Del på:

Tip en ven:

BLOG: axcess.dk/blog


Lukker I julemanden ind?

Af Jørgen Hartig - 07. december 2016, Security
0

Vi snakker rigtig meget om at have styr på vores mure og voldgrave omkring vores borg og at have de interne sikkerhedssystemer på plads; De skal være modstandsdygtige og avancerede, så de kan stoppe og opdage angreb imod vores kritiske informationer. Det er også en rigtig vigtig diskussion, men alle os medarbejdere er alle mennesker og ofte nemme at hacke. Det blev jeg (igen) gjort opmærksom på forleden dag. 

I sidste uge deltog jeg på et spændende seminar i Aarhus om sikkerhed og social engineering – altså evnen til at infiltrere virksomheder ved at udnytte basale menneskelige egenskaber, såsom hjælpsomhed, frygt og autoriteter. Ivano Somaini fra Compass Security ”tester” primært virksomheder og deres ansatte i forhold til denne type angreb, og der var følgende vigtige observationer fra deres indlæg, som jeg gerne vil dele:

      • Mobilen er et vigtigt redskab! Hvis man snakker i telefon og har hænderne fulde med papirer eller en papkasse, så er folk oftest rigtig flinke til at holde døren for dig. Det blev hans primære indgang til en større bank – uden at bruge kort, udnyttede han folks hjælpsomhed til at holde døre for ham
      • Med tillid kommer man langt. Hvis man sender en mail til en it-ansvarlig om f.eks. en firewall regelændring, hvor man har beskrevet en lang (opdigtet) mailkorrespondance, som viser, hvor gode venner man er med chefen til den it-ansvarlige, så bliver tingene gjort. Her udnyttes medarbejderens tillid og hans eller hendes respekt for autoriteter (”CEO fraud” er nogle alvorlige eksempler på dette)
      • Intern information er god lokkemad. Hvis man sender en mail om løn-/bonusudbetaling eller organisationsændringer, så bliver der ”klikket” på vedhæftede dokumenter og links 
      • Klæder skaber folk og adgang. Hvis en person klæder sig ud som julemanden (eller andre venlige mennesker J), så har medarbejderne en anden åbenhed for folk i en bestemt beklædning. Ivano havde faktisk gennemført en social engineering test i julemandskostume med succes (i december måned vel at mærke).

Forsvaret imod disse typer angreb er ikke bare lige til. Det vil altid være en kombination af teknik og at holde den ”menneskelige” Firewall opdateret med patches via løbende træning. Heldigvis findes der mange gode og iderige måder at gøre disse ”patches” effektiv for vores virksomheder. Ingen løsninger nævnt og ingen glemt i denne sammenhæng.

Senest opdateret 07. december 2016

Skriv kommentar

Udflyd formularen til højre

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren.

Dog skal alle felter udfyldes