OPDATERET den 24. september 2019.
Hvis cyberkriminelle finder på at udnytte nationale ulykker til at angribe kritisk it-infrastruktur i Danmark, er der stor risiko for, at de vil have succes med at narre både myndigheder og virksomheder.
Det står klart, efter at flere myndigheder og virksomheder hoppede på limpinden under en frivillig øvelse med simulerede phishing-angreb, som Center for Cybersikkerhed udførte i forbindelse med en national krisestyringsøvelse tidligere i september.
Øvelsen bestod i, at omkring 30 myndigheder og virksomheder fik tilsendt mails med fingeret malware i form af et link til en øvelseshjemmeside, imens den nationale krisestyringsøvelse var i gang.
Hvis modtagerne klikkede på linket, blev de ført til en hjemmeside, som fortalte, at de var blevet udsat for et vellykket phishing-angreb. Og det var der flere, som gjorde.
»Omkring en fjerdedel af modtagerne klikkede på linket og fik vist hjemmesiden, hvilket peger på vigtigheden af, at myndigheder og virksomheder har fokus på at forstå truslen fra phishing-mails og tage tekniske og organisatoriske skridt til at modgå denne angrebsform,« skriver fra Center for Cybersikkerhed, i en pressemeddelelse.
Simpelt konstruerede fup-mails
Cyber-øvelsen fandt sted i forbindelse med den nationale krisestyringsøvelse ved navn KRISØV. Det er en national krisestyringsøvelse, som skal teste, hvordan centrale virksomheder og myndigheder i Danmark bedst muligt formår at holde samfundsvigtige funktioner i gang i nødsituationer.
Dette års KRISØV fandt sted den 12. september, hvor en simuleret kemisk togulykke i nærheden af Fredericia var anledning til en øvelse af det nationale beredskab.
»Frivillige deltagende myndigheder og virksomheder i KRISØV modtog simpelt konstruerede phishing-mails, der lignede officielle henvendelser med information om den kemiske ulykke,« skriver Center for Cybersikkerhed.
Svindel-forsøget udnyttede ingen tekniske sårbarheder og havde ikke til formål at teste deltagernes tekniske modstandskraft mod phishing-mails, oplyser CFCS.
At omkring en fjerdedel af de 30 virksomheder og myndigheder klikkede på phishing-mailen, vidner om, at deltagerne har stået i en krisesituation, konkluderer Center for Cybersikkerhed.
»Den høje succesrate ved phishing-forsøget understreger – og er formentligt et resultat af – at en krisesituation, hvor presset er højt, og ønsket om information er stort, er et særligt udsat tidspunkt for at blive offer for et vellykket angreb.«
OPDATERET den 24. september 2019. Først fremgik det, at »omkring halvdelen« af deltagerne i øvelsen havde klikket på phishing-linket. Men CFCS har efterfølgende fundet fejl i deres undersøgelse og justeret testkonklusionerne. Det rigtige resultat er, at »omkring en fjerdedel« klikkede på linket.
