Artikel top billede

Hackerne jubler: Derfor er din LinkedIN-profil perfekt til målrettet phishing

Når hackerne skal sende målrettede phishing-mails, er din LinkedIN-profil det perfekte sted at starte arbejdet. Det var sådan, de fik ram på Sony.

Det var en stribe phishing-mails rettet direkte mod Sonys systemingeniører, netværksadministratorer og andre, der banede vejen for angrebet mod Sony Pictures Entertainment 24. november.

Hackergruppen Guardian of Peace ramte Sony i et af de mest opsigtsvækkende og katastrofale angreb i de senere år - og det kunne blandt andet lade sig gøre, fordi de via LinkedIN kunne søge sig frem til de helt rette medarbejder med de nødvendige systemrettigheder.

Og phishing-mails rettet mod medarbejdere med vidtgående systemrettigheder er en oplagt strategi for de it-kriminelle, forklarer Jens Christian Høy Monrad, der er it-sikkerhedsekspert hos FireEye.

"Det er ikke første gang, vi har set det her. For nogle år siden blev RSA kompromitteret, hvor man gik efter Lockheed Martin og det her Joint Strike Fighter-fly, og dengang var fremgangsmåden den samme."

"På den måde er det ikke overraskende, at man ser det her. Det kommer ikke bag på mig," lyder det fra Jens Christian Høy Monrad. 

Sikkerhedseksperten har også et bud på, hvorfor selv it-professionelle kan hoppe på en phishing-mail.

"Det er jo den menneskelige nysgerrighed og et spørgsmål om, at hvis mailen er interessant nok, sænker man paraderne. Det er bare et spørgsmål om at tilrettelægge det godt nok," lyder det fra Jens Christian Høy Monrad.

Læs også: De klogeste it-folk i virksomheden hoppede på katastrofal phishing-mail

Pas på med din LinkedIN-profil

Han kan ikke kommentere specifikt på Sony-sagen, da FireEye som selskab selv er med til at efterforske hacker-angrebet.

Han fortæller dog, at det heller ikke er usædvanligt, at hackerne arbejder med udgangspunkt i netop LinkedIN for at kunne sende målrettede phishing-mails.

Af samme grund advarer Jens Christian Høy Monrad imod, at man lægger alt for mange detaljer om ens arbejdsopgaver til offentlig skue på LinkedIN.

"En ting er jo, at man skriver, hvilken virksomhed man arbejder for, men hvis man også skriver, at man er databaseadministrator i virksomheden, kan jeg som angriber med en sårbarhed til den database gå ind på LinkedIN og finde alle potentielle ofre."

"Som virksomhed skal man have en holdning til sociale medier og til, hvad medarbejderne egentlig må skrive om det, de laver i virksomheden. Er det nødvendigt, at offentligheden skal vide, hvad jeg har adgang til af systemer og tjenester?"

"LinkedIN er et fantastisk værktøj til at netværke professionelt, men det er altså også et godt opslagsværk for dem, der angriber. De sparer en masse tid, hvis de bare kan gå ind og søge på alle database- eller netværksadministratorer i Danmark i virksomheder i en given størrelse," lyder det fra den danske sikkerhedsekspert.

Sådan så phishing-mailen ud

I phishing-mailen til Sony-medarbejderne blev de bedt om at verificere deres private Apple ID med udgangspunkt i forklaringen, at der havde været uautoriseret aktivitet.

En del af dem hoppede på den falske email og klikkede på det link, de blev bedt om af "Apple."

Når de havde klikket på linket, der skulle verificere deres Apple ID, blev de sendt til en webside, der så ud til at være ægte, og hvor de så skulle fuldføre processen.

Ved at aflure medarbejdernes adgangskoder, kunne hackerne tilsyneladende efterfølgende gætte sig til adgangskoderne i Sony-regi, fordi der var et vist genbrug.

Den generelle anbefaling fra Jens Christian Høy Monrad fra FireEye er da også, at man holder private og arbejdsmæssige adgangskoder adskilt.

"Den generelle anbefaling er selvfølgelig, at man ikke blander sine private konti sammen med de arbejdsrelaterede," siger han og tilføjer:

"Som minimum skal man som virksomhed have en eller anden form for effektiv politik omkring dine adgangskoder."

"Det behøver ikke nødvendigvis at være, at man skal skifte adgangskoder hyppigt - det kan også være, at man skal bruge to-faktor-validering."

Læs også:

Pinlig afsløring: De klogeste it-folk i virksomheden hoppede på katastrofal phishing-mail




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CFO'ens hverdag med Dynamics 365 FO: Nye muligheder - mere værdi

Microsoft Dynamics 365 for Finance and Operations (FO) er meget mere end debet/kredit. Indbyggede værktøjer til at automatisere processer og bruge kunstig intelligens skaber nye muligheder og mere værdi.

29. november 2022 | Læs mere


AI & machine learning i dagligdagen – teknologi og best practice

Kunstig intelligens og machine learning er i gang med at forandre de måder, som vi arbejder på i organisationer og virksomheder - både i det store og i det små. Bliv inspireret til hvordan kan du selv udnytte dem til at gøre din organisation klogere, skarpere og mere effektiv.

06. december 2022 | Læs mere


ERP løsninger til SMV segmentet

For små og mellemstore virksomheder gemmer der sig meget store muligheder for effektivisering og data-udnyttelse i valget af ERP-system. Med det rigtige valg kan man udnytte eksempelvis machine learning, AI, procesautomatisering og meget andet på tværs af hele organisationen til blandt andet lagerstyring, produktion, distribution, intelligent afrapportering.

07. december 2022 | Læs mere