Koronapandemien har vist at også cyberkriminelle vet å omfavne en god krise.
Mange forbinder cyberkriminalitet utelukkende med tradisjonell hacking – å utnytte tekniske sårbarheter i datasystemene for å bryte seg inn i dem. Av den grunn er det også mange som knytter sikringstiltak til datamaskiner og IT-avdelingen, for eksempel ved installasjon av brannmurer, antivirusprogrammer og sikkerhetsoppdateringer. Man kan komme langt med tekniske sikringstiltak, men ofte forsøker angriperne å omgå den tekniske beskyttelsen ved å rette angrepet mot det svakeste leddet i systemet, nemlig deg. Dette kalles sosial manipulering.
Generelt sett er sosial manipulering utnyttelse av menneskelige sårbarheter for å oppnå ulovlige eller uetiske mål. I IT-sammenheng er typiske mål å få tilgang til datasystemer, informasjon eller penger. Ofte forsøker cyberkriminelle å oppnå dette ved å sende ut e-poster med skadevare eller lenker til nettsteder hvor man blir bedt om å oppgi brukernavn og passord, det som kalles phishing. I tillegg til e-post benyttes telefon og SMS.
Jo mer de cyberkriminelle vet om ofrene sine, jo mer målrettede kan angrepene være.
Målrettede angrep har mye høyere sannsynlighet for å lykkes, i tillegg til at de kan forbli uoppdaget svært lenge. I noen tilfeller blir de kanskje ikke oppdaget i det hele tatt. Sosial manipulering er en av de mest brukte metodene og grunnen er enkel: vi mennesker er nesten alltid det svakeste leddet i et informasjonssystem.
Mer sosial manipulering i koronatiden
Datatilsynet får daglig inn meldinger om brudd på personopplysningssikkerheten (avvik). Samlet kan disse meldingene si noe om hvilke trusler virksomheter står overfor og trendene hos ondsinnede aktører. I begynnelsen av koronapandemien ble det tydelig at slagordet «aldri la en god krise gå til spille» også ble omfavnet av cyberkriminelle. Vi opplevde en økning i antall meldinger om løsepengevirus og phishing, som kunne tyde på at trendene var i endring hos angriperne. Dette førte til at vi nylig publiserte en veileder om phishing.
Det var ikke bare vi som så at trusselbildet var i endring. I april kom NSM med en oppdatert advarsel om risiko i forbindelse med covid-19. I varselet skriver de at ondsinnede aktører blant annet utgir seg for å være WHO eller statlige helseinstitusjoner. Vi ser altså at angriperne nå benytter covid-19 som tema i angrepene sine, og fenomenet er verdensomspennende. Interpol fastslår i sin COVID-19 Cybercrime Analysis Report fra august at flere medlemsland melder om betydelig bruk av covid-19 som tema i phishing og nettsvindel. I ECHO-rapporten The COVID-19 Hackers Mind-set konkluderer de med at covid-19 gir cyberkriminelle en unik mulighet til å benytte eksisterende angrepsmetoder i ny kontekst, og dermed ha høyere sannsynlighet for å lykkes med angrepsforsøkene.
Det er neppe noen grunn til å tro at denne trenden vil avta med det første.
Helsedirektoratet meldte på Twitter senest 18. august om at svindlere ringer opp personer og forteller at de har blitt smittet, for deretter å be om betalingskortinformasjon for et test-kit. I tiden fremover kan vi tenke oss at de samme metodene vil benyttes for å lure folk til å betale for ikke-eksisterende tjenester eller vaksiner, eller foreta falske investeringer. Vi vil kanskje oppleve at cyberkriminelle utgir seg for å være representanter fra en bank, og tilbyr oss å kjøpe aksjer i selskaper som er kommet langt i utviklingen av en vaksine. Når det annonseres at vi har en vaksine klar er det sannsynlig at cyberkriminelle vil utgi seg for å være offentlige myndigheter og tilby personer prioritert vaksinering mot betaling. De vil også kunne utgi seg for å være ansatte i bedriftshelsetjenester og prøve å lure store virksomheter til å betale regninger for vaksinering av sine ansatte. Det er kun fantasien som setter begrensninger for hvilke tilnærming angriperne velger – og fantasien deres er ofte god.
Hvorfor blir vi mer sårbare under en pandemi?
Vi mennesker kan påvirkes i stor grad, spesielt av angripere som vet noe om oss. Vi styres i stor grad av følelser som frykt, usikkerhet, grådighet og tillit. Uavhengig av om vi er i en pandemi forsøker kriminelle å utnytte disse sidene ved oss. Følelsene som gjør oss til mennesker gjør oss dermed også sårbare for manipulasjon.
De iboende sårbarhetene våre er imidlertid enda lettere å utnytte i en pandemi, fordi svært mange deler de samme følelsene samtidig. Vi har nok alle kjent på både usikkerhet og frykt i løpet av koronapandemien. Mange har nok også kjent en dypere frykt for utviklingen i verdenssamfunnet, at verden som helhet oppleves som et mer usikkert sted.
Når samme tema angår svært mange mennesker kan cyberkriminelle gjøre en rekke antagelser med høy treffprosent. De kan for eksempel anta de fleste ønsker at det skal komme en vaksine, slik at samfunnet kan åpne helt opp igjen. Målgruppen for sosial manipulering med vaksinetematikk er dermed tilnærmet hele samfunnet. Så lenge angriperen er overbevisende nok i fremstillingen sin kan svært mange bli lurt.
En annen side av pandemien er manglende rutiner fra arbeidsgiver, eller at vi kanskje ikke er like nøye med å følge rutiner fra hjemmekontoret. Vi ble tross alt kastet inn i en arbeidshverdag de færreste hadde planlagt for på forhånd. Det er for eksempel vanskeligere å forhøre seg om mistenkelige e-poster, telefoner eller SMS-er på hjemmekontoret enn på kontoret. De fleste har ikke den samme nærheten til kollegaene sine fra hjemmekontoret, og kommunikasjonen flyter ikke på samme måte som før. Hvis kollegaene dine har mye å gjøre vil du kanskje nøle mer med å spørre over telefon enn om du kunne stukket innom kontoret.
Omgivelsene våre og utstyret vi bruker spiller også en rolle. Hvis du skal passe barn samtidig som du jobber er du sannsynligvis mer uoppmerksom, og kan lettere lures til å klikke på skadelige lenker eller godkjenne fakturaer fra svindlere.
Mange jobber kanskje også fra private datamaskiner hjemme, uten at virksomheten har tatt stilling til hvilke rutiner som skal gjelde for det. Vi skal heller ikke glemme at hjemmet er en sfære knyttet til fritid og trygghet, og at det i seg selv kan påvirke atferden vår.
Hva kan vi gjøre?
Konklusjonen er at risikoen for sosial manipulering under koronapandemien er større enn ellers. For å redusere risikoen må vi blant annet være nøye med å sjekke hvem som forsøker å kommunisere med oss og innholdet i kommunikasjonen. Vi må være spesielt oppmerksomme dersom vi mottar koronarelaterte tilbud, eller blir bedt om å betale regninger eller klikke på lenker. Vi må være veldig sikre på at kilden er autentisk dersom vi blir bedt om å oppgi brukernavn og passord eller åpne programmer og filer.
Som arbeidstagere må vi strebe etter å følge rutiner også på hjemmekontoret.
Om noe er usikkert er det bedre å kontakte en kollega eller sjefen enn å la det være. Dersom virksomheten ikke har gode rutiner bør vi si fra til lederne våre og være pådrivere for å få på plass disse. Samlet sett krever beskyttelse mot sosial manipulering årvåkenhet fra oss alle – både som privatpersoner, arbeidstagere og arbeidsgivere. Vi skal sannsynligvis utfordres på dette flere ganger i nær fremtid.