Kriminelle er konstant på jagt efter højtspecialiseret viden

Beskyttelse af forskningsdata er en vigtig opgave på universiteterne. Her er et eksempel på en konkret trussel og de redskaber, vi anbefaler for at undgå de kriminelles fiskeri efter oplysninger.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

På forskningsnettet, hvor DKCERT holder øje med sikkerhedshændelser, oplever vi med jævne mellemrum, at ondsindede personer eller organisationer forsøger at kompromittere intellektuel ejendomsret og derved erhverve sig specialviden gennem tyveri.

Det samme gør sig naturligvis også gældende for mange af de vidensvirksomheder, som vi er så berømte for i Danmark.

Et helt konkret eksempel, som vi har observeret ad flere omgange, forekommer i forbindelse med en gruppe, der blandt andet er kendt under betegnelsen Silent Librarian. Gruppen jager oplysninger på universiteter og andre forskningsinstitutioner gennem phishing.

Den stille bibliotekar

I sikkerhedskredse har der været stor enighed om, at Silent Librarian har forbindelse til den iranske regering, og at dens formål er at stjæle værdier i form af viden fra universiteter over hele kloden.

Det er en aktiv gruppe, og det vurderes, at den har sendt bunkevis af phishing-beskeder til mindst 380 universiteter i mere end 30 lande gennem flere år. Gruppen arbejder i perioder og i alene i juli og august i år er der rapporteret angreb mod 60 universiteter.

Phishing er altså stadig roden til rigtig mange sikkerhedsudfordringer, når det handler om den intellektuelle ejendomsret.

Høje klikrater

Gruppens metoder er, som mange andre phishing-kampagner, ikke specielt sofistikerede, men ganske effektive. Maddingen i beskeden, der består af en engelsksproget mail, beder ofret om at logge ind på sin bibliotekskonto for fortsat at have adgang til ressourcen. Herefter sendes vedkommende til en falsk login-side og tappes for oplysninger.

Simpelt, men det virker. Vores egne tal fra de praktiske awareness-kampagner, som vi afvikler for institutionerne, viser, at det i nogle tilfælde er op mod en tredjedel, som åbner en phishing-besked, og en stor andel af dem går videre og klikker sig frem til en ofte tilforladeligt udseende indlogningsside. Det er naturligvis også derfor, at denne angrebsmetode stadig bliver benyttet i stort omfang: Den er simpel og den giver resultater.

I forbindelse med direktørsvindel og andre specialdesignede phishing-beskeder, der bruger endnu mere sofistikeret ”social engineering”, vil min antagelse være, at klikraterne er mindst lige så høje.

Beskyttelsen mod disse angreb er på den anden side også simpel – i hvert fald i teorien.

Awareness og kritisk sans

Vidensdeling blandt kollegaer og awareness blandt brugerne er et meget vigtigt punkt.

Gennem hele oktober har der eksempelvis været fokus på informationssikkerheden i form af national cybersikkerhedsmåned og disse oplysende tiltag, skal vi selvfølgelig fortsætte og følge op på hele tiden. Hvis der er mulighed for det, er interne phishing-kampagner også et godt værktøj til at teste effekten af awareness-indsatsen.

Desuden vil jeg gerne slå et slag for password-manageren. Et effektivt værktøj, der både gør det nemt og sikkert for brugeren, der kan få genereret lange og komplekse adgangskoder, som er unikke for hver enkelt tjeneste. Samtidig skal brugeren kun huske en adgangskode, som så til gengæld skal være lang.

Ydermere binder de fleste password-managere kodeordet sammen med sidens adresse for at kunne automatisere dit login. Dette styrker også sikkerheden, for hvis du møder en falsk side, vil den have en anden unik adresse og derfor ikke automatisk logge dig ind. Altså en lille alarmklokke om at dette ikke er det kendte domæne.

De lange og unikke adgangskoder gør livet virkelig surt for kriminelle, der i stor stil udnytter, at vi anvender de samme (nemme) adgangskoder på tværs af tjenester.

Sidst, men ikke mindst, er der de fem grundregler for, hvordan man undgår at blive fanget i phishing-fælden:

  • Vær altid kritisk over for mails, hvor du ikke kender afsenderen.
  • Kontroller altid den faktiske afsender-mailadresse. Passer mailadressens domæne med det navn, afsenderen giver sig ud for at have? Du kan stadig blive snydt, men har dog sorteret en hel del fra.
  • Lad være med at klikke på links eller vedhæftede filer, selvom du er nysgerrig. Skriv i stedet selv adressen ind i adressefeltet og se efter, at den ser sandsynlig ud.
  • Vær opmærksom på, at banker og myndigheder ikke beder om følsomme oplysninger via mail eller over telefon.
  • Er du det mindste i tvivl, så slet beskeden, eller kontakt den formodede afsender for at få bekræftet, at de har sendt den pågældende e-mail, før du åbner den.

I forbindelse med beskyttelse af den intellektuelle ejendomsret er der naturligvis også en række andre foranstaltninger, der skal hjælpe med at holde nysgerrige væk. Eksempelvis forholdsregler om hvor data opbevares, hvordan data krypteres og andre sikkerhedspolitikker – mere om det en anden gang.

 Men har du fået bugt med phishing, så er du nået langt.

Oprindelig bragt på Computerworld Online den 25. oktober 2019.

Keywords: