29. mai 2020
.jpg.aspx)
Norfund mistet svimlende 100 millioner kroner i et nettfiskeangrep. Norad klarte så vidt å unnslippe et sofistikert svindelforsøk. Hvordan er dette mulig og hvordan kan ideelle organisasjoner beskytte seg mot slike angrep?
16. mars overførte Norfund ca. NOK 100 millioner til en konto i Mexico – penger som egentlig skulle til en mikrofinansinstitusjon i Kambodsja. Pengene havnet på avveie som følge av et nettfiskeangrep (phishingangrep). Nylig opplyste Norad om at også de var utsatt for et lignende angrep i april, hvor en ondsinnet aktør utgav seg for å være direktoratets tilskuddsmottaker.
At ideelle organisasjoner er spesielt utsatt for nettfiskeangrep er ikke nytt, men angrepene mot Norfund og Norad viser en økende trend i angrep hvor svindleren utgir seg for å være tilskuddsmottakere og benytter sofistikerte metoder for å fremstå troverdig.
Sofistikerte og målrettede e-postangrep
Gjennom et datainnbrudd fikk aktørene tilgang til omfattende opplysninger om en planlagt overføring av lån fra Norfund til tilskuddsmottakeren. Tilgangene gjorde det mulig for svindlerne å manipulere kommunikasjon mellom partene, samt å tilegne seg informasjonen til å forfalske dokumenter og betalingsdetaljer med realistisk innhold, språk og utforming. Angrepet var godt timet og sofistikert utarbeidet som gjorde det svært krevende for mottaker å oppdage at e-posten var ondsinnet. Konsekvensen var at de ca. 100 millioner kronene som skulle til Kambodsja endte opp i Mexico, og nå er ute av syne.
Norad forklarer i en artikkel publisert på sine sider at de 1. april mottok en reell henvendelse fra en samarbeidspartner om utbetaling av 36 millioner kroner. 14. april mottok de en henvendelse, tilsynelatende fra samme kontaktperson, som hevdet at samarbeidspartneren hadde endret bankforbindelse og dermed også bankkonto. I samråd med økonomiseksjonen forsøkte saksbehandler å innhente bekreftelse på endring av bankkonto fra samarbeidspartneren. Først gjennom gjentatt korrespondanse med svindlerne ble det oppdaget at avsenders identitet var forfalsket ved å legge til en bindestrek i en ellers identisk e-postadresse. 20. april blir saksbehandler hos Norad igjen kontaktet med informasjon om endringer av bankkonto. Denne gangen fra en reell e-postadresse hos samarbeidspartneren. Aktøren hadde med andre ord tilgang til en eller flere e-postkontoer hos samarbeidspartneren. Skjerpet oppmerksomhet hos saksbehandler i Norad sørget for at også dette angrepet ble avverget.
Begge angrepene viser at trusselaktørene har tilgang til omfattende detaljer fra informasjonsutveksling mellom organisasjonene og tilskuddsmottaker. Troverdig mailutforming tilsier at svindlerne også har god språklig og teknisk kompetanse. Det er ut fra informasjonen organisasjonene oppgir ikke mulig å si hvor lenge aktørene har hatt tilgang til e-postkontoene til tilskuddsmottakerne, men detaljnivået og timing av angrepene kan tyde på at svindlerne har hatt tilgang over lengre tid. Det kan med andre ord være et resultat av et tidligere nettfiskeangrep, som først har blitt oppdaget når svindleren har slått til.
Gjensidig avhengighet
Hendelsene hos Norfund og Norad viser at det ikke nødvendigvis er et datainnbrudd i egne IT-systemer som setter aktørene i stand til å svindle ideelle organisasjoner. I angrepet mot Norad tilsier opplysningene at det er innsikt i tilskuddsmottaker sine systemer som førte til informasjonslekkasje. Det samme gjelder i angrepet mot Norfund, som opplyser at svindlerne manipulerte kommunikasjonen med tilskuddsmottakerne.
Hvis motpartens systemer er komprimert uten at de er kjent med problemstillingen, kan et nettfiskeangrep utformes slik at de blir tilnærmet umulig å oppdage. For å unngå at bistandsmidler havner på avveie er det således en gjensidig avhengighet av IT-sikkerhet mellom tilskuddsgiver og -mottaker. Trygg informasjonsutveksling gjennom felles rutiner og diskusjon mellom partene er dermed sentralt for å motvirke dataangrep.
Hvordan beskytte seg mot nettfiskeangrep?
Den mest effektive måten å beskytte seg mot nettfiskeangrep er å bevisstgjøre de ansatte om risiko ved knyttet til mistenkelig e-post og konsekvenser ved et eventuelt angrep. Det skal ikke mer til enn at én ansatt trykker på en ondsinnet lenke i en e-post for at angriperen kan skaffe seg tilgang til selskapets systemer. Det er derfor kritisk at hele organisasjonen er bevisst sine verdier og er utstyrt med tilstrekkelige verktøy for å kunne beskytte disse. Følgende tiltak kan være med å redusere sårbarheten mot e-postangrep:
- Innføring av rutiner for håndtering av mistenkelig e-post.
- Bevisstgjøring av de ansatte gjennom kursing og kampanjer.
- Måling av motstandsdyktighet mot nettfiskeangrep og praktisk trening av ansatte gjennom fiktive nettfiskeangrep.
- Bevisstgjøring av og diskusjon med samarbeidspartnere.
- Sikkerhetsovervåking av IT-systemer og software (f.eks. Office 365).
Hvis du ønsker hjelp til hvordan ovennevnte tiltak kan gjennomføres - ta kontakt med BDO Cybersecurity for en uforpliktende prat eller les mer om nettfiskeangrep og bevisstgjøring av ansatte her.