I nærmere ni måneder kunne hackere videresende nærmere 60 000 epost fra det Maersk-eide rederiet Svitzer. – Uvanlig og underlig angrepsform, sier sikkerhetsekspert til ABC.
I mange av epostene fremkommer det personopplysninger om rundt 500 av rederiets ansatte. På verdensbasis har logistikkselskapet rundt 5000 ansatte.
– Vi oppdaget uregelmessigheten da en ansatt fikk en bouncemelding på en epost vedkommende aldri hadde sendt, sier kommunikasjonsdirektør Nicole Holyer i Svitzer til ABC.
Opprettet regel
Videresendingen av selskapets eposter startet i slutten av mai 2016. Ifølge Svitzer har det blitt opprettet en regel på tre ansattes mailklienter som har videresendt selskapets eposter til to eksterne kontoer.
Videre er det blitt opprettet en regel som automatisk har slettet de videresendte epostene.
Dette er gjort for å unngå å bli oppdaget.
– Nå fokuserer vi på å bistå de ansatte. Det har vår høyeste prioritet, sier administrerende direktør Steffen Risager til ABC.
Selskapet skal få eposttjenestene sine levert av Microsoft. Nærmere bestemt via Office 365, viser MX-oppslagene.
Skjer også i Norge
NSM gikk tidligere i år ut og advarte mot at også norske bedrifter er aktuelle mål for denne angrepsformen.
_logo.svg.png){kind=logo}
Ifølge det statlige organet bruker majoriteten av de rammede norske bedriftene også Office 365.
– Angriper benytter offerets reelle epost-konto. Ettersom svindlerne ikke forfalsker avsenderen tilsier dette at kontoen er kompromittert. Totalt gjør dette at svindelen fremstår som mer profesjonell enn en ordinær CEO-svindel, skriver NSM på egne nettsider.
Dette er ikke første gang danske Maersk rammes av et dataangrep.
Tapte milliarder på dataangrep
I juni 2017 ble selskapet angrepet av skadevaren Notpetya. Det førte til at mange av selskapets datamaskiner ble kryptert og umulig å bruke.
I alt har det danske selskapet beregnet at de tapte et sted mellom to og tre milliarder norske kroner som følge av angrepet.
I kvartalsregnskapet som ble lagt frem i november het det at volumene i shippingvirksomheten falt 2,5 prosent, mens enhetskostnadene for faste bunkerpriser økte med 3,9 prosent som en direkte konsekvens av dataangrepet.
– Underlig serverkonfigurasjon
Epostangrepet mot Maersk-eide Svitzer betegnes som «underlig» av den australske sikkerhetseksperten Troy Hunt.
– Det er veldig uvanlig å se at informasjon lekker på denne måten. De fleste store organisasjoner konfigurer serverne slik at det ikke er mulig å videresende epost på denne måten. Rett og slett fordi man vil unngå denne angrepsformen, sier han til ABC.
Ifølge sikkerhetsselskapet NTT er norske ledere svært utsatte mål for denne type angrep.
Da digi.no snakket med penetrasjonstesterne John-André Bjørkhaug og kollega Egil Aspevik tidligere i mars kunne de fortelle at suksessraten ved målrettede angrep var på hele 100 prosent.
Norske ledere er enkle mål
Basert på egne erfaringer sier NTT Security at 70 prosent av norske ledere er enkle mål for motiverte hackere.
Som regel tar det under ti minutter å skaffe seg tilgang til virksomhetens mest kritiske data, lyder påstanden fra de to ekspertene.
Deres beste råd til alle virksomheter er å holde administratorrettigheter for normale brukere til et minimum.
– Ikke logg deg på med lokal administratorkonto eller la brukerne ha slike rettigheter i nettverket. Da gjør du jobben vår kjempevanskelig. Men de fleste som fjerner administratorrettigheter gjør seg upopulære. Du må tåle å stå i det og dessuten ha aksept fra ledelsen for å gjøre det, rådet Egil Aspevik til digi.no da.
