You got mail!

De aller fleste av oss mottar e-post hver eneste dag og mange av oss mottar dem på flere kontoer, privat- og arbeidsrelatert. E-post er en meget effektiv måte å kommunisere på – i hvert fall i forhold til tradisjonelle analoge brev.  Men ser man på risikoen knyttet til e-post er det nok mange sikkerhetsfolk som kunne tenke seg tilbake til de ”gode gamle dagene” hvor vi som mottakere av analoge brev fikk litt bedre tid til å tenke oss om før vi handlet.

Vi i NSM ser at metoden benyttes i mange former og benyttes som en inngangsport til å utnytte svakheter i IKT systemer for blant annet å hente ut informasjon som virksomheter og bedrifter ikke ønsker å dele med andre.

Risikoene knyttet til e-post er mangeartet og jeg skal beskrive noen av dem her.

Lurer mottakeren til å installere ondsinnet kode

En av mest effektive måtene å lure e-postmottakeren til å bidra til at datamaskiner og nettverk blir infisert med ondsinnet kode. Dette er en av de mest benyttede og effektive måtene å hacke en organisasjon på. Sikkerhetsselskapet TREND Micro skriver mer om dette i sin rapport som du kan lese her.  (Ja, det er et PDF dokument)

Hollywood versjonen av hacking fremstilles ofte som at det eneste som trengs er en kyndig person som setter seg på internettkafe med en PC og i løpet av 5 minutter har man hacket seg tvers gjennom alle forsvarstiltak hos de hackeren angriper. Sannheten er noe annerledes og på generelt grunnlag kan vi si at det er blitt vanskeligere å hacke seg igjennom på den måten. I større grad er man avhengig av å lure noen som allerede befinner seg på innsiden av sikkerhetstiltakene for å komme seg gjennom og over sikkerhetstiltakene.

Du kan også lese mer om dette hos Krebsonsecurity her.

En kamp om hvem som er best teknisk

I det brukeren klikker på en link eller et vedlegg starter en teknisk kamp mellom hvem som er best! Angriperen eller den som forsvarer systemet ditt. Den som forsvarer må dekke mange muligheter. Den som angriper trenger kun en åpning for å komme gjennom forsvarsmekanismene. Vi har dessverre grunn til å si at mange angripere er svært avanserte og sofistikerte i sine angrepsmetoder og de lykkes med sine forsøk.

Brukeren tror på informasjonen i e-post

Det er alltid en risiko for at mottakeren aksepterer innholdet i en e-post som korrekt informasjon og foretar seg noe utover det å åpne et vedlegg eller klikke på en link. Media kommer ukentlig med historier om hvordan vi fortsatt lar oss lure til å tro at vi har arvet, vunnet penger eller funnet  drømmejobben eller den store kjærligheten. Dette har for mange ført til tap av omdømme, informasjon og materielle verdier.

Skal jeg bytte jobb tro?

I det jeg var i ferd med  skrive dette blogginnlegget mottok jeg en e-post om en ny jobb.  Her er innholdet:

Kjære dere!

Raskt voksende multinasjonale selskapet leter ansvarlig ansatte med store kommunikasjonsferdigheter, håndlag arbeide i et team, organisatoriske evner.

vårt firme tilbud ledighet avstand med deltid som Assisterende manager. Dette arbeidet fordelt over hele Norge. 

Våre fordeler:

- konkurransedyktig lønn

- Kommisjon

- Fleksibel timeplan

- Full trening

- Erfaring trenger ikke

- Det er ingen skjulte avgifter og investeringer 

Hvis du er interessert i vårt tilbud, og du ønsker få mer informasjon om vårt selskap og foreslåtte arbeidet, kan du svare på denne e-posten. Du vil motta et svar med detaljert informasjon innen 3 arbeidsdager.

Takk. Ha en utmerkt dag!

PS! Det eneste jeg har fjernet er navnet på avsender som for øvrig oppgir at vedkommende er senior personell manager. Firmanavn er ikke nevnt i e-posten og den er sendt fra en hotmail konto. (Bare her bør vel bremsene på!)

La oss ta en kort analyse av e-posten:

  • Hvor vanlig det er å starte med ”kjære dere”, når e-posten sendes direkte til meg personlig?
  • Hvordan er språket?
  • Hvordan er grammatikken?
  • Hvorfor mangler det firmanavn?
  • Hvorfor benyttes det en hotmail konto?
  • Deltid assisterende manager! For hva?
  • Konkurransedyktig lønn i forhold til hva! Norske forhold?
  • Arbeidet er over hele landet. Betyr det mye reise?
  • Erfaring trengs ikke! Erfaring i hva?
  • Trening gis! Trening i hva?
  • Ingen skjulte avgifter eller investeringer! Men er det noen åpne da?

Det er klart at mange av mine spørsmål kan besvares dersom jeg sender en e-post tilbake til avsender. Virker i det hele tatt en slik e-post troverdig? Hva skjer dersom jeg besvarer e-posten?

Da jeg i skrivende stund befinner meg på et lite praktisk sted å besvare den hyggelige henvendelsen gjør jeg ikke dette. Ønsker ikke en gang å bekrefte at e-postadressen denne er sendt til er aktiv.

Men tenk deg hva som muligens kunne ha skjedd dersom jeg besvarte e-posten og fikk en e-post tilbake med vedlegg. Ville jeg ha åpnet vedlegget? JA, sannsynligvis. Jeg har jo bedt om å få informasjonen!

Burde jeg åpne vedlegget? NEI! Da er vi tilbake til det jeg startet med øverst i bloggen.

PS! Til min sjef og HR avdelingen! Nei! jeg har ikke tenkt å bytte jobb! 

Også på telefon

Det ser også ut til at vi beveger oss litt tilbake i tid hvor direkte kontakt over telefon er tilbake som en populær måte å lure deg på. Dette kommer blant annet gjennom de tidligere beskrevne Microsoft telefonene som har vært mye benyttet i Norge det siste året. De som forsøker å lure oss vil benytte alle muligheter og fortsette å benytte den så lenge det lønner seg for dem. Se tidligere bloggartikkel om dette!

Men vi må jo åpne e-post!

Vi kommer ikke bort i fra at vi må lese e-post og dette er ikke noe de fleste av oss kan velge bort i hverdagen, verken privat eller arbeid. Mye av e-postene som sendes til en virksomhet er spam og de stoppes i spamfilter og gjennom andre sikkerhetstiltak. Men utfordringen ligger i de e-postene som sendes videre til deg. Her er det deg som er som er spamfilteret. Her befinner du deg i fremste linje når det gjelder å foreta valg som påvirker sikkerheten hos arbeidsgiver eller din private informasjonssikkerhet.

Til syvende og sist er det faktisk din egen adferd på nett som avgjør hvor stor risiko du har for å bli infisert. Dersom du takker ja til alle tilbud du måtte motta på internett og klikker ukritisk på enhver link, vil du med stor sannsynlighet bli en del av dem som sikkerhetssystemene ikke var i stand til å hjelpe før det var for sent.

Vil du ha flere tips om dette så les blant annet vår brosjyre om nettfisking og sosial manipulasjon eller mer om e-post fra NorSIS.

I adventstiden bør vi kanskje spørre oss om vi virkelig tror på julenissen? Vi skal i hvert fall være skeptisk til e-poster som vi mottar fra ham. Vi bør i hvert fall snu spørsmålet ” er det noen snille barn her?” til ”er det noen snille som er e-post avsender her?”

Så er kanskje det tryggeste og det hyggeligste å motta et analogt julekort fra noen som ønsker deg en riktig god jul.

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Informasjonssikkerhet, Internettsikkerhet, Sikkerhetskultur, Sosial manipulasjon. Bookmark the permalink.