IT-truslen er også reel på SMS og sociale medier

I dag ved de fleste, at de skal være på vagt over for falske e-mails, også kaldet phishing, der prøver at få dig til trykke på et link til et ondsindet website, hvor du bliver bedt om at afgive private oplysninger som fx dit kodeord. Men den bevidsthed har vi endnu ikke fået over for SMS-angreb. Det viser en undersøgelse, som DBI og Alexandra Instituttet har gennemført i samarbejde med Forsvarsakademiet i regi af projektet SAVE.

I forsøget klikkede 89 procent af brugerne på et link i en phishing-SMS mod 40 procent i en e-mail.

Forsøget viste klart, at det er nemt at ramme folk med SMS-angreb. På SMS’er kan afsenderen nemt skjule, hvor telefonnummeret kommer fra og sende en SMS til en person under påskud af, at den kommer fra en anden. SMS’en vil så dukke op i den tråd eller dialog, som du ellers har haft med personen. Det fortæller Jonas Lindstrøm, Senior Security Architect i Security Lab i Alexandra Instituttet.

Gik efter virksomheder med fokus på sikkerhed

I undersøgelsen prøvede man at ramme medarbejdere i tre virksomheder, som beskæftiger sig med kritisk infrastruktur. Et fra forsvarsindustrien, et fra olieindustrien og et generelt sikkerhedsfirma.

– Tanken var at ramme firmaer, der håndterer ting, der er kritiske – som fx olieforsyning eller firmaer, der ligger inde med dybt fortrolige oplysninger om våbensystemer. Hvis man får en fod indenfor, kan man potentielt lave industrispionage eller afpresning, og derfor skal disse firmaer selvfølgelig have mere styr på sikkerheden. Men konklusionen er, at de er sårbare over for SMS-angreb, og at det er relativt nemt at udføre dem, uden at det kræver mange ressourcer, forklarer Jonas Lindstrøm.

Nemt at automatisere angreb

En konklusion, som projektet kom frem til var, at det er nemt at indsamle information om ledende medarbejdere på sociale medier. Ofte ved at automatisere angrebene. Hackere skal typisk økonomisere med deres ressourcer og kan ikke bruge dage på at finde ud af, hvordan en virksomhed er opbygget. Derfor udfører de automatiserede angreb.

– Vi udvalgte en gruppe medarbejdere og lavede en automatisering med Facebook og samlede alt sammen om dem. Lige fra hvem der er venner, hvem der skriver meget sammen, og hvem der har ferie. Det kan hackere udnytte til at forme angreb, fordi de kan lære strukturen i virksomheden at kende, forklarer Jonas Lindstrøm.

Nogle personlighedstyper er nemmere at angribe

Derefter brugte  forskningen til at finde ud af, hvem der er mest modtagelige over for phishing. Her er der forskning, der tyder på, at du kan afkode folks personlighedstype ud fra, hvad de skriver. Folk der er ”neurotisk anlagt” er nemmere at snyde, og samtidig kan man se, at folk, der beklager sig meget, bander eller er meget negative i deres sprog, i højere grad er neurotisk anlagt!

– Det er meget overordnet, men tænk på, at en forbryder kan trykke på en knap og scanne virksomhedens 500 medarbejdere for at finde frem til, hvem der er nemme ofre, og herefter sende dem en e-mail eller SMS, fortæller Jonas Lindstrøm.

Læs mere om projektet her her

Og find tip til at håndtere IT-angreb her

Om projektet

I projektet SAVE har man gennemført et studie af social engineering. Projektpartnerne er Dansk Brand- og Sikringsteknisk Institut (DBI), Alexandra Instituttet og CenSec. Projektet er finansieret af Forsvarsakademiet.

Læs projektets resultater her