94 prosent av angrepene starter med en uskyldig e-post

Ansatte som bruker jobb-epost til private er økende sikkerhetsrisiko og bør forbys, mener etisk hacker Håkon Lønnmo i BDO.

SIKKERHETSBOMBE: Ikke bruk samme brukernavn og passord på flere tjenester, og i alle fall ikke resirkulert passordet fra jobben, er det klare rådet fra den etiske hackeren Håkom Lønmo i BDO. Foto: NTB
Teknologi

Opptil 94 prosent av skadevaren som rammer norske virksomheter kommer seg inn via e-post.

Vi skal ikke mer enn noen uker tilbake for å se store og kostbare eksempler på det, da både Stortingent og flere norske kommuner var under angrep.

– Svært mange ansatte bruker fortsatt jobb-epost til private formål. Det øker risikoen for dataangrep dramatisk, konstaterer sikkerhetsekspert Håkon Lønmo i IT-konsulenthuset BDO.

Innlogging på avveie

Lønmo leder til daglig et team av såkalt etiske hackere som jobber med å bryte seg inn i norske virksomheters IT-systemer for å avdekke sårbarheter som bør rettes opp.

– Når vi sårbarhetstester kommuner og offentlige virksomheter finner vi ofte de ansattes brukernavn og passord på avveie, sier Lønmo.

En særlig farlig, men dessverre også særlig utbredt, praksis blant ansatte er å resirkulere jobb-passord på tjenester de bruker privat.

Han forklarer at hvis de kriminelle klarer å finner innloggingsdetaljene dine fra Netflix, Facebook, nettbutikker eller en annen tjeneste på nettet, tar det ikke lang tid før det er testet mot alle de andre kontoene dine, og deretter lagt ut for salg på det mørke nettet.

Går etter de store

Ifølge en fersk rapport fra Verizon er 94 prosent av skadevaren som rammer næringslivet kommet inn via e-post. 

Det var også tilfellet i angrepet mot Stortinget og de ti innlandskommunene i høst.

Kriminelle som kjøper innloggingsinformasjon på nettet har for lengst oppdaget at det er bedre økonomi i å angripe virksomheter enn privatpersoner. De blir også stadig flinkere til å få e-postene til å se ut som de kommer fra en kollega eller pålitelig kilde, noe som gjør at stadig flere faller for lureriet.

Tofaktor ingen garanti

Lønmo sier to-faktor autentisering er en god sikkerhetsmekanisme, men heller ikke det er noen garanti mot angrep fordi målrettede cyberkriminelle ofte bruker nettfiske og sosial manipulering til å arbeide seg rundt slike hinder.

– En annen svakhet vi ser ofte er at selskapene har forskjellig sikkerhetsnivå på forskjellige deler av systemet. Arbeidsløsningen er ofte sikret med to-faktor autentisering mens HR og andre systemer ikke har det, sier Lønmo.

– Da klarer vi ofte å hacke oss inn likevel, ved hjelp av informasjon og påloggingsdetaljer vi ofte finner liggende i de mindre sikre delene av nettverket.

LØSE TRÅDER: Sikkerhetsekspert Håkon Xue Lønmo leder et team av etiske hackere som sikkerhetstester norske selskaper og offentlige virksomheter, finner ofte brukernavn og passord på avveie. Foto: BDO
bdo
hacking
cyberangrep
cybersikkerhet
e-post
dataangrep
CEO-svindel
Nyheter
Teknologi