Sosiale nettverk som Facebook er blitt enormt populære i senere år. Uten tvil gir de mye verdi til brukerne, i form av å forenkle kontakten med venner og kjente, men de utgjør også en stor sikkerhetstrussel for en bedrift.

NA24 – din næringslivsavis

For å illustrere dette avtalte Steve Stasiukonis, direktør og gründer av nettsikkerhetsselskapet Secure Network Technologies, med sine klienter at han skulle teste hvor lett han kunne klare å stjele bedriftsinterne passord og brukernavn ved hjelp av blant annet Facebook.

– Skremmende
– Resultatene fra testene har vært utrolig vellykkede – og, på samme tid, skremmende, skriver Stasiukonis i sin blogg «Hacked off» på nettstedet Dark Reading.

Utrolig nok falt om lag halvparten av alle de som ble testet for sikkerhetssjefens relativt enkle knep.

Stasiukonis innledet det såkalte «phishingangrepet», en samlebetegnelse på kriminelle forsøk på å svindle til seg passord, kredittkortopplysninger og så videre ved å opprette en falsk profil på Facebook.

Denne brukte han så til å samle informasjon om alle som identifiserte seg for å tilhøre de relevante selskapene, for eksempel ved at de var medlem av en åpen gruppe tilhørende det relevante selskapet. Han samlet så navn og e-postadresser for de han fant, og i de tilfellene han ikke fikk tilgang til den bedriftsinterne e-postadressen brukte han internett for å finne ut hvilken navnekonvensjon hver bedrift bruker i denne sammenheng.

Etter å ha samlet en database med e-postadresser, opprettet Stasiukonis nettdomener med navn som ligner selskapene han ville prøve å infiltrere, men med et påheng som hadde betydning for alle ansatte. For eksempel www.selskapsnavn-pensjon.no, eller noe lignende. Denne siden blir laget for å ligne på selskapets originale nettsider, men for å gi de ansatte en fair sjanse ble den også fylt med feilstavede ord og uvanlige variasjoner av selskapslogoen, slik at det skulle gå an å forstå at siden var falsk.

Ba om passord
Etter dette ble de ansatte sendt en e-post der de ble fortalt at selskapet hadde lansert en ny side som de måtte logge inn på med sitt vanlige brukernavn og passord. E-posten ble tilsynelatende sendt fra et medlem av HR-staben, men igjen ble det gjort klare hint om at dette egentlig var falskt ved at e-posten ble sendt fra en vanlig hotmailkonto, og hadde mye feilstaving.

Resultatet av testen ble altså at mellom 45 og 50 prosent av de ansatte i de forskjellige selskapene gikk i fellen. Det er usikkert hvor mange bedrifter som faktisk blir gjenstand for denne typen angrep hvert år, men det er liten tvil om at de utgjør en stor sikkerhetsrisiko, særlig i større bedrifter der ikke alle de ansatte kjenner hverandre.

Tre tips
Stasiukonis har tre tips for bedrifter som vil prøve å beskytte seg mot denne typen angrep:

1) Lage en offisiell gruppe for bedriften på relevante sosiale nettverk, med en administrator, for å hindre at uvedkommende kan bruke denne typen grupper for å hente informasjon.

2) Utarbeide bedriftsinterne retningslinjer for bruk av sosiale nettverk, der det blant annet gjøres ulovlig å publisere jobbmailen på slike nettverk.

3) Vurdere å sette opp et eget intranett i bedriften for å gi de ansatte en sikker plattform for å kommunisere over nettet.