Det var en stribe phishing-mails rettet direkte mod Sonys systemingeniører, netværksadministratorer og andre, der banede vejen for angrebet mod Sony Pictures Entertainment 24. november.
Hackergruppen Guardian of Peace ramte Sony i et af de mest opsigtsvækkende og katastrofale angreb i de senere år - og det kunne blandt andet lade sig gøre, fordi de via LinkedIN kunne søge sig frem til de helt rette medarbejder med de nødvendige systemrettigheder.
Og phishing-mails rettet mod medarbejdere med vidtgående systemrettigheder er en oplagt strategi for de it-kriminelle, forklarer Jens Christian Høy Monrad, der er it-sikkerhedsekspert hos FireEye.
"Det er ikke første gang, vi har set det her. For nogle år siden blev RSA kompromitteret, hvor man gik efter Lockheed Martin og det her Joint Strike Fighter-fly, og dengang var fremgangsmåden den samme."
"På den måde er det ikke overraskende, at man ser det her. Det kommer ikke bag på mig," lyder det fra Jens Christian Høy Monrad.
Sikkerhedseksperten har også et bud på, hvorfor selv it-professionelle kan hoppe på en phishing-mail.
"Det er jo den menneskelige nysgerrighed og et spørgsmål om, at hvis mailen er interessant nok, sænker man paraderne. Det er bare et spørgsmål om at tilrettelægge det godt nok," lyder det fra Jens Christian Høy Monrad.
Læs også: De klogeste it-folk i virksomheden hoppede på katastrofal phishing-mail
Pas på med din LinkedIN-profil
Han kan ikke kommentere specifikt på Sony-sagen, da FireEye som selskab selv er med til at efterforske hacker-angrebet.
Han fortæller dog, at det heller ikke er usædvanligt, at hackerne arbejder med udgangspunkt i netop LinkedIN for at kunne sende målrettede phishing-mails.
Af samme grund advarer Jens Christian Høy Monrad imod, at man lægger alt for mange detaljer om ens arbejdsopgaver til offentlig skue på LinkedIN.
"En ting er jo, at man skriver, hvilken virksomhed man arbejder for, men hvis man også skriver, at man er databaseadministrator i virksomheden, kan jeg som angriber med en sårbarhed til den database gå ind på LinkedIN og finde alle potentielle ofre."
"Som virksomhed skal man have en holdning til sociale medier og til, hvad medarbejderne egentlig må skrive om det, de laver i virksomheden. Er det nødvendigt, at offentligheden skal vide, hvad jeg har adgang til af systemer og tjenester?"
"LinkedIN er et fantastisk værktøj til at netværke professionelt, men det er altså også et godt opslagsværk for dem, der angriber. De sparer en masse tid, hvis de bare kan gå ind og søge på alle database- eller netværksadministratorer i Danmark i virksomheder i en given størrelse," lyder det fra den danske sikkerhedsekspert.
Sådan så phishing-mailen ud
I phishing-mailen til Sony-medarbejderne blev de bedt om at verificere deres private Apple ID med udgangspunkt i forklaringen, at der havde været uautoriseret aktivitet.
En del af dem hoppede på den falske email og klikkede på det link, de blev bedt om af "Apple."
Når de havde klikket på linket, der skulle verificere deres Apple ID, blev de sendt til en webside, der så ud til at være ægte, og hvor de så skulle fuldføre processen.
Ved at aflure medarbejdernes adgangskoder, kunne hackerne tilsyneladende efterfølgende gætte sig til adgangskoderne i Sony-regi, fordi der var et vist genbrug.
Den generelle anbefaling fra Jens Christian Høy Monrad fra FireEye er da også, at man holder private og arbejdsmæssige adgangskoder adskilt.
"Den generelle anbefaling er selvfølgelig, at man ikke blander sine private konti sammen med de arbejdsrelaterede," siger han og tilføjer:
"Som minimum skal man som virksomhed have en eller anden form for effektiv politik omkring dine adgangskoder."
"Det behøver ikke nødvendigvis at være, at man skal skifte adgangskoder hyppigt - det kan også være, at man skal bruge to-faktor-validering."
Læs også:
Pinlig afsløring: De klogeste it-folk i virksomheden hoppede på katastrofal phishing-mail
