställd att autentisera sig en gång på den bifogade portalen - vinnarna kommer sedan att tillkännages i slutet av december.

Falskt inloggningsområde: Barnlek i tider av digitalisering

Oavsett vilken metod jag väljer - måste jag skicka dig en länk som leder till nämnda "portal". Detta kan då vara "raffle.samplecompany.eu" eller "portal.samplecompany.eu".

Också vid denna tidpunkt kan jag ge fritt spelrum åt min kreativitet. Eftersom jag äger motsvarande sida behöver jag bara bygga något där som ser trovärdigt ut för dig och dina kollegor. I fallet med tävlingen till exempel ett trevligt inloggningsområde i ditt företags design, med din logotyp och kanske en liten tomte. Eller några stjärnskott.

Lösenorden hamnar hos angriparen - i klartext

Självklart är säkerheten högsta prioritet på min portal! Allt är utmärkt krypterat och det görs omöjligt för tredje part att läsa din inmatning. När allt kommer omkring anger du användarnamn och lösenord, vilket är känslig information. Ur teknisk synvinkel är allt detta absolut seriöst. Dina uppgifter överförs på ett säkert sätt och hamnar i de bästa händerna - mina.

Förresten är komplexiteten hos ditt lösenord helt irrelevant i en sådan attack; det hamnar i klartext hos angriparen. Och kom ihåg att (även om de är minimalt mer komplexa) en mängd olika 2-faktorslösningar kan "phishing" om jag anpassar min portal därefter.

Informationssäkerhet: Anställda som en framgångsfaktor

Jag lovade dig att reda ut den viktigaste frågan i slutet: Varför berättar jag allt detta? Svaret är: Vem annars?

Det är viktigt att förstå att den attack som jag beskriver - ur en rent teknisk synvinkel - inte alls är en attack. Jag skriver ett e-postmeddelande till dig från en adress som faktiskt tillhör mig. Det finns inte ens en bilaga i det, än mindre skadlig kod. Du omdirigeras till en sida på Internet som inte försöker äventyra ditt system. Och som jag beskrev tidigare är den här sidan också perfekt säkrad och all trafik är optimalt krypterad.

Så här är det med andra (välrenommerade) webbplatser som du loggar in på. Och precis som du anger ditt privata lösenord på LinkedIn eller XING för att autentisera dig, anger du det nu på min webbplats.

Informationssicherheitsvorfaelle-zang5streamline-icon-emaile-search
Loading...

Ur teknisk synvinkel förfalskar inte phishers e-postmeddelanden. De förfalskar hela ditt företag. Och det är just därför som tekniska skyddsåtgärder inte fungerar. Lösningen är att känna igen och förhindra attacken - och det är upp till dig.

Det är viktigt att förstå att jag ur teknisk synvinkel inte förfalskar ett e-postmeddelande. Jag förfalskar hela ditt företag.

Och det är just därför som tekniska skyddsåtgärder inte fungerar. Lösningen ligger i att upptäcka och förhindra attacken - och det är upp till dig. Precis som lämpliga åtgärder för att öka medarbetarnas medvetenhet i denna riktning.

För om jag sätter upp det här scenariot snyggt är det bara möjligt att upptäcka attacken genom att lägga märke till skillnaden i adressen, alltså i vårt fall ".eu" i stället för din ".com". Jag är medveten om att den ena eller andra av er nu är helt säker på att ni har den nödvändiga överblicken för att göra detta även i ert stressiga vardagsarbete. Därför vill jag ge de mer avancerade av er lite att tänka på:

Skulle ni också känna igen "samplecompany.com" som en bluff? Ett litet tips: "l" är inte ett L utan den grekiska bokstaven "Iota". För det mänskliga ögat är det ingen skillnad mellan dem, men din dator ser det förmodligen lite annorlunda. Jag kan försäkra dig om att i alla de phishingattacker som vi har simulerat för företag har det inte funnits en enda kund där ingen anställd har avslöjat sina uppgifter.

Det viktigaste: sensibilisera de anställda för attackerna

Frågan är alltså inte om dina kollegor skulle falla för en sådan attack. Frågan är snarare hur många anställda som kommer att känna igen attacken, hur snabbt de kommer att rapportera den till IT-avdelningen och hur lång tid IT-avdelningen har på sig att reagera.

Det är just här som medarbetaren blir en framgångsfaktor för mer informationssäkerhet och IT-säkerhet när det gäller säkerhetsmedvetenhet.

Jag vill inte vara en av de vita hackare som håller sina strategier för sig själva och njuter av de katastrofala resultaten av sådana attacker. Mycket mer vill jag bidra tillsammans med dig till att göra ditt företag lite säkrare.

Nu är det din tur: Det jag just har beskrivit för dig är bara ett exempel på de många sätt på vilka människor och deras ibland slarviga hantering av information kan utnyttjas och användas för att tjäna pengar som angripare. IT-avdelningar kan bara skydda mot detta i begränsad utsträckning eller inte alls; det är deras uppgift. Tänk ut attacker själv, fundera på hur du skulle kunna kapa dina kollegor och göra det till ett ämne vid det (virtuella) lunchbordet.

ISO 27001: Medvetenhet som en del av åtgärdskatalogen

Och sedan, sätt ditt företag på prov regelbundet och gör medvetenheten till en del av din säkerhetsplan. Om du läser lite mellan raderna hittar du detta också i den internationellt erkända standarden för ett ledningssystem för informationssäkerhet (ISMS).

ISO/IEC 27001 kräver till exempel att du ska se till att den svagaste länken i kedjan blir medveten och därmed sensibiliserad om hur företagets information ska hanteras (kapitel 7.3 och bilaga 7.2.2). Detta börjar med något så enkelt som en e-postadress. Andra reglerande eller rättsliga krav, som GDPR, är också inriktade på det förebyggande tillvägagångssättet för att undvika incidenter.

"Ett ISMS enligt ISO 27001 definierar krav, regler och metoder för att säkerställa säkerheten för skyddsvärd information i företag. Standarden tillhandahåller en modell för att införa, genomföra, övervaka och förbättra skyddsnivån. Målet är att identifiera potentiella risker för företaget, analysera dem och göra dem kontrollerbara genom lämpliga åtgärder. I ISO 27001 formuleras kraven för ett sådant ledningssystem, som granskas som en del av en extern certifieringsprocess. Standarden finns tillgänglig på ISO:s webbplats."

Uppfyll standardens krav med åtgärder för medvetenhet, till exempel riktlinjer, utbildning, kommunikation om pågående nyheter eller till och med simulerade nätfiskeattacker, vilket vi gör för våra kunder. Och: Var ärlig mot dig själv och fråga dig själv hur framgångsrika dina tidigare utbildningsåtgärder har varit när det gäller att förbereda dig för en nödsituation som den jag just har beskrivit.

Man and a woman with a laptop in a server room
Loading...

ISO 27001 - Questions and answers

Information av värde är dagens guld - och därför också en tillgång som måste skyddas i ditt företag. ISO 27001 har många lösningar i beredskap.

En incident som rör informationssäkerheten innebär vanligtvis kaos

När vi ändå talar om ärlighet: Hur skulle du egentligen reagera på en informationssäkerhetsincident som utlöses av en cyberattack? Visserligen är ämnet reaktiv säkerhet alltid lite obekvämt, men det är något som bör diskuteras.

Folk tycker om att tänka på det som en brandlarmsövning - någon gång under arbetstid ringer en klocka oväntat, alla lämnar byggnaden på ett ordnat och lugnt sätt, väntar utanför en stund och pratar med kollegor om vädret, och efter en stund får alla komma in igen och på vägen dit kan de ta en kaffe.

Men så är det inte.

Mitt team har redan blivit kontaktat av ett par företag där det skett en attack, och jag kan lova er: Det är kaos. Även flera dagar efter själva händelsen. Det beror bland annat på att moderna hackare utnyttjar sina offers arrogans.

informationssicherheitsvorfaelle-zang2streamline-icon-mail-attention
Loading...

Gör medvetenhet till en del av ditt säkerhetskoncept och låt ditt företag regelbundet sättas på prov. Om man läser lite mellan raderna hittar man detta också i den internationellt erkända standarden för ett ledningssystem för informationssäkerhet, ISO 27001.

Jag vill förklara detta för dig, så låt oss gå tillbaka till vår phishingattack. Låt oss säga att jag som angripare lyckas fjärransluta mig till en av dina kollegors IT-system med hjälp av deras lösenord. Tror du att jag inte skulle veta att någon i ditt företag märker att det skett en attack här och rapporterar det till IT? I bästa fall gör du det personligen, det är jag fullt medveten om.

Incidenter i informationssäkerheten: Bakdörren till ditt system

Det är därför jag gör två saker: För det första gör jag något uppenbart som irriterar ditt företag och ger dig något att göra. Jag skickar till exempel skräppost till dina kunder i din kollegas namn. Det är uppenbart och ger dig och din IT-avdelning något att göra. Nu kan du ta fram alla dina beredskapsplaner ur skåpet och arbeta igenom informationssäkerhetsincidenten bildmässigt tillsammans med dina IT-representanter. Inklusive sofistikerade marknadsföringsåtgärder som kommer att polera den skamfilade bilden till en ny högglans och kanske få dig att framstå som en "överlevare" ännu bättre än tidigare. Proffs kan göra detta.

Men samtidigt försöker jag som angripare att sätta upp en bakdörr till ett system som din IT inte kommer att märka i all uppståndelse. Det är som att gå in i en juvelerarbutik, slå omkull det största vitrinskåpet och i hemlighet stoppa alla dyra ringar och klockor i min ficka medan alla kastar sig över de trasiga bitarna.

Självklart är min bakdörr extremt svår att hitta om man inte vet vad man letar efter. Och sedan gör jag ingenting. I veckor, i månader.

"Jag arbetar mig fram genom ditt nätverk, i tysthet. Jag sprider ut mig - och jag väntar ..."

Nu försöker jag arbeta mig fram genom ert företagsnätverk, i tysthet. Utan några "högljudda" programvaruskannrar, som kommer att uttömma ditt nätverk och larma dina säkerhetssystem. Helt manuellt, nästan som i den gamla skolan. Det är förresten här som vetet skiljs från agnarna på hackersidan. Om ditt nätverk endast har utsatts för säkerhetsskannrar i testscenarier kommer det inte att hjälpa dig alls nu. Jag sprider ut mig och väntar - tålmodigt. Jag försöker identifiera när och hur säkerhetskopior görs, vem som kommunicerar med vem och var din organisation är mest känslig. I vårt exempel gör jag förmodligen detta på natten - eller åtminstone efter kärnarbetstiden, då det är ännu mindre sannolikt att jag blir observerad. Och naturligtvis döljer jag mina spår varje dag.

informationssicherheitsvorfaelle-zang3streamline-icon-folder-search
Loading...

Proaktiva IT-säkerhetsåtgärder och i synnerhet en uttalad säkerhetsmedvetenhet är de viktigaste byggstenarna i varje företags IT-säkerhetskoncept. En välutvecklad säkerhetsmedvetenhet innefattar dock också insikten om att det kan hända dig. Och om det skulle hända bör du vara förberedd.

Och så - månader senare - inträffar den stora informationssäkerhetsincidenten. Helt utan anledning för ditt företag. Jag använder då till exempel en av de många krypteringstrojanerna för att utpressa dig. "Av en slump", men på grund av mitt förarbete, körs den dock med de högsta privilegierna, kringgår era säkerhetsåtgärder och sprider sig först till systemen med era mest relevanta filer. Och om jag under all den tid jag haft har upptäckt en svaghet i ditt säkerhetskopieringssystem ... Som jag sa, kaos.

Bristande medvetenhet: perfekt för en riktad attack

Ja, vi är fortfarande i vårt exempel, men detta är inte alls Hollywood. Detta är en vanlig praxis och en viktig orsak till att vi fortfarande hör och läser så ofta om företag som kämpar med sådana krypteringstrojaner. För några år sedan släpptes dessa mer eller mindre lös på Internet, och endast de svagaste fåren i flocken föll offer för dem: de företag som hade svag teknisk säkerhet på utsidan.

Saker och ting är annorlunda i dag. Anställdas bristande medvetenhet används för att rikta in sig på företag, och först när offret är helt kontrollerat används den automatiserade attackprogramvaran.

Jag anser fortfarande att proaktiva IT-säkerhetsåtgärder och i synnerhet en stark säkerhetsmedvetenhet är de viktigaste byggstenarna i ett företags IT-säkerhetskoncept - det finns helt enkelt för många exempel och konkreta fall som styrker detta. Men en välutvecklad säkerhetsmedvetenhet innefattar också en förståelse för att det är möjligt att bli påverkad. Jag inkluderar mig själv i detta. Och om det skulle hända bör man vara förberedd.

Minimera sannolikheten för att det ska inträffa

Jag tog medvetet med exemplet med brandlarmet i mina kommentarer. Detta förbereder företaget för den händelse att det trots alla förebyggande åtgärder ändå skulle uppstå en brand. Vissa företag har också något liknande för informationssäkerhetsincidenter och IT-säkerhetsincidenter. Och om det skulle vara lite för mycket av det goda för dig (det beror egentligen alltid på företaget i varje enskilt fall) har jag ändå ett tips till dig:

Om ni genomför penetrationstester eller andra attacksimuleringar som en del av era proaktiva säkerhetsåtgärder, nöjer ni er inte med att bara åtgärda de sårbarheter som ni hittar. Ställ alltid frågan: Har den här sårbarheten utnyttjats tidigare? Har bakdörrar installerats?

"Sluta inte att ställa frågor."

Eller annorlunda uttryckt: behandla varje "upptäckt" med samma allvar som en verklig informationssäkerhetsincident. På så sätt minimerar du sannolikheten för att det inträffar samtidigt som du sätter dina reaktiva säkerhetsplaner - som jag innerligt önskar att du aldrig behöver - på prov. Som brandlarmet.

Allt detta är en del av medvetenheten och samtidigt bara en del av helheten. Med denna viktiga komponent kan ni dock förhoppningsvis le mot mig när jag frågar: "Om jag gör det i morgon, kan jag då få er på fall?". Förhoppningsvis.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Gern beantworten wir Ihre Fragen

Vilken typ av ansträngning måste du räkna med när du certifierar ditt ledningssystem för informationssäkerhet? Ta reda på det, utan förpliktelser och kostnadsfritt. Vi ser fram emot att prata med dig.

Förtroende och sakkunskap

Våra texter och broschyrer skrivs uteslutande av våra standardexperter eller revisorer med mångårig erfarenhet. Om du har några frågor om textens innehåll eller våra tjänster till författaren är du välkommen att kontakta oss.

Författare
Arwid Zang

Managing Director of the security platform "greenhats". IT security specialist, trainer and author specializing in white-hacking, awareness training, information security and proactive hardening of IT systems.

Loading...