Tirsdag fortalte Stortinget at det er utsatt for et datainnbrudd. Ifølge Stortingets direktør Marianne Andreassen er det lastet ned ulike mengder data.
– Det dere skriver om nå, det er så trivielt. Det skjer hele tiden for oss som jobber i bransjen, sier etisk hacker Chris Dale i River Security til NRK.
Stortingsrepresentanter og ansatte som er direkte berørt, er blitt kontaktet, og vil i de følgende dagene bli fulgt opp av Stortingets administrasjon. Det er e-postkontoene til representantene som det er hentet ut data fra.
PST startet etterforskingen av IT-angrepet på onsdag.
I tillegg til angrepet på Stortingets e-postkontoer, kom også nyheten om at 10.000 ansatte i sju kommuner i Innlandet ble utsatt for e-postangrep fra en fiendtlig aktør i utlandet.
Skjer hele tiden
Det er foreløpig ikke funnet tegn på at det var en sammenheng mellom de to dataangrepene.
Som etisk hacker er jobben til Dale å hacke bedrifter for å hjelpe dem å finne ut hvor svakhetene deres ligger. Det kalles penetrasjonstesting og er en måte for selskaper å ligge «et hestehode foran» ondsinnede hackere.
Dataangrep mot bedrifter og statlige institusjoner skjer hele tiden, ifølge Dale.
I Næringslivets Sikkerhetsråds Mørketallsundersøkelse fra 2018 svarte 563 av 1500 de spurte bedriftene at de hadde vært utsatt for ulike typer angrep, eller forsøk på angrep.
Mange nordmenn bruker ifølge Dale samme passord på flere nettsteder. Dersom noen hacker et nettsted og får tilgang til passordet knyttet til brukeren der, blir det lett for hackeren å logge seg inn på e-postkontoen uten å hacke.
– Nesten alle av oss bruker det samme passordet flere steder, og det går ikke an lenger, sier Dale, og oppfordrer sterkt til å ha unike passord på ulike plattformer.
De enkleste e-postkontoene å hacke, er de man kun trenger et passord for å logge seg inn på.
Også to-faktorsystemer kan bli hacket
E-posten din blir tryggere når du bruker to-faktor autentisering. Det er en måte å beskytte e-post- og brukerkontoer ved at man må logge inn i to trinn. Først med passord, deretter gjennom å bekrefte innlogging gjennom kode på SMS, eller andre metoder.
- Les også:
- Les også:
Men ikke engang slik blir kontoen din helt trygg for angrep, ifølge Dale.
– Hvis vi går videre til to-faktor, så har jo egentlig jeg som angriper et problem. Det som det innebærer da, er at du trykker ja til denne autentiseringen. Det kan ikke jeg automatisk få deg til å gjøre, sier han.
Det finnes flere to-faktormekanismer, og noen er mer sikre enn andre. I noen tilfeller er det tilstrekkelig å trykke ja på en SMS eller et varsel på mobilen, mens man i andre tilfeller må skrive inn en kode man får på en annen enhet.
Må lure eieren av e-postkontoen
Flere andre hackemetoder Dale nevner er også prisgitt at den som angripes blir lurt av hackeren. Men, det er ikke bare slik en hacker kommer seg inn på en e-postkonto med to-faktorautentisering.
Noen to-faktormekanismer består kun av å motta SMS:
– Det hackeren kan gjøre da er å sette opp et falskt radiotårn og snappe opp SMS-en før den havner i telefonen din, sier Dale.
Det krever dog at hackeren befinner seg i nærheten av den eller de hen har lyst til å angripe. Hackere kan også komme seg forbi to-faktorsystemet ved å installere et virus på mobilen eller PC-en din.
Samme hva slags innloggingsmetode som er brukt, kan det som kalles phishing også gi en angriper tilgang til kontoen din.
Kan sende deg falsk e-post
Et vanlig verktøy for å bryte seg inn i bedrifter er å sende en falsk e-post til en ansatt. Målet er å få passordet og brukerens to-faktorkode. Det er noe Dale tidligere har gjort i jobbsammenheng.
– Phishing er gjerne at du mottar en e-post og blir bedt om å gå inn på en nettside. Nettsiden virker reell, men idet du legger fra deg brukernavn og passord der, så gir du det til kriminelle.
– Da er det veldig lett for kriminelle å ta brukernavnet og passordet ditt og logge på e-postkontoen din. Så ser de at du har to-faktorautentisering på, og så ber de om koden din, sier Dale.
De kommunalt ansatte i Innlandet ble utsatt for phishing. I dataangrepet som ble kjent på tirsdag, ble det sendt e-poster til ansatte forkledd som e-poster fra kollegaer, med vedlegg som inneholdt virus.
Dale har en klar advarsel til både virksomheter og privatpersoner:
– Jeg er opptatt av at norske bedrifter er klar over at det ikke er gull og grønne skoger på internett. Brukernavn og passord selges over en lav sko.