To stjålne mailkontoer førte til 5 millioner spam-meldinger og stengt mailsystem

 

For noen år siden ble Kristiansand kommune offer for et phishing-angrep. Informasjon kom på avveie via to mailkontoer, og på kort tid hadde kommunen sendt ut 5 millioner spam-meldinger til hele Norge. Kapringen førte til at Microsoft stengte kommunens tilgang til mailsystemet, og Kristiansand kommune fikk ikke kommunisert ut via mail på 14 dager. På dette tidspunktet hadde ikke kommunen tofaktorautorisering.

 

- Vi skjønte at vi måtte gjøre noe med bevisstheten rundt it-sikkerhet. Vi bestemte oss derfor for å gjennomføre en phishing-øvelse for å se hvordan det egentlig sto til.

Ingunn Kvivik, kommunikasjonssjef i Kristiansand kommune

 

“Målet med øvelsen var å vise ansatte – og ledelsen i kommunen – hvor lett det er å bli lurt”, forklarer Kvivik: "Vi innså raskt at vi manglet grunnleggende sikkerhetsrutiner og bevissthet. Bruker du for eksempel samme passord på private kontoer som på jobb, kan en hacker plutselig få tilgang til hele arbeidsplassen din dersom en av dine private kontoer rammes."

Jarle Børven, som jobber som etisk hacker og penetrasjonstester i Netsecurity, satte opp og gjennomførte testen sammen med Kristiansand kommune. «Jeg snakket mye med Ingunn for å kartlegge, deretter laget vi et scenario som var troverdig og i en naturlig kontekst. To nøkkelelementer for å få folk til å «gå fem på» i slike tester, er å bruke midler som hastverk og frykt. Det gjør at folk blir stresset og trykker på lenker før de ber om en second opinion fra andre», sier han.

 

1336 ansatte gikk i fella

Kristiansand kommune tok kontakt med Netsecurity, og sammen satte vi opp en falsk epost som skulle gå ut til 9500 intetanende ansatte. 7000 personer åpnet mailen, og av disse var det 1336 som trykket på linken og oppga sensitiv informasjon. Ordlyden og innholdet var laget slik at det virket som om mailen kom fra kommunen, men epostadressen var falsk og avsenderen eksisterte ikke i virkeligheten.

"Vi ble litt overrasket over hvor mange som ble lurt, med tanke på hvor mange år vi har deltatt i sikkerhetsmåneden og hvor mye vi har snakket om det. Det viser at det ikke holder å snakke om dette, folk må kjenne det på kroppen”, sier Ingunn Kvivik. Det å ha brannmur og sikkerhet på plass er altså ikke tilstrekkelig, siden hackere lett kan komme seg forbi dette ved hjelp av uoppmerksomme ansatte.

 

Phishing-øvelsen har ført til økt trygghet

Kristiansand kommune har merket en økning i antall ansatte som tar kontakt når de får en mail de er skeptiske til. I tillegg ser de at bevisstheten har økt generelt hos de ansatte, noe som også var målet med øvelsen. Resultatet er at IT-sikkerheten ivaretas bedre nå enn før de gjennomførte øvelsen.

“I etterkant av øvelsen hadde vi en evaluering med Netsecurity, hvor de også kom med råd til hvordan vi skulle agere videre. Hele prosessen var profesjonell og uproblematisk, med faglig dyktige folk. Alt fra planlegging til gjennomføring og evaluering i etterkant fungerte supert og det opplevdes veldig trygt å ha Netsecurity der”, sier kommunikasjonssjef Kvivik.

 

Konkrete tiltak kommunen har innført etter øvelsen, er:

  • Interne kampanje på hvordan avsløre en phishing-mail, god passordhygiene og «det ikke er flaut å gjøre feil, meld raskt til IT»
  • IT har etablert bedre rutiner for phishing. Blant annet aktivert Report Message for å gjøre det lettere for ansatte å melde mistenkelige mailer, samt testet ut å legge på advarsel om: «denne meldingen er sendt fra en avsender utenfor egen organisasjon»
  • Innført det de kaller «hverdagsnære sikkerhetsregler» – en flyer gitt til ansatte, og som legges ved alle nye pcer
  • Etablert oktober som en årlig sikkerhetsmåned i Kristiansand kommune

 

- Ved å gjennomføre en phishing-øvelse, gjøres brukeren mer bevisst på slike angrep og hva man skal være på vakt for. IT-sikkerhet er lag-på-lag-sikkerhet, men phishing går forbi mange av disse lagene og rett på mennesket. Derfor er det ekstremt nyttig at alle ansatte får trene på hvordan et angrep kan se ut.

Jarle Børven, etisk hacker og penetrasjonstester i Netsecurity

 

Anbefaler alle bedrifter å gjøre en risikovurdering

Hva vil det bety for bedriften deres hvis ansattes kontoer bli tatt og uvedkommende får tilgang til systemene deres? Det er en risikovurdering alle bedrifter bør ta, ifølge Kvivik.

"Ett tips er å engasjere seg i sikkerhetsmåneden, som er i oktober hvert år. Her får du mye “gratis” ved at god informasjon er samlet på ett sted, du kan delta på ulike seminarer og lignende. Ved å sette sikkerhet høyt på agendaen denne måneden, er det lettere å beholde bevisstheten rundt det resten av året," avslutter Kvivik.

"Absolutt alle bør ha tofaktorautorisering," råder Jarle Børven. "I tillegg er det smart å ha god passordhygiene – ikke bruk samme passord flere steder. Da er inngangen til dine andre kontoer veldig lett," sier han.

 

Vil du vite mer om hva en phishingøvelse innebærer? 

Fakta om phishing

  • Phishing er en form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning.
  • Via vedlegg kan det installeres skadevare, for eksempel løsepengevirus («ransomware»), som kan spre seg videre til andre datamaskiner i samme nettverk.
  • Via lenker kan angriperen be om brukernavn og passord til systemløsninger, og videre benytte disse for eksempel til å stjele konfidensielle opplysninger.