2018-05-08 10:30 | Thore West Eilersen

Det generelle trusselsbillede: Cyberkriminelle

I de sidste to blogposts beskrev vi vores generelle syn på cybertruslen mod danske virksomheder og en af de typer af aktører der står bag truslen, nemlig de statsstøttede hackergrupper. Der findes dog også andre aktører, der udgør en trussel. I denne blogpost vil vi beskrive cybertruslen fra enlige og organiserede kriminelle. I den næste post vil vi beskrive truslen fra de professionelle cyberkriminelle, der gør brug af avancerede teknikker for at gå efter guldet – i bogstavelig forstand.

Baggrund

Fællesnævneren for cyberkriminalitet er brugen af it-systemer til berigelseskriminalitet. Til forskel fra truslen fra særligt statslige aktører rammer denne trussel både virksomheder og privatpersoner.

Truslen fra cyberkriminelle er ikke ny. Særligt webbutikker har længe været udsat for kriminelle, der har forsøgt at udnytte sårbare betalingssystemer til at stjæle kreditkortoplysninger.

Omkostningerne ved cyberkriminalitet rammer bredt i samfundet. En undersøgelse fra 2011 udgivet i samarbejde med den britiske regering giver et indblik i, hvad forskellige former for cyberkriminalitet koster(1):

  • Identitetstyveri: £1,7 mia.
  • Online svindel: £1,4 mia.
  • Scareware og falsk antivirus: £30 mio.
  • Online tyveri: £1,3 mia.
  • Afpresning: £2,2 mia.
  • Samlet: £6,63 mia.

Det er meget sandsynligt, at dette tal er større i dag. Samtidig er ethvert estimat for omkostningerne ved cyberkriminalitet forbundet med store mørketal, da virksomheder sjældent offentliggør information relateret til cyberkriminalitet rettet mod dem.

Baseret på tallene fra Storbritannien er det dog meget sandsynligt, at danske virksomheder årligt mister et milliardbeløb som følge af cyberkriminelle aktiviteter.

Enlige og organiserede kriminelle

De cyberkriminelle aktører spænder fra enkeltpersoner, der fra deres egen computer forsøger at lokke penge ud af virksomheder og personer, til grupper, der ved hjælp af relativt avancerede teknikker angriber finansielle systemer.

Truslen fra den enlige cyberkriminelle er lav og der ligger en åbenlys hensigt om umiddelbar økonomisk vinding bag. Den enlige cyberkriminelle er dog hæmmet af generelt lav kapacitet, simpelthen fordi der kun er én eller få personer involveret i de enkelte operationer. Dette vil ofte komme til udtryk i forsøg på cyberkriminalitet, der rammer bredt, men som har en meget lav succesrate.

Blandt de mere succesfulde aktører findes organiserede kriminelle, der står bag såkaldte Business Email Compromise scams (BEC), også kaldet CEO-fraud. I et BEC scam udgiver de kriminelle sig for at være ledelsen i en virksomhed, for på denne måde at få medarbejdere til at overføre penge til en bankkonto, som de kriminelle kontrollerer. En anden form for BEC scam, er at sende falske fakturaer med krav om betaling for varer, der aldrig er blevet bestilt.

Vi var selv med til at rydde op efter en CEO-fraud sag for nylig. Den sag, og vores take på hvad man OGSÅ kan bruge loganalyse til kan I læse her. I vores tilfælde viste det sig, at scammerne med stor sandsynlighed kom fra Nigeria. Ifølge både Wired og CrowdStrike har der tilsyneladende været en stigning i netop CEO-fraud udført af nigerianske cyberkriminelle over de seneste år(2,3).

På trods af at det er simple teknikker, som de kriminelle gør brug af, har BEC scams vist sig at være en god forretning. Ifølge Rigspolitiets Nationale Cyber Crime Center (NC3) kostede BEC scams alene i anden halvdel af 2016 danske virksomheder DKK 180 mio.(4). TrendMicro anslår, at BEC scams på globalt plan vil koste virksomheder over $9 mia. i 2018(5).

Organiserede kriminelle bruger dog også hacking på andre måder. Et eksempel på dette blev opdaget i 2013, da belgisk og hollandsk politi i en fælles aktion anholdte 15 mennesker, herunder to belgiske it-sikkerhedsfolk. Anholdelserne kom efter en længere efterforskning af narkotikasmuglere, der brugte havnen i Antwerpen som transitpunkt(6).

Presseomtale omkring Antwerpen-sagen(i,ii).

It-sikkerhedsfolkenes rolle i sagen var, at få adgang til de computere og systemer, som holdt øje med containertrafikken. På denne måde kunne de holde øje med specifikke containere, som indeholdt smuglergods, og opsnappe dem før containernes retmæssige ejere.

Det sorte marked

Det er stadig uvist om de to it-sikkerhedsfolk frivilligt har hjulpet narkotikasmuglerne, eller om de blev presset til det. Baseret på udbuddet på det sorte marked, er det dog meget sandsynligt, at freelance hackere og it-specialister kan hyres til at udføre industrispionage mod konkurrenter.

Der findes dog også ydelser på lavere niveau på det sorte marked. Det er eksempelvis muligt, at finde store læk af brugernavne og kodeord på internettet. Disse læk rammer også større og mindre danske virksomheder. Det er dog sjældent, at det er brugernavne og kodeord relateret direkte til virksomheden. I stedet er der tale om læk, hvor en ansat eller leder har brugt sin professionelle e-mail adresse til at registrere sig på en hjemmeside.

Det er desværre samtidig meget normalt, at genbruge kodeord på tværs af flere systemer, netværk og services. Dette betyder ofte, at de kriminelle kan få adgang til en e-mail adresse med tilhørende kodeord, der kan bruges til enten at få adgang til virksomheden som sådan – eller til at logge på Twitter eller LinkedIn og udgive sig for at være virksomheden, en ansat eller en leder.

Afrunding

Truslen fra cyberkriminelle enkeltpersoner og grupper er kommet for at blive. Det er samtidig meget sandsynligt, at den også fremadrettet vil være lav fra enkeltpersoner og middel fra organiserede grupperinger.

Det er dog i høj grad værd at bemærke, den relativt store succes som disse typer af cyberkriminelle har – deres relativt lavere ressourceniveau taget i betragtning. Omkostningerne alene ved BEC scams alene er således så store, at også danske virksomheder nødt til at tage dem alvorligt.

Samtidig kan omkostningerne ved læk af kodeord og brugernavne vise sig uoverskuelige. Disse oplysninger deles og sælges på det sorte marked, både til andre kriminelle og til statsstøttede hackere.

Heldigvis kan en stor del af truslerne fra disse typer af cyberkriminelle kan stoppes tidligt og effektivt, såfremt de rette kontroller er på plads.

I vores næste blogpost vil beskrive truslen fra de professionelle cyberkriminelle – dem der virkelig går efter guldet.

Kilder

(1) Detica and Office of Cyber Security and Information Assurance in the Cabinet Office - The Cost of Cyber Crime

(2) Wired - Nigerian Email Scammers Are More Effective Than Ever

(3) CrowdStrike - CSIR - 18004 - Nigerian Confraternities Emerge As Business Email Compromise Threat

(4) Center for Cybersikkerhed - Cybertruslen mod Danmark

(5) TrendMicro - Tracking Trend in Business Email Compromise (BEC) Schemes

(6) Bloomberg Businessweek - The Mob's IT Department

Billeder

(i) The Telegraph - Traffickers using hackers to import drugs into major Europe ports

(ii) SecurityWeek - Drug Traffickers Hacked Shipping Systems to Track Large Drug Shipments