Annons
X
Annons
X

Så luras anställda av företagsspioner

På en och en halv vecka går det att få ut känslig information från vilket stort svenskt företag som helst. Allt oftare går attackerna via de anställda. Med nästan klassiska spionknep luras de att släppa ifrån sig information som kan orsaka stor skada.

Ett knep är att ”tappa” ett usb-minne som sedan plockas upp av någon som sätter det i sin egen dator. Det ger företagsspioner en direkt ingång till IT-systemen där de kan hämta hemlig information.

Ett knep är att ”tappa” ett usb-minne som sedan plockas upp av någon som sätter det i sin egen dator. Det ger företagsspioner en direkt ingång till IT-systemen där de kan hämta hemlig information. Foto: Tomas Oneborg

Vi är rätt många som hört tjatet gång på gång. Uppdatera antivirusprogrammet, byt lösenordet och se till att det är långt och krångligt.

Och just det, se till att alltid ha operativsystemet och alla program uppdaterade också. Det täpper till de senaste säkerhetsluckorna. Rätt befogade varningar sannolikt. Men den enklaste vägen till företagens hemligheter verkar inte längre vara rena IT-attacker utifrån. Det är de anställda själva som är den största faran.

Det är genom att kartlägga de anställda och leta efter svagheter i deras beteende som företagsspionerna snabbast kan få ut känslig information. Otrevligt nog gör de det genom att utnyttja goda mänskliga egenskaper som att hjälpa andra och besvara vänligt ställda frågor.

Annons
X

– Det tar bara en och en halv vecka att få ut informationen från ett genomsnittligt stort svenskt företag, säger Kristofer Karlström som är informationssäkerhetskonsult på Combitech, ett företag som ägs av Saab.

Han borde veta en del om saken. Combitech utsätter bland annat andra företag för informationsangrepp för att se hur sårbara de är. Fast till skillnad från de kriminella attackerna gör Combitech det på uppdrag av det andra företaget, just för att testa deras säkerhet.

Ibland handlar det om rent tekniska tester. Men allt oftare ingår även försök att få de anställda att avslöja uppgifter genom det som kallas sociala manipulationer, eller social engineering.

SvD NÄRINGSLIVS NYHETSBREV – dagens viktigaste ekonominyheter direkt i mejlkorgen

    Anmäl dig här kundservice.svd.se

    Ett populärt knep är att obehöriga bara hänger med in när någon anställd är snäll och håller upp dörren. Foto: Tomas Oneborg

    Att människor försöker lura av andra information är förstås ingenting nytt. Men nya digitala vanor har gjort det lättare för angriparna, inte minst genom att många människor skriver så mycket om sig själva på sociala medier och därmed ger öppningar för angriparna.

    De kan till exempel via Facebook ta reda på vad en anställd har för hobby och sedan skicka e-post om hobbyn till personens jobbdator. I mejlen finns sedan en länk som gör att angriparen kommer åt datorn och företagets nätverk.

    I en annan variant låtsas angriparen tappa ett usb-minne på en parkeringsplats. På minnet står det skrivet "Lönestatistik" och det får alltid någon att stoppa minnet i datorn i förhoppningen om att få se vad kollegerna tjänar. Men usb-minnet gör i själva verket att angriparen kommer in i företagets IT-system.

    – Det är verkligen många som går på den här typen av knep som ofta bygger på att det händer något oväntat, säger Kristofer Karlström.

    En ”allmän” bild kan förstoras upp så att hemlig information syns. Foto: Tomas Oneborg

    Fast det finns rader av andra metoder också, som att utnyttja de riktigt bra kameror som numera sitter i en del mobiler. En angripare som är på besök på ett företag låtsas ta en allmän bild men på fotot går det sedan att detaljförstora så mycket att man kan skilja ur viktiga detaljer. Den metoden går under beteckningen visual hacking.

    En annan variant, som också den går med en engelsk beteckning, kallas för walk-in-attacker. Den går helt enkelt ut på att angriparen utnyttjar människors vilja att hjälpa till och vara vänliga.

    Angriparen, som ofta ser bra ut, kommer gående med en kaffemugg i vardera handen och går fram till företagets dörr just som en anställd ska gå in. I det läget väljer de flesta att hålla upp dörren och säga välkommen och så är angriparen inne.

    – Den här typen av angrepp är väldigt omfattande och de är betydligt mer effektiva än att bara försöka hacka sig in i företagens it-system för att komma över hemligheter. Precis som det går att köpa skadlig kod via internet går det också att köpa sociala manipulationer och då blir det omöjligt att veta vem som egentligen står för angreppet.

    Kristofer Karlström är informationssäkerhetskonsult på Combitech. Foto: Combitech

    Kristofer Karlström påpekar att många företag lägger stora summor på skydd via olika tekniska lösningar men de har ofta begränsad effekt.

    – Angriparna utnyttjar den svagaste länken och det är alltid medarbetarna, säger Kristofer Karlström och pratar vidare om att medarbetarna också är viktiga för att få en balanserad säkerhet.

    Företagen har sina utbildningar i säkerhet men misslyckas ofta med att förändra de anställdas beteende. Ska de lyckas öka säkerheten måste de också utveckla sina säkerhetsutbildningar.

    Ett knep är att ”tappa” ett usb-minne som sedan plockas upp av någon som sätter det i sin egen dator. Det ger företagsspioner en direkt ingång till IT-systemen där de kan hämta hemlig information.

    Foto: Tomas Oneborg Bild 1 av 4

    Ett populärt knep är att obehöriga bara hänger med in när någon anställd är snäll och håller upp dörren.

    Foto: Tomas Oneborg Bild 2 av 4

    En ”allmän” bild kan förstoras upp så att hemlig information syns.

    Foto: Tomas Oneborg Bild 3 av 4

    Kristofer Karlström är informationssäkerhetskonsult på Combitech.

    Foto: Combitech Bild 4 av 4
    Annons
    X
    X
    X
    X
    Annons
    X