En stribe hackerangreb mod franske virksomheder og banker får nu sikkerhedsfirmaet Symantec til at råbe vagt i gevær.
For fremgangsmåderne er snedige, ondsindede og kombinerer gammelkendte teknikker som social engineering, spear phishing og malware på nye måder, fortæller sikkerhedsfirmaet.
I et eksempel lykkedes det hackerne at slippe af sted med pengebeløb på følgende facon:
1. trin:
I april 2013 modtager en assistent for en vicedirektør i en fransk-baseret multinational virksomhed en e-mail med et link til en faktura på en kendt fildelings-service.
2. trin:
Et par minutter senere får samme assistent et telefonopkald fra en anden vicedirektør i virksomheden, som instruerer hende i at betale fakturaen.
Han taler med overbevisning i stemmen på et formfuldt fransk. Senere viser det sig, at fakturaen er falsk, og vicedirektøren, der ringede, var hacker.
3. trin:
Fakturaen er en Remote Access Trojan (RAT), som er konfigureret til at kontakte en command-and-control (C&C) server placeret i Ukraine.
Ved hjælp af trojaneren kan angriberen straks tage kontrol over kontor-assistentens computer og se, hvad der bliver skrevet på computeren, ligesom han kan se skrivebordet på computeren og gennemse filer.
Du kan læse mere om de forskellige typer af angreb, der rammer Frankrig i øjeblikket, her.
Vil kunne ramme Danmark
"Et tilsvarende kreativt hack vil kunne foregå i Danmark," vurderer sikkerhedsekspert Peter Ulrik Schjøtt fra Symantec oven på bølgen af angreb i Frankrig.
Hele sagen er desuden yderligere kompliceret af, at det faktisk har været yderst vanskeligt at finde frem til gerningsmændene.
Ved at undersøge e-mails og trafik har Symantec afdækket, at angriberen befinder sig i eller router deres angreb over Israel.
Symantecs trafikanalyse viser desuden, at flere angreb blev udført fra et mobilt netværk, og at angriberen på den måde hele tiden flyttede rundt.
Det var i maj 2013, at Symantec første gang offentliggjorde oplysninger om de første angreb af denne type.
"Det er en helt ny slags angreb, som er rettet mod virksomheder i Europa. Der er nu kommet flere detaljer om angrebene," udtaler den danske it-sikkerhedsekspert til Computerworld.
"Det at anvende social engineering og gradvist sammenstykke information, der til sidst gør det muligt at manipulere med en organisation, gør angrebet svært at gardere sig imod," udtaler han.
Imidlertid ridser han nogle gode råd op, hvis bølgen af angreb skulle ramme danske virksomheder.
Undgå angrebet: Råd 1 og 2
Der er mange måder, angrebet kunne være stoppet på. Nedenfor er en række forslag fra Peter Ulrik Schjøtt:
1. Mail og filer
Bedre tjek for om filer eller links i emails er legitime eller leder til installation af malware.
"Det er ikke ligegyldigt, hvilke antivirus/antispam løsning organisationen anvender. Det er for eksempel typisk, at links i email, der fører til malware, ikke gør det i ét hop, men i en række hop."
Email antivirus/antispam løsningen skal derfor kunne følge links hele vejen.
"Man skal også være klar over, at malware i mange tilfælde er designet og testet på forhånd, så man ved, at den ikke kan findes af et antivirus-system," forklarer han.
Endelig skal man også overveje, i hvor høj grad man vil tillade "indlejrede filer" - eksempelvis et videoklip i en PowerPoint - også her er der muligheder for at slippe malware igennem - i for eksempel Microsoft Office-filer.
"Dette betyder, at organisationer i højere grad aktivt må tage stilling til, hvilke ukendte filer man vil slippe igennem i eksempelvis emails eller downloads fra internettet."
"Her skal den enkelte organisation gøre op med sig selv, hvor meget "hul igennem" den vil have kontra sikkerhedsniveau og beskyttelse mod malware og angreb," forklarer han og pointerer, at jo mere "hul igennem", jo nemmere kommunikerer man med omverdenen, men jo større risici tager man også.
"Organisationens "risikovillighed" er en strategisk beslutning, som organisationens ledelse skal tage," lyder det.
2. Applikationer og programmer
Derudover skal man også tjekke op på andre ting.
"Bedre tjek for om applikationer og programmer på pc'er og servere i organisationen tager kontakt til Command and Control-centre (C&C, red.). Det vil sige pc'en eller serveren optræder som en 'bot', en fjernstyret "slave", hvilket betyder, at cyberkriminelle har adgang til maskinerne og kan gøre, hvad de ønsker."
"Rigtigt mange C&C kontrolcentre kendes, eller de kan genkendes på bestemte karakteristika i datatrafikken," forklarer han.
Men mange firmaer, store som små, har ikke en sådan sikring - problemet er, at datatrafikken starter indefra, ikke udefra.
"Det er en enkelt interne pc eller server, som starter kommunikationen til internettet. De fleste web sikkerhedsløsninger kigger på trafikken den anden vej og kan dermed ikke opdage interne bots," forklarer han videre.
Undgå angrebet: Råd 3, 4 og 5
3. Overvågning af it-miljø
Også bedre overvågning af det samlede it-miljø skal på plads.
Her henviser Peter Ulrik Schjøtt fra Symantec til eksemplet med assistenten, der åbner en ukendt fil eller hendes browser følger et link, bagefter begynder pc at kommunikere med et C&C center - endnu senere lænses den for fortrolig information.
"Det er vigtigt, at man hurtigt og effektivt kan få et overblik over, hvad der sker af sikkerhedshændelser i det samlede it-miljø og kan reagere på dette."
"Det er ikke effektivt, at (sikkerheds)administratorerne skal kigge på flere forskellige løsningskonsoller og selv sammenholde og få øje på, at de få hændelser ud af rigtigt mange betyder, at organisationen er under angreb," forklarer han.
Der er flere muligheder for sikkerhedsløsninger, der sammenholder sikkerhedshændelser fra forskellige kilder, måske endda fra forskellige leverandører, og uddrager de kritiske hændelser.
4 og 5: Dobbelt/triple-tjek
Endelig er det nødvendigt med dobbelt eller triple-tjek på "mærkelige" finansielle transaktioner
Det samme gælder dobbelt eller triple-tjek på iværksættelse af katastrofeberedskabet
Han erkender, at det handler om at finde en balance mellem tjek og dobbelttjek versus tidsforbrug, når man for eksempel skal iværksætte en katastrofeplan.
Pointen er, at der ingen lette løsninger er.
"De omtalte angreb illustrerer meget godt de problemstillinger en organisation har med en sikkerhed opsplittet i siloer, en forretning der skal fungere og et sikkerhedsberedskab, der hurtigt og effektivt skal kunne iværksættes."
"Men it-sikkerhed er ikke udelukkende en teknisk disciplin. Mange angreb kan afværges, og sikkerhedsproblemer kan undgås, hvis medarbejderne ved, hvad de skal holde øje med, og underretter de rette personer om, at "der er noget der ser suspekt ud,"" slutter han.