Sender du dit CV til hackere og fortæller hackeren om dit firmas IT-infrastruktur?
En af de mere spidsfindige hacker værktøjer er dit CV. Især hvis du er IT-medarbejder i en – for hackere – interessant virksomhed.
De seriøse hackere bruger lang tid på forberedelse. Lang tid på at finde virksomhedens svage punkt.
Og det svageste punkt er…tadaah! Medarbejderen!.
Hackerne er grundige. De undersøger alle mulige indgange ind i interessante virksomheder. Og internettet er en guldgruppe: vi efterlader os viden alle mulige steder, og især Linkedin er en guldgruppe.
En god IT-medarbejder vil jo gerne fortælle sine måske kommende arbejdsgivere om personens kompetencer. Medarbejderen skriver nu at han/hun har arbejdet med firmaets Palo Alto firewall, måske VMware miljø, osv.
Nu opretter hackeren en hjemmeside, som giver sig ud for at være et rekrutterings firma, der søger dygtige og stærkt kompetente it-medarbejdere til forskellige stillinger.
Hackeren skriver nu til denne medarbejder, som man har fundet på LinkedIn. Hackeren skriver at man søger en medarbejder med netop stor erfaring med VMware eller Palo Altos firewall, samt at der er tale om en ganske god løn (ikke urealistisk høj, men tilstrækkelig til at fange medarbejderens interesse). Det eneste man beder om, for at medarbejderen kan komme i betragtning til stillingen, er at denne fremsender sit CV, og gerne “med en specificeret jobbeskrivelse af de sidste par stillinger”.
VÆR NU ÆRLIG…hvem vil ikke være nysgerrig.
Hertil kommer en spændende psykologisk vinkel: det viser sig at folk generelt har større tiltro til en henvendelse, der kommer igennem netop LinkedIn, fremfor på almindelig email eller Facebook.
Ved at medarbejderen fremsender sit udspecificerede CV, får hackeren nu et godt indblik i virksomhedens infrastruktur, som vil kunne bruges til et angreb.
Jeg googlede “VMware” og “CV” og fandt flere CV’er, som jobsøgende havde lagt op. Her til højre blot et eksempel.
Det forlyder, at hacker kredse har opbygget CV-databaser ved at udgive sig for at netop være et rekrutterings firma og/eller et vikarbureau for it-folk med specielle kompetencer alene med henblik på at skaffe sig viden om virksomheders IT-infrastruktur. Disse “bigdata” vil så kunne sælges på Dark Web på samme måde, som hackerne sælger kreditkort oplysninger, cpr-numre, email adresser, osv.
Arbejder du i IT-branchen, så er du bekendt med de talrige avisartikler at nu er der fundet et sikkerheds hul i den og den server, firewall, netværk, osv.
Med ovenstående CV database, så vil hackerne have samlet sig viden om hvilke virksomheder, som de kan angribe og udnytte dette sikkerheds hul.
Kan du se problemet ?
Jeg har ikke en løsning på dette problem: For medarbejderen er i sin frie ret til at søge en ny stilling, og derved fremsende sit CV til den måske kommende arbejdsgiver (og her måske hacker). Men måske skulle vi tage en dialog med vores medarbejdere om hvad de skriver på LinkedIN i det mindste.
Jeg håber at de rigtige vikar- og rekrutteringsfirmaer passer godt på de CV’er, som de ligger inde med.