KOMMENTAR: digital utpressing

Utpressing virker og truslene blir mer skreddersydd

Trusler på e-post blir grovere, skarpere, mer troverdig og mer skremmende. Du bør imidlertid ikke la deg skremme, skriver Vegard Kjerstad, leder av Ateas Incident Response Team.

De som står bak utpressings-eposter blir stadig mer kyniske, mener Vegard Kjerstad.
De som står bak utpressings-eposter blir stadig mer kyniske, mener Vegard Kjerstad. (Helge Kjerstad)

Trusler på e-post blir grovere, skarpere, mer troverdig og mer skremmende. Du bør imidlertid ikke la deg skremme, skriver Vegard Kjerstad, leder av Ateas Incident Response Team.

  • Debatt

At alle du kjenner får se video av deg som ser på porno, er noe de fleste ikke synes er særlig hyggelig. Men selv om dette er pinlig, overlever man sannsynligvis eksponeringen. Det har de IT-kriminelle også funnet ut og går nå mye hardere til verkes. De spisser truslene mot det man er mest engstelig for, i mitt tilfelle som så mange andre, må det være at noe skulle hende med barna mine eller andre familiemedlemmer.

Utpressingstrusler på e-post

I flere år har vi hørt om ulike utpressings-trusler som kommer på e-post. Mest kjente variantene her til lands relaterer seg til trusselen om å slippe fri video av deg som ser på porno, og de understreker at alle du kjenner vil få tilgang til videoen.

De fremstiller gjerne informasjon om deg for å vinne troverdighet. For eksempel passord som er hentet fra kjente passord-lekkasjer, der det er stor sannsynlighet for at du fortsatt har samme passordet. De har altså ikke plantet spionprogrammer på din maskin og filmet deg ser porno, men med «beviset» passordet ditt, skremmer det uansett. For selv om de fleste av oss har hørt om denne formen for svindel og ler bort truslene, så er det mange som betaler. Faktisk drar de inn rundt 100.000 dollar i måneden, så det er ikke rart de kriminelle holder det gående.

Spisser angrepene bedre

Men selv om dette er lukrativt, så er lønnsomheten fallende. For med jevne mellomrom kommer utpresserne med nye kampanjer og kraftigere skremsler. De kriminelle begynner å spisse angrepene sine bedre, og har utvidet repertoaret til å inneholde flere former for utpressing.
For noen år siden opplevde virksomheter å bli truet med DDoS angrep om de ikke betaler, og i andre deler av verden truer de med bomber og leiemordere.

Private kan oppleve noe av det aller verste. Som for eksempel å bli beskyldt for barnemishandling.
IT-kriminelle kan deles i flere grupper, men fellesnevneren er at de begynner å legge mer jobb i forarbeidet enn før. Dette gir sannsynligvis en mye høyere treffprosent i form av utbetalinger. Eksempelvis ville de googlet opp din kontaktinfo og raskt funnet ut at du hadde barn før de truet deg med å skade barna, eller ditt forhold til disse med falske anmeldelser eller lignede.

Det er helt klart at bakmennene til utpressings-e-postene blir mer og mer kyniske, og ikke har noen begrensninger i hvordan skremme oss i håp om få sine penger. Norsk senter for informasjonssikring (NorSIS) har også omtalt  de nye skremmende truslene,

Min erfaring er at jo bedre og lengre en angriper har kartlagt offeret sitt, jo større er sannsynligheten for å lykkes med den planlagte svindelen.

Viktig å anmelde

I min jobb som leder av et hendelshåndteringsteam (IRT), opplever vi at det ofte er kunder som kontakter oss for å få råd om hvordan de skal håndtere truslene.
Vi har så langt ikke opplevd at disse henvendelsene er annet enn tomme trusler, og poengterer at det er viktig å kontakte politiet for å gjøre en anmeldelse. Enten man frykter trusselen er ekte eller ei. Anmeldelsene er med på å sette søkelyset på hvor stor denne kriminaliteten er, og således øke bevilgningene til politiet for å bekjempe IT-kriminalitet.

Samtlige virksomheter og myndigheter som jobber med IT-sikkerhet er tydelige på at man ikke skal betale utpresserne, da dette kun er med på å bygge oppunder kriminell virksomhet, og man begår muligens en kriminell handling selv når man betaler kriminelle.

Mer personlige og skremmende

Atea jobber normalt ikke med privatpersoner, kun virksomheter, og vårt hendelseshåndteringsteam er kun borti dette når personer kommer opp som en del av en hendelseshåndtering/etterforskning. Bildet med trusler i kombinasjon med de tradisjonelle angrepsformene, er skremmende. De IT-kriminelle kombinere også ID-tyverier med grundige bakgrunnssjekker, der de samler informasjon om oss og familiene våre fra sosiale medier og andre informasjons-lekkasjer, og på den måten kan fremstille trusler som oppleves som mye mer virkelige, personlige og skremmende.

Vi i sikkerhetsbransjen har i en årrekke sagt en må være forsiktig med informasjon en publiserer eller deler om seg selv, fordi den nettopp kan brukes mot oss. Nå ser vi at de som mente vi bedrev skremselspropaganda tok feil. Dette er realiteter og dette skjer nå.

Vil bli grovere

Mitt råd er å ha is i magen. Diskutér trusselmailer/henvendelsene med IT avdelingen på jobben. Gjerne i kombinasjon med HR om du opplever at budskapet i trusselen skal behandles konfidensielt.
Ofte er det flere i samme virksomhet som opplever å bli angrepet av de samme hackerne, og da vil åpenhet om denne fort avdekke at dette er en kampanje og ikke et målrettet angrep. Uansett vil IT-avdelingen kunne kontakte et hendelseshåndteringsteam, som kan bistå med utbedring og bakgrunnssjekk av henvendelsen.

Jeg jobber hver dag med IT-sikkerhetstrusler, hackede virksomheter og svindelforsøk, og kan garantere at trusler på e-post bare vil fortsette. Det vil også bli grovere, skarpere, mer troverdig og mer skremmende, så vær kritisk til disse henvendelsene, men ikke la deg skremme.  Overser man eller sletter henvendelsen, er sannsynligheten for at det kommer en oppfølgning lav.

Om du vil vite mer er et godt tips å lese anbefalingene på Nettvett.no og Norsis sine sider.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen