Se opp for spearphishing!


Tenk deg at sjefen din via epost ber deg om å betale en faktura til utlandet. Hvorfor skulle du fatte mistanke om svindel, hvis epostadressen så riktig ut?

De fleste har trolig fått kjennskap til begrepet phishing, som brukes for å beskrive hvordan svindlere sender ut store mengder epost med håp om at mottaker skal bite på og klikke seg inn på websida deres. Her vil svindlerne gjerne at man skriver inn brukernavn og passord eller kredittkortnummer som så kan misbrukes, eller at man laster ned et program, som krypterer filene dine slik at de kan be om løsepenger.

Bjørn Torsteinsen er IT-sikkerhetssjef ved UiT.
Bjørn Torsteinsen er IT-sikkerhetssjef ved UiT. Foto: UiT

Slike eposter spiller gjerne på nysgjerrigheten vår, med overskrifter som "Skattepengene er kommet", "Du har vunnet", "Pakke i Posten" eller på frykt; "Kredittkortet vil bli sperret" eller "Bekreft kontoen din". De har ofte et litt ubehjelpelig språk og er tydelig masseprodusert.

Målrettet angrep
Spearphishing (spydfiske) er derimot et mer målrettet angrep, helst mot større ”fisker”. Denne typen svindel kalles også "direktørsvindel" eller "CEO-fraud". Målene her er gjerne direktører/ledere, økonomiansvarlige og andre som har tilgang til penger og forretningshemmeligheter.

I disse svindelforsøkene gjør svindlerne seg flid med å skaffe seg opplysninger om målet, som tittel, arbeidsoppgaver, nærmeste leder, sekretær eller underordnet, favorittfotballag eller barnas fritidsaktiviteter. De mest elegante svindlerne forfalsker epostmeldingene slik at de greier å gjennomføre en hel korrespondanse med mottaker.

– Mange opplysninger er enkle å finne via en bedrifts nettsider eller sosiale medier. Epostene som sendes ut er språkvasket og ser ut som de kommer fra en person som mottakeren kjenner og stoler på, sier IT-sikkerhetssjef ved UiT, Bjørn Torsteinsen.

Betaling til utlandet
Tromsø Museum ble i sommer utsatt for nettopp et slikt svindelforsøk. En av de ansatte ved regnskapsavdelingen fikk en epost som angivelig kom fra formidlingsleder Karen Marie Christensen, der hun skriver at de skal ”sende en internasjonal betaling til England” samme dag, og hun spør den ansatte hva slags informasjon hun trenger for å få det gjort.

Adresser i epost

* En epostmelding består på samme måte som forretningsbrev av et eposthode og en meldingskropp. Meldingskroppen er selve teksten med eventuelle bilder og vedlegg, mens eposthodet inneholder mottaker, avsender, emne-felt, dato, kopi-til og en mengde andre opplysninger. De fleste av disse feltene vil epostprogrammet skjule for deg, og du må innom spesielle menyer for å få se dem. Et av disse feltene heter "Reply-to" og medfører at når du svarer på meldingen, så vil svaret bli sendt til denne adressen i stedet for adressen som står som avsender. Dersom du ikke er oppmerksom eller for eksempel bruker mobilklienter kan dette være lett å overse.

* Epostmeldinger har en konvolutt rundt seg når de sendes fra maskin til maskin. På konvolutten står adressen til sender og mottaker. Avsender- og mottakeradressen på konvolutten trenger ikke å være de samme som står i meldingshodet, men det er disse som bestemmer hvilken postboks meldinga blir levert til og hvem som mottar eventuelle feilmeldinger. Du vil vanligvis ikke få se konvoluttavsender i epostprogrammet ditt.

* Det er enkelt å sende en epost som inneholder en annen avsenderadresse (både i konvolutt og meldingshode) enn den du har selv. Mange har opplevd at epostadressen er blitt misbrukt til å sende ut søppelpost. Dette oppdages gjerne ved at man mottar feilmeldinger på meldinger man aldri har sendt ut. De fleste postkontor (maskiner som flytter epost rundt om i verden) forsøker å holde kontrollen ved for eksempel å kreve at avsenderadressen tilfredsstiller ulike regler. UiTs hovedpostkontor nekter for eksempel å motta epost fra Internett der konvoluttavsender inneholder @uit.no.

– Eposten var forfalsket på en slik måte at vedkommende som fikk den trodde den var fra Karen Marie Christensen. Man kunne ikke se at den faktisk var sendt fra en gmail-konto, sier Torsteinsen.

I tillegg var eposten skrevet på godt norsk. Personen som mottok den hadde derfor ingen grunn til å tvile på at den kom fra Christensen. Dermed sendte vedkommende et svar tilbake med hvilke opplysninger hun trengte for å komme videre i saken.

– Svindlerne stiller spørsmålet for å vekke tillit, samtidig som de på denne måten skaffer seg informasjon om hva som skal til for å få gjennomført en utbetaling, sier Torsteinsen.

20 000 pund
I svaret skrev svindlerne, som fortsatt ga seg ut for å være Christensen, at det dreide seg om i underkant av 20 000 pund, og oppga blant annet en engelsk bankkonto. Men i stedet for å gjennomføre utbetalingen, sendte den ansatte eposten videre til en annen økonomiansvarlig ved museet, fordi hun selv egentlig var på ferie.

– Han var årvåken og tok direkte kontakt med Karen Marie Christensen, som kunne avkrefte at hun hadde noe med eposten å gjøre. På den måten ble svindelforsøket oppdaget, sier Torsteinsen.

Han understreker at UiT har strenge rutiner for utbetalinger, og at svindelforsøket derfor trolig ville blitt oppdaget uansett. Han oppfordrer likevel alle ansatte ved UiT til generelt å være kritiske til eposter, og spesielt hvis man mottar eposter der det framkommer rutinebrudd eller som kan oppfattes mistenkelige på andre måter.

– I slike tilfeller råder jeg folk til å ta direkte kontakt med avsenderen, for å avklare om den faktisk kommer derfra. I tillegg bør man kontakte Orakelet eller sikkerhetsgruppa hos IT-avdelingen, sier Torsteinsen.

Han er kjent med ytterligere ett tilsvarende svindelforsøk ved UiT.

– Dette er en form for svindel som etter hvert er ganske utbredt, legger han til.  

En politisak
I ettertid har IT-avdelingen gjort flere tiltak for å avverge at slike eposter, der den virkelige avsenderen er skjult bak en falsk adresse, kommer gjennom i systemet. Torsteinsen sier at det likevel alltid vil finnes smutthull og at det er vanskelig å gardere seg 100 prosent mot slike svindelforsøk.

Saken fra Tromsø Museum ble oversendt politiet i Tromsø som et tips, men ble ikke formelt anmeldt. 

– Politiet har en egen gruppe som jobber med IT-sikkerhet, og vi syntes det var greit å informere dem, sier juridisk rådgiver ved UiT, Svein Are Edøy.

Han mener UiT-ansatte også bør være på vakt i forhold til aggressive annonse- og forsikringsselgere. 

– Mange av disse er useriøse firmaer som det er viktig å stå imot. For øvrig er vi selvassurerende, fordi vi er statlig, og skal ikke tegne egne forsikringer, sier Edøy.

Hvem hører og ser? 
Torsteinsen legger til at det er viktig å tenke informasjonssikkerhet også på andre områder enn bare det tekniske.

– Det er for eksempel ikke så lurt å putte en ukjent minnepinne inn i sin maskin. Den kan blant annet inneholde kryptovirus, der alle filene dine blir utilgjengelige for deg, sier han.

I tillegg mener han man bør tenke over hvordan man beskytter sensitiv informasjon i videokonferanser, på kontoret eller i andre sammenhenger, hvor man oppbevarer nøklene til kontoret og om man har tastelås på telefonen.

– Vi har et motto som lyder: ”Du prater – hvem lytter? Du viser – hvem ser?” Det kan kanskje starte en tankeprosess om hvordan vi behandler informasjon som andre ikke skal ha tak i, sier Torsteinsen. 

På Twitter   #norgesarktiske