Housewarming og receptions hacking.
Jeg var i dag inviteret til en reception i anledning af at et firma var flyttet til nye lokaler.
Firmaet ville gerne vise de nye lokaler frem, og man kunne derfor gå rundt på alle kontorerne. Selve receptionen foregik inde i demonstrations rummet , hvor de fleste folk nød lidt god mad og vin.
Firmaet havde blandt andet inviteret deres “venner” til receptionen gennem deres åbne Facebook gruppe og deres åbne Instagram gruppe.
Således så skrivebordene ud på flere kontorer (herunder også der hvor ledelsen sad)!
Kan du allerede se nu hvor jeg vil hen ?
Ud over at der sikkert lå fortrolige oplysninger i papirbunkerne, så stod deres PC’er frit fremme.
Havde jeg nu været en hacker, der havde opsporet dette arrangement, så ville jeg tage mit pæne tøj på. Måske flotte mig ved at medbringe en flaske vin eller buket blomster. Nyde den gode mad og vin og derefter gå en tur rundt for at nyde de fine nye lokaler.
Med i lommen ville jeg så have fx. en “Rubber Duckie”, som reelt er en USB nøgle, der, når den indsættes i en PC, bliver opfattet af styresystemet som et keyboard. USB nøglen sender nu den indtastede hackerkode ind i PC’en, som var det tastatur indtastninger.
Jeg har set disse “Rubber duckies” i brug og indsat i en Windows 10 PC, der var låst og stod og ventede på ejerens password. Her gik hacker koden uden om login winduet og åbnede en Command Promt, hvorfra hackeren nu havde adgang til netværket!
Det kunne også have været en Keylogger, fx. indsat i økonomichefens PC, hvorved jeg ville få tilsendt alle tastatur indtastninger, herunder sikkert bankkoder, password, mv.
Dette firma lever af deres design og deres udvikling. En hacker ville let kunne placere ransomware eller værre, blot med lidt pænt tøj, lidt frækhed og en USB-nøgle.
En USB nøgle fylder ingenting, se blot billedet er til højre. Reelt kunne hackeren fjerne den del af USB nøglen, der gør at man kan se den stikke ud og bruge til at trække nøglen ud igen.
Hvordan er sikkerheden i din virksomhed ?
Med dette indlæg ønsker jeg at give dig et indblik i hackerens tankegang. En dygtig hacker er grundig og har tålmodighed. Han/hun laver en grundig research og venter blot på det rette øjeblik at slå til på. Det kunne være en reception!
Klassikeren!
For nogle uger siden deltog jeg i et netværksmøde, der blev afholdt hos en stor dansk IT rådgivende virksomhed. Vi skulle mødes kl. 17. Der var ikke lige nogen til at lukke os ind, da receptionen var lukket og gået hjem. Den ansatte i virksomheden, som vi skulle mødes med, var der ikke. Der gik dog ikke mange minutter inden en medarbejder kom ud gennem døren. Hun hilste endda pænt på os. Vi benyttede lejligheden til at holde døren åben og smutte indenfor.
Jo, man skulle have adgangskort for at komme rundt i bygningen, men i receptionen stod receptionisternes dockingstationer! Her kunne en hacker let indsætte en USB-nøgle og lade den sidde til næste dag.
Dette trick har du sikkert hørt regulære tyve har benyttet, hvorved de har stjålet designer møbler, mv. Men tror du ikke at den seriøse hacker kunne finde på at bruge samme trick ?
Så jeg spørger igen: hvordan er sikkerheden i din virksomhed ?
Har jeres IT-afdeling sikret mod “uautoriserede” USB-nøgler. Har i fået installeret malware- og ransomware værktøjer, der overvåger jeres PC’er, USB-porte, osv. ?
Man kan i sagens natur ikke regne sig frem til hvor meget hackerne kan tjene. Vi ser at hackerværktøjerne bliver billigere og billigere, og ikke mindst så gode, at det stort set ikke kræver den store programmør/IT-kendskab for at kunne benytte disse værktøjer. Der findes talrige Youtube videoer for hackers-wannabies. Med andre ord, det er let at være hacker i dag. Måske er det ikke et nyt “Maersk-angreb” hackeren går efter. Måske er han/hun blot interesseret i at skade firmaet på en måde, der gør at firmaet vælger at betale fx. 1-2 bitcoin, for hurtigt at komme i produktion igen.
Tænk hvad denne IT-rådgivningsvirksomhed måske ville være parat til at betale for at det ikke kom ud at de var blevet hacket, hvorved dette ville skade deres renomé?
Og så er det tid til reflektion.
Abonnér på mit nyhedsbrev, så får du hver fredag en mail med mine seneste indlæg. Du tilmelder dig i menuen.