Det står sløjt til med IT-sikkerheden blandt medarbejderne – igen!
Det er nu et stykke tid siden at Danske virksomheder blev ramt af store hackerangreb, så som WannaCry og NotPetya.
Det er godt 160 dage siden at GDPR – Persondataforordningen trådte i kraft, og i mange måneder op til 25. maj var der stor fokus på IT-sikkerhed.
Sikkerhedssystemer er blevet opdateret, og skønt danske virksomheder dagligt angribes af hackerne, så har vi været forskånet for store massive angreb.
Min påstand her er at vores medarbejdere har sænket paraderne. Jo, vi IT-folk læser jo hele tiden om databrud, hackerangreb, osv. Men for vores “almindelige” medarbejdere, så har de ikke oplevet noget i nu flere måneder.
At paraderne sænkes er hackerne også klar over. Og det professionelle er tålmodige.
I sidste uge satte en stor dansk ingeniør virksomhed sig for at teste deres over 250 ansatte med et fingeret hacker angreb.
Sammen med virksomhedens IT-sikkerhedschef konstruerede vi en mail, som den du ser herover.
Virksomheden havde netop opgraderet til en ny version af Microsoft Officepakken. Og det er min erfaring at mange virksomheder stort set altid er i gang i et Microsoft relateret projekt, det være sig Office pakken, Office365, Skype, OneDrive, Teams, SharePoint, osv. med andre ord, så er der en ganske god chance for en hacker at benytte ovenstående simple tekst.
Firmaets IT chefs email signatur fik vi naturligvis som en del af forberedelsen. Men som hacker, kunne jeg sikkert blot have fundet IT-chefens navn på Linkedin, surfe lidt rundt på internettet, og måske endda fundet IT-chefens email adresse på virksomhedens hjemmeside. Nu sender jeg IT-chefen en email fra mit firma “billigIT.dk” og beder om et møde. Mon ikke han pænt svarer tilbage at det ikke har interesse! Nu har jeg IT chefens mail signatur….
Nuvel tilbage til det fingerede hacker angreb. Af de over 250 ansatte, så klikkede 36% på linket i denne mail! Herved udsatte de virksomheden for et phishing angreb! Bemærk afsenderen på emailen: noreply@micros0ft.tech!
Men vores angreb gik et skridt videre.
Vi ville gerne have medarbejderne til at give os deres email adresse og password! Så derfor kom nedenstående side frem, når de klikkede på linket i emailen:
Hvor mange ansatte tror du indtastede deres email adresse og deres password?
.
.
.
.
.
Et skræmmende højt tal!
Blot én vigtig medarbejder, der har afgivet disse oplysninger, giver hackeren adgang til disse ansattes emails, kalender, kontakter og måske fildrev, sharepoint, o.a.!
Nu er det blot at tage en iPad og tilføje en Exchange konto med disse oplysninger. Stien til serveren finder Exchange i dag selv for langt de fleste virksomheder. Nu er hackeren inde i denne medarbejderes mailboks, kalender og kontaktliste.
Og den professionelle hacker har god tid til at trænge godt ind i virksomheden. for at stjæle data eller blot for at plante malware fx i form af ransomware.
Hvilket resultat vil en test af din virksomhed give ?
Husk at der skal kun ansat, der ryger i fælden for at hackeren kommer ind!
Fjern medarbejdernes emailadresser på jeres hjemmeside!
Blot for at illustrere en pointe, så er det ikke svært at finde frem til ledende medarbejder for fx. et stort advokatfirma, som kunne være målet for et hackerangreb..
Man skal blot ind på deres hjemmeside, så kan man her indsamle over 350 medarbejdere med emailadresse, fulde navn og endda et billede (så hackeren også kan finde dem på fx. Facebook, på billeder i fodboldsklubben, osv.)
Vil du vide mere om disse “angreb” og evt. teste egen virksomhed, så kontakt mig her.