KOSTBAR FEIL: Svindlere og hackere prøver å få tak i informasjonen til kredittkortet ditt. Da lønner det seg å agere riktig.  Illustrasjonsfoto: Dreamstime

Cyberkriminalitet: – Vi ser en økning i pornoutpressing

Når samfunnet lukkes ned, logger hackerne og svindlerne seg på. De utnytter børsfall og driver med pornoutpressing. I tider med krise er det lettere å spille på tillit, frykt og fristelser.

En e-post. Tilsynelatende harmløs og normal. Kanskje til og med fra sjefen. Du åpner et vedlegg eller trykker på en lenke, og så er det gjort. Skaden er skjedd. I verste fall får kriminelle kontroll på datamaskinen din og følger med på alt du gjør. De kan få tak i passord og kredittkortinformasjon som de selger videre eller benytter seg av selv. De kan også utgi seg for å være deg for å få tilgang til flere personer og maskiner.

– Kriminelle er ekstremt gode på å være opportunister. Med en gang de finner en svakhet, går de inn, sier Kai Røer, forskningssjef i det internasjonale selskapet Knowbe4.

FORSKER: Kai Røer har jobbet med sikkerhetskultur i mange år. Foto: Erlend Kjernli

Det er en tid hvor hackerne har mye å spille på. La oss si at du sitter permittert eller oppsagt hjemme i stua. Så tikker det inn en mail om at du ikke kan få dagpenger. Trykk her for å klage. Eller at du er en bedriftsleder for et selskap i krise. Søknad om kontantstøtte er sendt, og så kommer det en mail om at bedriften ikke kvalifiserer til ordningen. Trykk her for å klage.

– Psykologien spiller inn. Det haster å få penger, så du blir redd. Da kortsluttes noen mekanismer som gjør at du normalt ser at e-posten er falsk.

Knowbe4 har utviklet en plattform som måler i hvor stor grad personer interagerer med falske e-poster, altså at de åpner et vedlegg, trykker på en lenke eller svarer på e-posten. 20.000 selskaper, med til sammen 20 millioner ansatte, står på kundelisten og benytter seg av plattformen.

– Ved første måling hos en helt fersk kunde er det i gjennomsnitt 30-40 prosent av de ansatte som interagerer med falske e-poster. Etter 12 måneder med opplæring er tallet nede i 3-4 prosent, forteller Røer.

– Men det er det normale tall. Under coronakrisen er det nesten 9 prosent som har interagert. Tallet har doblet seg. Og dette er blant godt trente ansatte. Hva da med de uten opplæring? Har tallet økt fra 40 til 80 prosent? Det er i så fall helt vanvittig mye.

– Kan disse tallene overføres til norske forhold?

– Ja, det tror vi. Foreløpig har vi sett mer på forskjeller i ulike bransjer, men vi kommer til å se mer på ulike land i tiden fremover.

Den største saken til nå i Norge var et beløp på 135 millioner kroner
Kai Røer

Psykologiske mekanismer

Eksempelet med den permitterte og bedriftslederen handler om såkalte phishing-eposter, der den kriminelle avsenderen bruker et budskap som kan trigge mottakers psykologiske mekanismer. Avsenderen vet ikke om personen som får e-posten har søkt om dagpenger eller kontantstøtte eller hva det måtte være, men ved å sende ut flere hundre tusen e-poster er det en viss sannsynlighet for at noen mottakere føler seg truffet.

– Nå har vi en situasjon med mye bruk av hjemmekontor. Mange er ikke vant til det. De skal gjøre en jobb, håndtere den usikre situasjonen i samfunnet og i perioder måtte ta seg av små barn samtidig. Alt dette stresset påvirker mennesker, forteller Røer.

– Det vi ser er at de coronarelaterte e-postene går på personlige ting. For eksempel en Amazon-ordre som ikke har gått igjennom fordi kredittkortet må oppdateres. Eller en søknad om avdragsutsettelse på lånet er godkjent, og det må trykkes på en lenke for å aktivere.

– Hvor profesjonelle er disse e-postene?

– De kommer i alle former, men det er ikke som for 10 år siden da man med en gang kunne se det var svindel fordi språket var så dårlig eller at avsenderadressen var merkelig. Nå er det mer sofistikerte e-poster der de kriminelle ofte ha laget et domene veldig likt det selskapet de utgir seg for å være, for eksempel Amaz0n eller Amazon1. Det er svindel som er vanskelig, men ikke umulig, å oppdage.

Vi har sett er en økning i svindel, spesielt pornoutpressing
Vidar Sandland, NorSIS

Røer forteller at du aldri skal åpne et vedlegg eller trykke på en lenke i e-poster, selv om de er fra kolleger eller personer du kjenner, hvis du ikke vet at akkurat denne e-posten skal komme. Han gikk selv på en smell i en intern test. I forbindelse med en budsjettprosess fikk han en e-post fra sin overordnede om budsjettet, en person som i utgangspunktet ikke har noe med den prosessen å gjøre. Røer ble usikker, men det var tross alt sjefen som hadde tatt kontakt, så han sendte en e-post tilbake for å spørre om det virkelig var henne som var avsender.

– Det skulle jeg ikke gjort. Den e-posten kunne gått rett til hackeren. Jeg skulle tatt opp telefonen og ringt henne, eller opprettet en ny e-post til en adresse jeg visste helt sikkert var hennes.

UTNYTTER KRISEN: Kriminelle bruker coronaviruset for å skape tillit og spille på følelsene til folk. Illustrasjonsfoto: Dreamstime

Pornoutpressing

Andre kriminelle velger å gå for regelrett utpressing. Også her er utgangspunktet en e-post som kan virke høyst reell for den rette mottakeren.

– Vi har sett er en økning i svindel, spesielt pornoutpressing, sier Vidar Sandland, seniorrådgiver i Norsk senter for informasjonssikring (NorSIS).

I en periode folk har vært mye hjemme, satser de kriminelle på at flere også har sett på porno. I e-posten får mottaker beskjed om at de vet du har sett på porno, og at det må betales en viss sum for at informasjonen ikke skal bli spredt videre.

– Svindlerne sender fra din adresse og opplyser om et passord du bruker eller har brukt tidligere, forteller Sandland.

På den måten gir svindlerne inntrykk av at de har full adgang til din datamaskin.

Hvor enkelt er det å gjennomføre en sånn svindel?

– Jeg kan når som helst sende en e-post på vegne av deg, eller en sms på vegne av banken eller kona di. Passordene dine vil på et eller annet tidspunkt komme på avveie. Når de spiller på disse faktorene gjør det at disse e-postene kan virke troverdige.

I mange saker ser vi at aktører forsøker eller lykkes med å komme seg på innsiden av datasystemer uten at vi kan se hva de er på jakt etter,
Bente Hoff, Nasjonal sikkerhetsmyndighet

Gjennom tjenesten slettmeg.no får NorSIS tilbakemeldinger fra personer som har opplevd å ha blitt svindlet eller krenket.

– Vi får ca. 8.000 henvendelser i året. Det gjør at vi har pulsen på det som skjer der ute. Samtidig er det vi får beskjed om bare toppen av isfjellet. Det er mange som ikke rapporterer inn til oss.

Han forteller at antallet henvendelser om pornoutpressing har gått fra «noen få» i uka til «ganske mange».

En annen svindelvariant NorSIS har fått mange tilbakemeldinger om, er falske datingsider. Svindlerne operer med 8-9 identiske sider med de samme falske profilene. For å kunne ta kontakt med de disse tilsynelatende ekte personene må du abonnere, som både medfører en kostnad og at du gir fra deg kortinformasjon. NorSIS har opprettet en egen nettside for råd og tips for en trygg digital hverdag i coronatider. 

Forsterket trusselvurderingen

De kriminelle utnytter kriser. Etter en naturkatastrofe kan de utnytte forsikringsordninger og naturskadeerstatninger. I en finanskrise kan de utnytte børsfall og at mange taper penger. I en helsekrise kan de utnytte behovet for antibac og smittevernsutstyr. I forbindelse med coronakrisen har det vært mye oppmerksomhet rundt misbruk av støtteordninger.

– Det unike med denne krisen er at den er så langvarig. De kriminelle får god tid til å finne på historier som fungerer, sier Terje Fjeldvær, DNBs leder for bedrageribekjempelse.

DNB har de siste ukene sett flere eksempler på investeringsbedrageri der børsfallet blir utnyttet og folk blir lurt over på falske plattformer som skal gi en høyere fortjeneste. Metodene er de samme, men historiene er tilpasset coronakrisen.

– Risikoen for investeringsbedrageri har vært generelt økende de tre siste årene, forteller Fjeldvær.

I fjor registrerte DNB en økning på 125 prosent i antall gjennomførte investeringsbedragerier.

– Nå har vi sett en ytterligere økning.

Trusselvurderingen til DNB har ligget på «høy og økende» den siste tiden. Nå har banken måtte legge til «noe ytterligere forsterket».

– Er det snakk om store beløp?

– Jeg kan ikke huske noe enkeltbeløp som var eksepsjonelt høyt, men når de tar litt fra mange blir totalen ganske stor. Vi har flere eksempler fra de siste årene på at enkeltkunder har tapt flere millioner kroner på dette.

MYE Å GJØRE: Terje Aleksander Fjeldvær er DNBs leder for bedrageribekjempelse. Foto: Stig B. Fiksadal

Falske fakturaer 

En måte å lure til seg penger på, er å bruke falske fakturaer. Enten ved å sende ut en generell faktura, med et lavt beløp, og håpe at den blir betalt, eller ved å sende ut en faktura på et produkt mottakeren vanligvis kjøper. Det høyeste nivået er kompromittering av e-post, såkalt business email compromise (BEC). Der kan hackeren få innpass ved bruk av en phishing-epost.

– Du kan for eksempel få lønnsslippen din med beskjed om å skrive inn brukernavn og passord for office-programmet for å kunne se den. Du tenker ikke over at du allerede er logget inn, sier Kai Røer.

Dermed kan hackeren logge seg inn i epost-systemet som deg. Der er det informasjon om en leverandør i Polen som pleier å sende ut faktura en gang i måneden. Hackeren kommer leverandøren i forkjøpet og sender ut sin egen faktura.

– Det verste eksempelet vi har sett er at hackeren venter til leverandøren har sendt fakturaen, så sender han like etterpå en ny faktura og forteller at den forrige inneholdt den feil. Dette er den riktige fakturaen, sier Røer.

– Da går det ut fakturaer på noen hundre tusen eller millioner. Den største saken til nå i Norge var et beløp på 135 millioner kroner.

I 2015 startet Røer selskapet Cltre, som baserte seg på forskning innen informasjonssikkerhet og sikkerhetskultur. Selskapet bygde en plattform som skulle hjelpe bedriftene å få en bedre sikkerhetskultur, og målet var ikke snauere enn å bli det nye Opera i størrelse. I fjor kom milliardselskapet Knowbe4 på banen og kjøpte opp Cltre.

– Nå er vi tre ansatte her i Norge som utgjør forskningsavdelingen til Knowbe24.

Bekymret for hjemmekontor

Da coronakrisen var et faktum og ansatte raskt ble sendt til sine hjemmekontor var frykten stor for cyberkriminalitet. I en pressemelding da coronakrisen brøt ut uttalte førstestatsadvokat Inge Svae-Grotli i Økokrim at mer bruk av hjemmekontor og nye kommunikasjonslinjer i bedriftene ville øke sannsynligheten for at kriminelle ville lykkes med direktørbedragerier, altså e-poster som tilsynelatende kommer fra sjefen for å få tilgang til bedriftens systemer. Til Finansavisen uttaler han nå det er for tidlig å si noe om omfanget av dette under coronakrisen. Det samme mener Bente Hoff, avdelingsdirektør for Nasjonalt cybersikkerhetssenter hos Nasjonal Sikkerhetsmyndighet (NSM).

LØSEPENGEVIRUS: Hydros Eivind Kallevik og Bente Hoff fra sikkerhetsmyndighetene redegjør for cyber-angrepet mot Hydro. Foto: NTB Scanpix

– Ved et dataangrep er det helt vanlig at aktøren er inne i systemet i lang tid. Selv om det er noen uker siden mange startet med hjemmekontor, og vi til nå ikke har sett noen store angrep vi kan knytte direkte til dette, er vi fortsatt bekymret for svakheter i systemer på grunn av raskt etablerte hjemmekontor-løsninger og at aktører nå eller senere kan utnytte det at de har funnet en vei inn. Det er også risiko for at infisert hjemmekontorutstyr blir tatt med og koblet til nettverket på jobb når bruken av hjemmekontor reduseres, sier Hoff.

Hennes avdeling har for tiden høyt aktivitetsnivå. De får tilbakemeldinger om et bredt spekter av ulike typer datainnbrudd, som e-post med infisert skadevare, løsepengevirus og tjenestenektsangrep.

– I mange saker ser vi at aktører forsøker eller lykkes med å komme seg på innsiden av datasystemer uten at vi kan se hva de er på jakt etter, sier hun.

1,3 milliarder kroner

Cyber-angrepet på Hydro er friskt i minnet. Filer ble kryptert og låst, og det ble bedt om løsepenger for åpne dem opp igjen. Ingen løsepenger ble betalt, men angrepet kostet selskapet opp mot 450 millioner kroner. Mørketallsundersøkelsen til Næringslivets sikkerhetsråd for 2018 viser at norske virksomheter har liten oversikt over kostnader og tap som følge sikkerhetshendelser. Blant selskapene som deltok i undersøkelsen, og som klarte å estimere i kostnad, utgjorde tallet nesten 30 millioner kroner i 2017. Ut fra det tallet estimerer sikkerhetsrådet at det for næringslivet som helhet i Norge er snakk om tap på 1,3 milliarder kroner. En mørketallsundersøkelse er klar om en måneds tid.

– Vi er spente på hva som kommer. Vi har ingen indikasjoner på noen nedgang, sier direktør i Næringslivets sikkerhetsråd, Odin Johannessen.

– Det er lett å bli lurt, og viktig å melde fra hvis man kan ha blitt lurt. Hvis forsøket oppdages raskt kan det stanses. Du må i hvert fall ikke sitte på et hjemmekontor og tenke at ingen merker det hvis du har trykket på noe du ikke burde.

Smittetallene for coronaviruset går nedover. Samfunnet er i ferd med å åpnes opp. Kai Røer tror likevel den finansielle krisen vil vare i flere måneder fremover, og at mange mennesker dermed vil slite økonomisk og være nyttige mål for kriminelle.

– Folk i krise blir alltid utnyttet. De kan bli involvert i hvitvasking, nigeriasvindel eller operere som «money mules», både vitende og uvitende. Det kommer vi nok til å se mer av.

Les også