Den kanske största dataintrångshärvan i svensk historia håller just nu på att nystas upp i rätten. Ports Group ger här några rekommendationer för hur man undviker liknande e-postbedrägerier, och hur man undviker att vara källan för bedrägerier gentemot andra.

Igår blev åtta personer åtalade för tusentals fall av dataintrång på företag, finansinstitut, myndigheter och ett politiskt parti där de använt sig av förfalskad e-post. Det totala uppskattade värdet är över 40 miljoner kronor. Tillvägagångssättet liknar det som drabbade tyska industriföretaget Leoni AG, som resulterade i att 40 miljoner Euro blev transfererat ut från företaget.

Under en intervju nyligen blev en säkerhetsexpert tillfrågad om man ens ”kan försvara sig mot denna typ av dataintrång”. Svaret blev att det är ”i princip omöjligt”.

Den här typen bedrägerier innebär att en individ förfalskar en e-postadress för att utge sig för att vara någon annan i syfte att komma över pengar, känslig information och/eller sprida skadlig kod. Det finns två huvudsakliga strategier för spridning av förfalskad e-post:

• Phishing
  Phishing är en bred term för bedrägligt beteende där ett e-postmeddelande är utformat för att se ut som det exempelvis kommer från en leverantör, med uppmaningen att uppdatera ditt kreditkortsnummer. Detta går vanligen ut till en stor mängd mottagare utan särskild anpassning.
• Spear-phishing
  Spear-phising är ett mer sofistikerat försök att utge sig för att vara någon annan, exempelvis din kollega eller chef, med uppmaningar att avslöja känslig information, sätta över pengar mm. Denna typ av bedrägeri kräver en djup förståelse för organisationsstrukturen och dess interna roller hos den organisation man vill attackera.

Hur gör de för att få ett email att se ut som det är skickat av någon annan? Det finns även här två huvudsakliga metoder:

Typosquatting/Cybersquatting
Detta innebär att man använder ett domännamn som är förväxlingsbart med det som används av den organisation man vill utge sig för att vara. Man kan antingen registrera en felstavning (typo) eller det korrekta företagsnamnet/varumärket på en ledig toppdomän (Cybersquatting) och hoppas mottagaren inte tittar för nära på e-postadressen.

Spoofing
Den ännu mer djävulska av de två metoderna kallas “Spoofing”. På grund av att standardprotokollen i e-post i grunden saknar autentiseringsmekanismer är det möjligt att skicka ett e-postmeddelande till en mottagare och få det att se ut exakt som det kommer från den person man vill utge sig för att vara.

 

Vad kan man då göra för att undvika detta? Det är anmärkningsvärt att medan företags IT-investeringar bara ökar görs väldigt lite för att säkra upp den största vektorn för cyberkriminalitet – e-post. Men det finns undantag. I Storbritannien har det gjorts obligatoriskt för statliga myndigheter att implementera många av åtgärderna nedan.

Hur man undviker VD-bedrägerier och förfalskad e-post:

1. Gör organisatoriska insatser, såsom utbildning och framtagning av mer ingående rutiner, för att minimera risken att någon skulle lyckas med bedrägeri mot er.
2. Att faktiskt inse att detta är ett SKICKANDE problem. Det kan inte sägas tillräckligt många gånger att man inte löser skickande problem med spamfilter, då spamfilter löser mottagande problem.
3. Övervaka er utgående trafik för att identifiera era faktiska användare (inklusive de potentiella obehöriga användarna).
4. En första validering av era skickande mailservrar för att minimera risken för obehöriga användare.
5. En andra validering med användande av både en publik och en privat nyckel.
6. En heltäckande domännamnsbevakning för att identifiera potentiella ”cybersquattade” och/eller ”typosquattade” domännamn som kan användas av någon som vill utge sig för att vara er. Utför både juridiska och tekniska åtgärder samtidigt.