Organiserede kriminelle, og for den sags skyld danske og udenlandske efterretningstjenester, udviser i øjeblikket stor interesse for at rekruttere kvalificerede hackere, som er i stand til at suge data ud af organisationer og virksomheder. Værktøjskassen spænder efterhånden vidt: Fra sociale tricks, som har været kendt i årtier, til avancerede netværksanalyser af ansattes Facebook-aktiviteter med mange indsamlede data.
En mand i arbejdstøj med en kost i hånden eller en luftkaptajn i fuld uniform kan få adgang til mere end de fleste. En webserver kan indeholde adresselister på de ansatte og give adgang til en skybaseret printservice til firmaadgangskort. Et gammelt psykologisk profileringsværktøj til jobansættelser kan genbruges til at udføre avancerede netværksanalyser på sociale medier, så det bliver nemmere at udpege de ansatte i organisationen, som er de letteste ofre for phishing-angreb.
Den brede og multidisciplinære tendens har selvfølgelig fået prædikatet Social Engineering 2.0. Og der var mange indblik i emnet på en nylig konference hos DBI, Dansk Brand- og Sikringsteknisk Institut, arrangeret af CFIR, Copenhagen Fintech Innovation and Research.
Den ansatte får skylden
Hos TDC, en af landets største it-funderede virksomheder, ser man med bekymring på de økonomiske omkostninger, der er forbundet med at passe godt på virksomhedsdata, men også på det nødvendige i at have dokumentationen i orden, så ansatte i hackerramte virksomheder ikke uforvarende kommer under mistanke:
– Vi kommer til at se en sag i de kommende år, hvor en virksomhed eller en organisation vil placere skylden på en medarbejder og kræve kompensation, advarede strategichef Mathias Lysholm Faaborg fra TDC.
Han efterlyste politisk interesse for problemstillingen og konstaterede, at samfundet og virksomheder er langt tilbage, når det handler om at kunne håndtere den slags sårbarheder.
– I 2014 blev der udnyttet sårbarheder, som allerede var offentliggjort i 2007. I Kastrup Lufthavn findes der systemer, som stadig kører under Windows XP, sagde han med henvisning til den it-sikkerhedsmæssige langsommelighed, som er karakteristisk for især mindre danske virksomheder i Danmark.
Ansattes data mangler sikkerhed
Og når det gælder virksomheder og organisationer, der arbejder med kritisk infrastruktur i Danmark, står det heller ikke imponerende godt til. Også her er teknikkerne fra Social Engineering 2.0 ofte brugbare til at kompromittere ansatte og deres data og personlige informationer.
Det dokumenterede Dennis Hansen, konsulent og forsker hos DBI, der i 2015 gennemførte et otte måneder langt eksplorativt projekt, som omfattede 185 forskellige og ofte vellykkede angreb på tre udvalgte virksomheder, der arbejder inden for kritisk infrastruktur.
Dennis Hansen har specialiseret sig i Open Source Intelligence (OSINT) - informationsindhentning, som baserer sig på åbne kilder, og han er selv overrasket over dagens muligheder via internettet:
– Mens jeg børstede tænder i morges, satte jeg et lille script i gang med at finde e-mailadresser på NATOs internetdomæne. På fem minutter crawlede det 400 websites og fandt 130 e-mailadresser. 90 procent af e-mailadresserne var personlige og dermed velvalgte mål for phishing-angreb, konstaterede han under konferencen.
At udpege de ansatte i de tre angrebne virksomheder var ifølge forskeren den nemmeste del af projektet.
– De var lette at finde, og så lavede vi en profilering af medarbejdernes sociale medieprofiler. Det lyder komplekst, men vi anvendte en quick and dirty approach, vi imiterede hackere med få ressourcer, sagde Dennis Hansen.
Det skete ved at se på indholdet af de indlæg, som ansatte lagde på Facebook og andre sociale medier.
Neurotikere i farezonen
Forskerne identificerede ansatte med åbne konti og kategoriserede indholdet efter den såkaldte fem-faktor-model, som ofte anvendes til at undersøge ansattes psykologiske profil ved ansættelsesforløb.
– Nogle mennesker falder nemmere for phishing attacks, og det hænger blandt andet sammen med, hvilke personlighedstræk de har. Eksempelvis har mennesker med neurotiske tilbøjeligheder en tendens til at klikke på mere af det materiale, de modtager, end andre. Vi så også på, i hvilket omfang brugerne delte links og andet materiale ud fra den viden, at jo mere du selv deler, jo mere er du tilbøjelig til at klikke på noget, du får tilsendt, sagde Dennis Hansen under konferencen.
Projektet anvendte en blanding af en række teknikker til at identificere og udvælge medarbejdere som angrebsmål. Man så på barrierer for accept, man analyserede relationerne mellem de ansatte ved at se på, hvem der kommunikere med hvem, og anvendte to stykker software (Maltego og Foca) til analyse af de metadata, som knyttede sig til de tre virksomheder.
Data blev indsamlet. E-mailadresser, telefonnumre, sociale medie-konti, de ansattes status i organisationen, popularitet, den enkelte ansattes forbindelse til kolleger, særlige roller og funktioner i organisationen.
Selvom projektet foregik med eksplicitte etiske regler, som indebar begrænsninger i angrebsmulighederne - eksempelvis måtte medarbejdernes egne devices som smartphones ikke angribes, og malware-angreb var også no go - var der mange åbne døre.
– På en af virksomhederne identificerede vi et vigtigt databasesystem. Vi fandt en guide til det og en webformular i virksomheden, som vi kunne anvende. Vi sendte en e-mail til ansatte og bad dem om at logge på via webformularen. På den måde skaffede vi os adgang til brugernavne og password, konstaterede Dennis Hansen.