Virksomhedernes jobbeskrivelser kan være en guldgrube for hackere.
Forleden skrev jeg et indlæg om hvordan hackerne bruger god tid på at skaffe sig informationer om virksomheder, som de vil angribe. Ved nogle at de større kendte angreb ved man i dag at der blev brugt flere måneder på at forberede angrebet.
Mit indlæg beskrev hvordan hackerne indsamler viden om virksomhedernes IT-infrastruktur ved IT-medarbejdernes CV. Du kan læse det her: Sender du dit CV til hackere og fortæller hackeren om dit firmas IT-infrastruktur?
Men virksomhedernes jobbeskrivelse har længe været guld for hackerne!
En søgning på Stepstone efter VMware specialister gav fx denne jobannonce:
Hackeren ved nu at denne virksomhed:
- Har afdelinger i flere lande og er derfor både ganske sårbar, men har også mange “indgange”.
- Benytter Dynamics AX, SharePoint og er nok et VMware-hus
- Man benytter desuden Lotus Notes, som mail system
Virksomheden har nu givet hackerne vigtig information om IT Infrastrukturen.
Disse oplysninger samler hackerne nu i et database. Databasen får også oplysninger fra de CV’er, som jeg skrev om forleden. Nu er det blot at vente.
Når hackerne så finder en sårbarhed, som herover i Cisco Firewalls, så kan hackerne nu trække alle de virksomheder ud af databasen, som benytter sig at Cisco’s firewalls. Herved bliver hackerens angreb let, målrettet og hurtigt!
Hertil kommer at hackeren også vil kunne sælge sin viden opsamlet i denne database til andre cyberkriminelle.
Det er vigtigt at en virksomhed tager stilling til hvilke oplysninger om deres IT infrastruktur, som de vil fortælle om i job annoncer, som ligger frit tilgængelig på internettet. Ligeledes bør virksomheden have en politik omkring medarbejdernes Linkedin profiler, altså henstille til medarbejderne om ikke at dele denne fortrolige viden om IT infrastrukturen på Linkedin.
Hvordan virksomheden sikrer sig mod de informationer, som medarbejderen skriver ind i sit CV til rekrutterings personen, har jeg ikke noget bud på. Desværre!