Se for deg at du jobber i en bedrift og sitter og venter på en regning fra en annen bedrift som har gjort en jobb for dere. Dere har diskutert og blitt enige om pris på e-post.
Da regningen kommer, logger du deg inn i bedriftens betalingssystem bruker to-faktorgodkjenning og betaler ut beløpet som avtalt. Alt er vel og bra.
Problemet er at den du sendte e-post til og betalte ut penger til var en annen enn han som gjorde jobben. Du mailet med, og betalte penger til en kriminell svindler. Kontonummeret du nettopp har betalt til, tilhører svindleren.
– Ja, det er noe i retning av dette vi har blitt utsatt for, sier Pål Nedregotten, teknologidirektør i NRK.
– Dette har vært et så avansert angrep at det er krevende å oppdage, og det er samfunnsmessig veldig alvorlig, sier han.
Pål Nedregotten er teknologidirektør i NRK.
Foto: Ihne Pedersen / Ihnebilder– Katt og mus-lek med kriminelle
Så hva er det ved dette angrepet som er så avansert?
Passord er ofte usikre, vi bruker dårlige passord som ungenes fornavn, og vi gjenbruker dem ofte. Derfor har de fleste bedrifter de siste årene brukt det som kalles tofaktor- eller flerfaktorpålogging.
Det betyr at du må gjennom to eller flere steg for å autentisere – eller bekrefte- din identitet. Betaling i nettbank, for eksempel, skjer nå med tofaktorpålogging.
– Sikkerhet og beskyttelse av private eller virksomhetens verdier er en katt og mus-lek med kriminelle nettverk. Trusselaktørene er hele tiden i front av utviklingen, de gir seg aldri. NSM ser både internasjonalt og i Norge eksempler på at trusselaktører kommer seg rundt multifaktorautentisering, enten ved å utnytte menneskelige eller teknologiske sårbarheter, sier NSM-direktør Sofie Nystrøm.
Sofie Nystrøm er direktør i Nasjonal sikkerhetsmyndighet.
Foto: Oda Hveem / Oda HveemFått tilgang til NRK-ansatt sin e-post
Så hva konkret skjedde, da NRK ble rundlurt for 80.000 euro, over 950.000 kroner?
NRK satt og ventet på en regning fra Islands svar på NRK, RÚV, statskringkasteren på Sagaøya.
– Regningen var for retten til å vise en ny sesong av den islandske serien «Ministeren», sier NRKs dramasjef Marianne Furevold.
Denne mailen er fra svindleren til to ansatte i NRK. Svindleren gir seg ut for å være en ansatt i islandsk kringkasting. Domenenavnet til den islandske kringkasteren ser også ganske tilforlatelig ut.
Den kriminelle hadde fått tilgang til e-posten til en NRK-ansatt og sett at denne prosessen med betaling for dramarettigheter var i gang. Svindleren så at NRK skulle betale en regning på et bestemt beløp. Svindlerne har så klart å etterape kommunikasjonen og den reelle regningen, som NRK satt og ventet på.
Så har de byttet ut kontonummeret til den islandske kringkasteren med sitt eget kontonummer. NRK har betalt ut et riktig beløp, men til feil konto.
– Svindelen rammet en konkret NRK-medarbeider, og metodene benyttet ser ut til å være avanserte, sier teknologidirektør Pål Nedregotten.
– De har utgitt seg for å være noen andre enn det de er i e-postutveksling. Den e-. post utvekslingen er veldig troverdig. De har tatt på seg å være en medarbeider i RUV, islandsk kringkasting, sier Pål Nedregotten.
Det var rettigheter for å vise den islandske serien "Ministeren" NRK skulle betale for.
Foto: RUV, islandsk kringkastingHar klart å fange opp tofaktorprosessen
Disse angriperne begynner nå å bli så avanserte at det er svært utfordrende for oss, sier han.
– Vi bruker tofaktor eller multifaktor-autentifisering når vi logger oss inn. Det er den viktigste tingen vi gjør for å sikre at vi er de vi sier vi er. I vårt tilfelle ser det ut til at noen har klart å fange opp og lure seg inn til å se den sesjonen der vår medarbeider gjennomfører en tofaktorautentisering. Det er dette som gjør oss bekymret, sier Nedregotten.
Den kriminelle lurte NRK-medarbeideren til å logge inn et annet sted, der du tror du har logget inn for å gjøre et eller annet legitimt. Det er ikke nytt, det nye her er at den kriminelle klarte å fange opp tofaktorprosessen, ifølge NRK.
– Sårbarhetsflatene øker, kompleksiteten øker, og ressursene som brukes mot oss, er større og øker mer enn sikkerhetsarbeidet holder tritt med. Derfor må alle bedrifter og virksomheter gjøre innlogging til sine systemer sikrere, sier Nystrøm i NSM.
Hun sier det er forstemmende, men det er dessverre fremdeles slik at mange har altfor svake rutiner knyttet til svake passord. For ugraderte IKT-systemer anbefaler vi sterkt, som et minimum, å følge NSMs grunnprinsipper for IKT-sikkerhet, sier direktøren i NSM.
Selve utbetalingen ble gjort i september. Den kriminelle har trolig kommet seg inn i NRKs systemer i august.
NRK tror at de ikke har blitt angrepet flere ganger.
– Det er vi ganske sikre på. Men det er klart, vi har jo satt i gang en større operasjon for å finne ut hva som skjedde. Men vi finner ikke tegn til at det er noe annet enn dette ene angrepet, sier Nedregotten.
Han understreker at NRK-medarbeideren ikke kan lastes for dette.
Om dette er gjort av en kriminell person eller et kriminelt nettverk vet ikke NRK noe om. Saken er politianmeldt og meldt inn til NSM.
NRK setter nå i gang tiltak for å redusere risiko, men Nedregotten ønsker ikke å gå i detalj på hva NRK nå gjør.
– Den menneskelige faktoren
NSM mener multifaktorautentisering gjør det vanskeligere for en angriper, men mener at vi ikke må tro at det gir garantert beskyttelse mot angrep.
– Vi må aldri glemme den menneskelige faktoren. I den voldsomme sikkerhetsmessige utviklingen vi nå opplever, har ledere et stort ansvar for sikre personellsikkerheten. Trusselaktørene går etter enkeltpersoner i virksomhetene. Derfor er daglig sikkerhetsledelse noe av det viktigste vi gjør. I sikkerhetsmåneden har vi hatt fokus på sosial manipulering. Virksomhetene må bruke ressurser på opplæring for å hjelpe ansatte og brukere til å avdekke manipulering, fortsetter Nystrøm.
NRK går ut med dette for å advare andre bedrifter om hvor avansert kriminelle nettverk har blitt.
– Vi beskriver her en trussel som hvilken som helst bedrift kan bli utsatt for, og som også de fleste bedrifter ville blitt lurt av. Så dette burde bekymre de fleste bedrifter i Norge, sier Pål Nedregotten, NRKs teknologidirektør.
