Nettfisking kan være mye mer enn «arv fra rike slektninger»

NSM: – Hvis du ikke åpner denne typen e-post vil du leve i et vakuum.

E-postboksen din kan være et risikabelt sted å oppholde seg. Ikke bare kan det være vanskelig å holde oversikt over meldingene du faktisk venter på, men det er heller ikke uvanlig at uønsket e-post sniker seg forbi søppelfiltrene og inn i innboksen. Ofte er dette bare mer eller mindre harmløs reklame, men hva med e-poster om eksotiske prinser, arveoppgjør fra slektninger du ikke har hørt om før og konti som går ut på dato hvis du ikke oppdaterer informasjonen din?

Denne typen e-poster kalles phishing. Det handler om å utgi seg for å være noe annet enn man egentlig er, i håp om å fiske til seg informasjon. I sin enkleste form er dette maskinoversatte småtekster, sendt til mange tusen mottakere. Om mottakeren faktisk er kunde hos banken det bes om opplysninger for er lite viktig for avsenderen.

Vanligvis lett å kjenne igjen, men ikke alltid

De vanlige phishing-meldingene er ofte lette å kjenne igjen, men det finnes en helt annen type phishing. Det er meldingen du kanskje mottar fordi du jobber akkurat der du gjør. Hvis arbeidsplassen din behandler ekstra viktige data, kan det også hende at meldingen kommer fra Nasjonal Sikkerhetsmyndighet (NSM).

Vi besøkte NSM for å få et innblikk i hvordan organisasjonen jobber når de tester sikkerheten for datasystemer som skal behandle skjermingsverdig informasjon.

Jørgen Botnan er seksjonssjef i NSM, og snakker forholdsvis fritt om hvordan etaten går frem når den tester sikkerheten til viktige aktører i Norge.
Jørgen Botnan er seksjonssjef i NSM, og snakker forholdsvis fritt om hvordan etaten går frem når den tester sikkerheten til viktige aktører i Norge.Foto: Finn Jarle Kvalheim, Tek.no

– Det er meldinger av typen; Hei nå er det ny sesong, her er kjøreplanen for neste kvartal på fotballtreninga. Og ungene dine går faktisk på den fotballen. Det er på en måte helt genuint. Det eksisterer ingen grunn til at du ikke skal åpne den, forklarer seksjonssjef Jørgen Botnan i NSM

– Hvis ikke du åpner den typen mail så vil du leve i et vakuum. Så da er det du som er den første barrieren. Folk trykker, og da er det enten med et vedlegg, eller at du får opp en lenke. Klikk her for å se den oppdaterte terminlista. Og så kommer du til en webside som er nesten lik, men ikke helt, forklarer Botnan.

Simulerer ondsinnede angrep

Botnan jobber sammen med et utvalg mennesker i NSM som driver med inntrengningstesting. De simulerer rett og slett et ondsinnet angrep, for å teste sikkerheten i viktige datasystemer i Norge.

– Etter at du har klikket kommer den teknologiske dimensjonen inn. Om det da er sårbarheter i Java, i nettleseren, eller hva det måtte være. Eller hvis du åpner ett eller annet vedlegg.

I forbindelse med vårt møte med NSM har en av hackerne som jobber der forberedt en praktisk demonstrasjon for oss, der vi får se hvordan et slikt angrep kan se ut. Angrepet begynner med en e-post som varsler om årets julekalender på Tek.no. Den leder derimot ikke til noen julekalender.

Slik kan starten på et tenkt e-postangrep se ut, men det kan også være langt mer personlig enn dette.
Slik kan starten på et tenkt e-postangrep se ut, men det kan også være langt mer personlig enn dette.Foto: Laget for Tek.no av NSM
Selv om lenken i e-posten så ut til å gå til vår URL, kommer vi et helt annet sted når vi klikker på den. Det er også mulig å kamuflere nettadresser i nettleseren, men det er ikke gjort her.
Selv om lenken i e-posten så ut til å gå til vår URL, kommer vi et helt annet sted når vi klikker på den. Det er også mulig å kamuflere nettadresser i nettleseren, men det er ikke gjort her.Foto: Laget for Tek.no av NSM

Siden du kommer til har ikke den samme adressen som e-postmeldingen henviser til. Den kjører også Java, en teknologi som de fleste kanskje har møtt på i nettbanken sin. Foruten å bidra til sikkerheten i løsninger som gamle BankID har Java gjennom årene blitt brukt til aktivt innhold av ymse slag. Det er ikke helt utenkelig at en slik løsning også kan bli brukt i en adventskalender.

Legg merke til at sikkerhetsløsningen på PC-en aner fred og ingen fare. «You are protected» sier den. Den lille Java-snutten er signert, og den er ukjent for AVG Antivirus. Dermed får du kun opp den ene advarselen som spør deg om du ønsker å kjøre applikasjonen i nettleseren. Det er kanskje en kalender der, men det er ikke det eneste som skjuler seg bak advarselen.

– «Sjekk denne søte katten, den syntes jeg var utrolig kul. Likte du den også?» Også er du så dum at du klikker. Og så er det en søt katt der da, men så er det også noe mer som skjer i bakgrunnen. Så er det selvfølgelig et triks å få denne løsningen til å gå forbi antivirusløsninger og slikt også, forklarer Botnan underveis i vår samtale om e-postangrep.

Og her er det som skjer i bakgrunnen. Maskinen har koblet seg opp til en server med ukjent geografisk plassering. Nå begynner moroa, eller elendigheta. Alt ettersom.
Og her er det som skjer i bakgrunnen. Maskinen har koblet seg opp til en server med ukjent geografisk plassering. Nå begynner moroa, eller elendigheta. Alt ettersom.Foto: Laget for Tek.no av NSM

Så fort maskinen din har koblet seg til den ondsinnede serveren åpner mulighetene seg for hackeren. I dette tilfellet er det en såkalt «keylogger» som kjøres, altså en liten applikasjon som samler opp tastetrykkene dine. I dette tilfellet kobler hackeren seg opp via serveren og får direkte tilgang på datamaskinen derfra.

Først kobler hackeren til samme server som Java-appleten koblet til.
Først kobler hackeren til samme server som Java-appleten koblet til.Foto: Laget for Tek.no av NSM
Til slutt kan data hentes ut direkte fra maskinen som åpnet e-posten. Her ser vi både nettadresser og passord i avlesingen.
Til slutt kan data hentes ut direkte fra maskinen som åpnet e-posten. Her ser vi både nettadresser og passord i avlesingen.Foto: Laget for Tek.no av NSM

Dette er altså ganske vanskelig å gardere seg mot, dersom man ikke skal se med stor skepsis på alle meldinger i innboksen. NSM anbefaler likevel et sett forholdsregler som kan sikre mot en rekke angrep.

Å holde både programvare og maskinvare oppdatert er viktig. For bedrifter er det fornuftig at sluttbrukere ikke har administratortilgang på PC-en sin. Blokkering av applikasjoner gjennom lister over godkjent og ikke godkjent programvare er også et effektivt tiltak. Det griper litt inn i brukerens muligheter, men skal til sammen være nok til å stoppe mellom 80 og 90 prosent av angrep.

Les mer om datasikkerhet:

Norges beste mobilabonnement

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen