Hackede dansk virksomhed gennem receptionisten: ”Hun var venlig og forsøgte at underholde os. Det udnyttede vi”

Et hold frustrerede sikkerhedseksperter kunne ikke hacke en dansk virksomhed. Men så fandt de ud af, at receptionistens datter kunne lide mobilspil…

Artikel top billede

(tegning: Adam Fribo)

”Vi var kommet lidt for tidligt, så vi fik lov til at brugte gæste-WiFi i receptionen. Vi scannede netværket og kunne se, at der var en adskillige smartphones tilkoblet – en af dem var receptionistens privattelefon.”

Giuseppe Trotta er sikkerhedskonsulent hos Fort Consult, og han skulle for et par måneder siden udføre en penetrationstest hos en dansk virksomhed.

Virksomheden skulle hackes.

Opgaven var at få adgang til følsomme oplysninger, men de første forsøg på klassisk phishing og social engineering kiksede, fordi medarbejderne var godt trænede i ikke at klikke på udefrakommende links.

Men så faldt Giuseppe i snak med receptionisten, mens han ventede på et møde med virksomhedens ledelse.

”Vi talte lidt om hendes privatliv, og hun fortalte, at hun har en lille datter, der er glad for at spille spil på telefonen. Det endte med at blive vores vej ind,” siger Gisueppe Trotta til Computerworld.

Malware-inficeret mobilspil gav kontrol over alt

Giuseppe Trotta anbefalede den venlige receptionist et sjovt, gratis mobilspil, hun kunne downloade til sin datter.

Han skulle nok sende hende et link, forklarede han.

Det skulle dog downloades fra Amazons app-butik, og den kræver, at man slå nogle sikkerheds-funktioner fra i Android. Men som sagt, han skulle nok sende et link.

”Så snart hun havde downloadet spillet, havde vi fuld kontrol over telefonen, og derfra fik vi fuld adgang til det gæste-WiFi, som hun var forbundet til hver dag.”

Da Giuseppe og hans kollegaer først havde adgang til virksomhedens gæste-WiFi gik det ud på at finde en vej videre ind. Den viste sig i form af en pivåben dør.

I receptionen stod en skærm, der viste basale informationer om virksomheden til kunderne.

Den var forbundet til gæste-WiFi, men informationerne blev kontinuerligt trukket fra det interne netværk.

"Det var en åben port gennem deres firewall,” siger Gisueppe Trotta og tilføjer, at der dog var sat et kodeord på den tilhørende webserver.

”Men det var noget i retning af password1234, så det kom vi ret hurtigt forbi.”

Mange servere – ét kodeord

Da Giuseppe Trotta først var på virksomhedens interne netværk, var der stort set frit spil.

Sikkerheden internt i virksomheden så godt som ikke-eksisterende bag den ydre firewall, og så handlede det blot om at finde den rigtige server.

”Til vores held opdagede vi, at alle serverne havde præcis det samme kodeord, så vi kunne bevæge os fuldstændig frit rundt. På det tidspunkt var det problemfrit at trække følsomme oplysninger ud af virksomheden.”

Missionen var fuldført.

Det hele begyndte med en venlig sekretær, og ifølge Giuseppe Trotta er læren ikke, at man skal bede sit front-personale om ikke at tale med kunderne.

Det er svært at være en god sekretær, hvis virksomhedens sikkerhedspolitik betyder, at man ikke må tale med kunderne.

”Den primære lektie må være, at man skal lade være med at bruge sin private telefon på en virksomheds netværk. Og kun downloade Android-apps fra Googles egen butik.”

Læs også: Lone er certificeret hacker: "Hvis man vil have god it-sikkerhed, er man nødt til at forstå, hvordan de gode hackere arbejder"

Læses lige nu

    Annonceindlæg fra Computerworld

    Open Source AI er på vej ind i kommunerne

    Med OS2ai forsøger Aarhus Kommune og OS2-fællesskabet at give offentlige medarbejdere adgang til generativ AI uden at gøre kommunerne mere afhængige af amerikanske techgiganter.

    TD SYNNEX Denmark ApS

    Networking Presales Specialist

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Souschef til Informations- og kommunikationsteknologi i Cyberdivisionen Hvidovre

    Københavnsområdet

    Netcompany A/S

    IT Consultant

    Midtjylland

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job