Læs også:
Nordea-kunder narret med social engineering
Chefen det nemmeste mål for social engineering
Måske var det mit regnvåde ansigt, der vakte medlidenhed.
Måske var det tidspunktet på dagen.
Måske var den fremmede mand bare på vej på arbejde, da han med et venligt 'godmorgen' tog sit adgangskort frem, kørte det gennem kortlæseren og lukkede mig med ind hos it-sikkerhedsfirmaet Symantec.
I hvert fald kunne jeg et 'godmorgen' senere spankulere ind i et storkontor, hvor der stod et par håndfulde computere - givetvis spækket med spændende informationer. Værdifulde informationer.
Jeg ventede dog artigt i hallens røde sofa. Min mission var ikke at hente data, men blot at interviewe Symantecs vicedirektør, Art Gilliand, som er produktansvarlig hos verdens største it-sikkerhedsselskab.
Pigen med pakken
Han slår ud med armene, da jeg fortæller ham, hvordan jeg er kommet ind. Art Gilliand har selv en anekdote klar, der handler om en ung smuk pige, som i en frokostpause i en større amerikansk produktionsvirksomhed går forbi de mandlige rygere ude på parkeringspladsen. I favnen har hun en stor pakke, og en af mændene træder galant frem og lukker hende ind i bygningen med sit adgangskort.
Inde på et kontor kvitterer hun for venligheden ved at sætte kassen fra sig, fiske to USB-sticks frem og fyre dem i to efterladte computere. Den kønne, unge kvinde forsvinder derefter ud af bygningen igen, mens hendes medsammensvorne bagmænd fjerner data fra produktionsvirksomhedens it-netværk.
Heldigvis for produktionsvirksomheden havde den både betalt bagmænd og den unge kvinde for at teste deres egne sikkerhedsproducerer, fortæller Art Gilliand.
"Historien indeholder alle de klassiske ingredienser i social engineering: Research omkring adgangsforholdene med hoveddøren og de rygende mænd, en smuk ung kvinde som afledningsmanøvre og relativ simpel teknik til at tilgå og stjæle firmaets data," forklarer han.
Folk er ikke dumme - men...
Begrebet social engineering dækker over moderne bondefangeri, hvor skuespil i stemmen og overtalelsesevner i øjnene er mindst lige så vigtige elementer som ferme programmeringsfingre.
Symantecs vicedirektør Art Gilliand fortæller, at social engineering er en af de nyeste og mest effektive former for it-kriminalitet, fordi de udnyttede personer sjældent fatter mistanke om, at de er ved at blive narret - og ofte selv hjælper til med at narre sig selv.
Og så er metoden med at narre folk for at få adgang til deres penge, data eller personlige informationer populær som aldrig før.
"Folk er ikke nødvendigvis dumme, men de kan godt finde på at gøre dumme ting. De kan jo ikke se, hvad der foregår bag kulisserne, når de prøver at være hjælpsomme," fortæller Art Gilliand.
Fra Nigeria-breve til harpunfiskeri
Teknikken med social engineering kendes i sin helt usofistikerede form fra de såkaldte Nigeria-breve, hvor afsenderen appellerer til empati, forståelse og ikke mindst penge hos modtageren.
Ofte er brevene udstyret med en længere historie om, at afsenderen står over for at skulle modtage en stor pose pengesedler, hvis bare du kan sende en lille pose pengesedler den anden vej for at få del i den store arv/løn/gevinst, der venter lige rundt om hjørnet. Omkring 10 procent af verdens spam-mails består af Nigeria-breve, og metoden findes kun, fordi den virker, slår Art Gilliand fra Symantec fast.
I den anden ende af bondefanger-skalaen ligger den noget mere spidsfindige spear phishing-metode, der går ud på at ramme helt specifikke personer højt placeret i virksomhedshierarkiet, da disse folk ofte har adgang til forretningskritiske filer, som er det primære mål for industrispionerne.
Facebook som hackerværktøj
"Hvis it-kriminelle ville ramme mig og mit firma, så ville de måske gå via min sekretær, så jeg overhovedet ikke ved noget om angrebet," fortæller Art Gilliand.
Han forklarer, at et angreb mod ham selv eventuelt kunne foregå via Facebook, hvor de it-kriminelle først kunne blive venner med hans sekretær, hvorefter de bare ville sidde i stilhed og overvåge hendes statusopdateringer, billeder, hobbies og venners kommentarer.
Derefter kunne de sende sekretæren en meget personligt udformet mail, der tilsyneladende kom fra en af dem, der ofte opdaterede på sekretærens Facebook-profil. I denne mail ville der så typisk være et link, der førte sekretæren til et site, hvor der fandtes alskens ondskab i form af vira, orme eller trojanere, der rettede sig direkte mod og uden om Symantecs egne sikkerhedssystemer - for igennem sekretærens mail-program til sidst havne i Art Gilliands indbakke med sekretæren som den troværdige afsender af skidtet.
"De it-kriminelle skal bare fange en virksomhed på hælene én gang, mens vi skal fange deres forsøg på at snyde sig ind i vores virksomhed hver eneste gang," understreger Art Gilliand.
Forvirring giver huller
Direktør i sikkerhedsselskabet Fort Consult. Ulf Munkedal, fortæller, at sikkerhedskunderne i Danmark i stigende grad efterspørger midler til at bekæmpe social engineering, og det er paradoksalt nok de travle top-bosser med adgang til alle de saftige informationer, der ofte udebliver fra sessionerne med sikkerhedstræning.
Samtidig siger han, at almindelige medarbejdere i Danmark også er en udsat gruppe, når de sociale ingeniører eksempelvis agerer it-support fra et telefonnummer, som de inden opkaldet har fingeret til at ligne et internt nummer fra it-helpdesken i virksomheden.
"Når en medarbejder får et telefonopkald fra it-helpdesken, som forklarer om integrations-afprøvning af et AD-system i en ny single sign-on-løsning på ekstranettet, så har den it-kriminelle sagt så mange "vanskelige" og troværdige ord, at de fleste er tilbøjelige til at gøre næsten hvad som helst for at slippe af med helpdesk-medarbejderen igen, så de kan komme videre med deres eget arbejde," forklarer Ulf Munkedal.
Ingen password i telefonen
Næsten hvad som helst indebærer eksempelvis udlevering af brugernavn, password og klik på links uden kritisk stillingtagen til skumle hjemmeside-adresser eller etablering af fjernadgang til medarbejderens computer.
"Du skal aldrig fortælle om passwords eller andre kritiske oplysninger, når du bliver ringet op. Som minimum skal du selv ringe tilbage for at få verificeret telefonnummeret og identiteten på den person, som ringede til dig," understreger Ulf Munkedal.
Art Gilliand skærer endnu hårdere igennem:
"Udlever aldrig password over en telefon. It-afdelingen vil altid have mulighed for selv at nulstille dit password eller afprøve sites med personer, som sidder fysisk i samme lokale som dem selv," lyder rådet fra den amerikanske it-sikkerhedsekspert.
