Myndigheder og virksomheder gik i phishing-fælden under CFCS-øvelse

OPDATERET: 30 myndigheder og virksomheder har deltaget i en frivillig phishing-øvelse under en national kriseøvelse. Omkring en fjerdedel af dem hoppede i med begge ben.

OPDATERET den 24. september 2019.

Hvis cyberkriminelle finder på at udnytte nationale ulykker til at angribe kritisk it-infrastruktur i Danmark, er der stor risiko for, at de vil have succes med at narre både myndigheder og virksomheder.

Det står klart, efter at flere myndigheder og virksomheder hoppede på limpinden under en frivillig øvelse med simulerede phishing-angreb, som Center for Cybersikkerhed udførte i forbindelse med en national krisestyringsøvelse tidligere i september.

Øvelsen bestod i, at omkring 30 myndigheder og virksomheder fik tilsendt mails med fingeret malware i form af et link til en øvelseshjemmeside, imens den nationale krisestyringsøvelse var i gang.

Hvis modtagerne klikkede på linket, blev de ført til en hjemmeside, som fortalte, at de var blevet udsat for et vellykket phishing-angreb. Og det var der flere, som gjorde.

»Omkring en fjerdedel af modtagerne klikkede på linket og fik vist hjemmesiden, hvilket peger på vigtigheden af, at myndigheder og virksomheder har fokus på at forstå truslen fra phishing-mails og tage tekniske og organisatoriske skridt til at modgå denne angrebsform,« skriver fra Center for Cybersikkerhed, i en pressemeddelelse.

Simpelt konstruerede fup-mails

Cyber-øvelsen fandt sted i forbindelse med den nationale krisestyringsøvelse ved navn KRISØV. Det er en national krisestyringsøvelse, som skal teste, hvordan centrale virksomheder og myndigheder i Danmark bedst muligt formår at holde samfundsvigtige funktioner i gang i nødsituationer.

Dette års KRISØV fandt sted den 12. september, hvor en simuleret kemisk togulykke i nærheden af Fredericia var anledning til en øvelse af det nationale beredskab.

»Frivillige deltagende myndigheder og virksomheder i KRISØV modtog simpelt konstruerede phishing-mails, der lignede officielle henvendelser med information om den kemiske ulykke,« skriver Center for Cybersikkerhed.

Svindel-forsøget udnyttede ingen tekniske sårbarheder og havde ikke til formål at teste deltagernes tekniske modstandskraft mod phishing-mails, oplyser CFCS.

At omkring en fjerdedel af de 30 virksomheder og myndigheder klikkede på phishing-mailen, vidner om, at deltagerne har stået i en krisesituation, konkluderer Center for Cybersikkerhed.

»Den høje succesrate ved phishing-forsøget understreger – og er formentligt et resultat af – at en krisesituation, hvor presset er højt, og ønsket om information er stort, er et særligt udsat tidspunkt for at blive offer for et vellykket angreb.«

OPDATERET den 24. september 2019. Først fremgik det, at »omkring halvdelen« af deltagerne i øvelsen havde klikket på phishing-linket. Men CFCS har efterfølgende fundet fejl i deres undersøgelse og justeret testkonklusionerne. Det rigtige resultat er, at »omkring en fjerdedel« klikkede på linket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Iversen

Spørgsmålet er om det er et problem at en medarbejder åbner en hjemmeside som kan have ondsindet kode (hvis de ellers ikke downloader og eksekverer filer) ?

Hvad er jeres vurdering? Så længe man bruger en opdateret browser og ikke har installeret plug-ins?

Man kan sige meget ondt om Google, men de bruger mange ressource på IT sikkerhed (vel nok dem der bruger mest) og det er mit indtryk at Chrome nok er den sikreste browser i dag. At Google så måske selv har lidt for lange fingre, er en anden sag, men hellere dét end cybercrimineller fra Nordkorea, Rusland eller Kina!
Jeg frygter ikke Google vil kryptere eller slette vores data.

  • 3
  • 3
Hans Nielsen

Per Klik ?

Og går pengene fra Taixa og Julefrokosten, eller kommer det fra den extra miilliard som skulle bruges, så en praktikan kunne få en vagttelefon med hjem i Weekender. Så man kunne fremvise et 24/7 beredskab.

Og viser det stadig ikke hvor tåbeligt stat og myndigheder tager sikkerhed.

Hvis man har kritisk infrakstruktur, så skal man vel fra den, ikke kunne klikke på et link som køre et program lokal ?

Hvis man har dårligt med software notorisk kendte sikkerhedshuller som Windows, hvor et extern link kan lægge hele virksomheder ned.

SÅ bør man vel enten ikke give et så usikkert OS adgang til nettet. Selv med et mere sikkert OS, som Linux med en Browser som ikke tilader exikvering. Så vil jeg ikke tilade en sådan adgang til verden uden for. Hvis jeg have noget jeg ville passe på.

Et andet net og PC, og evt. en terminal server til mail og Internet, vil være det første billigste og nemmeste form for sikkerhed jeg vil gribbe til.

At tror på at man kan opdrage mennesker, eller at der ikke findes en orm, som kan lægge alt ned, bare man sniffer til nettet. Så har man den forkerte adgang til sikkerhed.

Jeg kan sikkert ikke få et sikkerhedsjob i staten. Jeg vil være alt for dyr, og besværligt for ledelsen. Når jeg vil konstatere, og reportere videre. At deres sikkerheds gøjl ikke virker, selv om de har fået god presse og deres bonuser.

Det kan være dyrt at have en sølvpapairshat på, og selv om har det, så bliver man stadigt overraskert, fordi man ikke har fantasi nok.

  • 3
  • 4
Maciej Szeliga

Spørgsmålet er om det er et problem at en medarbejder åbner en hjemmeside som kan have ondsindet kode (hvis de ellers ikke downloader og eksekverer filer) ?

Hvad er jeres vurdering? Så længe man bruger en opdateret browser og ikke har installeret plug-ins?


Det er et stort problem for du får ingen moderne browsere til at fungere uden JavaScript nu om dage.
Man kan og har brugt forsk. metoder til at overføre ondsindet kode bag ryggen på folk helt uden browseren opdager at der er noget galt og helt uden PlugIns.

  • 6
  • 1
Cristian Ambæk

Spørgsmålet er om det er et problem at en medarbejder åbner en hjemmeside som kan have ondsindet kode (hvis de ellers ikke downloader og eksekverer filer) ?

Problemet er ikke kun hjemmesider, problemet er at hvis du modtaget et link i din mailboks som du ikke kender, så kan linket alene ved aktivering eksekvere kode på din maskine.

Du kan f.eks. Åbne en .zip fil some indeholder filer helt som du forventer, samtidig med at zip filen eksekvere kode imens du pakker den ud uden du ser det.

  • 2
  • 1
Henning Wangerin

Du kan f.eks. Åbne en .zip fil some indeholder filer helt som du forventer, samtidig med at zip filen eksekvere kode imens du pakker den ud uden du ser det.

Hvilket jo er grund til at skrotte programmer som opfører sig på den måde.

Jo. Det er dejligt let blot at sige til operativsystemet: Start filen "her-er-en-million-til-dig.zip", ud eller at bekymre sig om hvad det er.

Men sikkert? Det er det ikke.

Som alle andre steder er der behov for en god portion kilde-kritik ( både foretaget af brugeren og programmer helt generelt).

/Henning

  • 6
  • 0
Andrew Rump

Alle mails bør være signerede, så man er sikker på hvem afsenderen er. Alt andet er amatøragtigt - det er faktisk ret beskæmmende at det ikke er dagligdag for almindelige brugere i dagens verden. Vi stoler stadig på at de mails vi modtager, er fra dem, som det står af From-feltet.

  • 0
  • 2
Maciej Szeliga

Hvis øvelsen viser at deltagerne i kriseøvelsen klikker på phising links, så er løsningen nok ikke at opdrage dem til at lade være.

Løsningen er nærmere sikre alle PC'ere er sikrede mod at malware o.lign kan komme ind den vej.


Det er det "man" gør nu... systemet består af:
* firewall (også mellem forsk. segmenter af LAN)
* IPS/IDS
* https inspection - for at forhindre at man kan "luske" ting igennem en https forbindelse
* anti malware

  • 2
  • 0
Morten Kristiansen

Det får mig til at tænke på en tildragelse tidligere på måneden i den virksomhed jeg er snart i. Vi er tilmeldt er lignende program hvor vi fra tid til anden bliver udsat for phishing forsøg.

I starten af måneden modtog en ekstern sendt e-mail med ordlyden: "Dette er ikke en phishing mail...... Du skal deltage i obligatorisk træning i IT sikkerhed.... klik her...."

Hele engineering markerede den som phishing. Det viste sig senere at e-mailen var autentisk. Jeg tror ikke det er engineering der har behov for træning i sikkerhed...

  • 3
  • 0
Hans Nielsen

Det viste sig senere at e-mailen var autentisk. Jeg tror ikke det er engineering der har behov for træning i sikkerhed...


Ja, og det viser hvorfor at CFCS, og alt det her er totalt ligegyldigt, og intet har med sikkerhed at gøre.

En normalt bruger, skal ligegyldigt havd han gør, ikke kunde ødelægge et system.

Første punkt. Hvorfor bruger man mail, til sådan ting ?

Man skal slet ikke acepteret noget der kommer fra nettet. Højst via hardware vpn tunel med fast IP, fra et sted man har lidt tilid til.

Men VPN tunnerl skal normal heller ikke bruges, da de er oplagte "smitegiver" hvis vi taler om orm.


Med lidt mere dygtighed og fantasi, end CFCS åbenbart har.

Selv hvis hvis man brugte sikkert mail, og modtager kun acepteret sikkert mail fra kendete steder.

Så i en varm situtation, betalt en medarbejder eller hack ham ved CFCS, og få ham til at sende en mail.

"VIGTIGT Brug følgende patch mod orm, som angriber nu."


Hvis man stoller på at et mennesker ikke laver fejl, eller man kan uddanne eller laver regler som vil beskytte systemer. Så tager man fejl, kun ved at lave OS, og infraksturktur sikkert. Øger man sikkerheden. Og sikkerheden består ikke kun af et lag.


Men det sker ikke. En af grundene er at CFCS, så stor set vil være arbejdsløs.

Man at tror at de hver øvelser giver rigtigt sikkerhed !

Hvis man skulle øve noget, så var det at slette alt data, og se hvor hurtigt man var oppe at gøre igen, hvis firmware, bios og andet også var angrebet. Mulighed for hurtigt og helt Backup og Recovery, er det eneste som nok vil garantere mod det meste.

  • 0
  • 2
Maciej Szeliga

Man at tror at de hver øvelser giver rigtigt sikkerhed !


Øvelser hjælper faktisk, problemet er bare at de skal være så'n ca. 1 gang i kvartalet eller hvert halve år for at holde folk på dupperne.
...og det er der ikke mange arbejdsgivere som vil syntes at er sjovt.

Det er sådan man øver sikkerhed i andre sammenhænge: luftfart, skibsfart etc. (f.eks. evakuering af fartøj eller brand).

btw. i flyverdenen har man (haft) så'n sjov talemåde: "Hvis du tror sikkerhed er dyr så skulle du prøve en ulykke".

  • 4
  • 0
Hans Nielsen

jamen så er det jo dejligt af det kun er sådan cirka alle kontoansatte der bruger windows, tænk hvis det skete på et system mange brugte :O

Kender ikke så meget til det offenlige, men for mange privat ansatte er OS total ligegydldigt, da alt arbejde foregår i en browser-.

Så mange steder kunne man nok få fjernet denne store, dyre kilde til usikker, og flytte evt de sidste helt Windows relateret over på en terminal server.

Livet er bare så meget nemmere med Linux, og langt simplere.

Og selv spil er kommet meget langt.

https://www.youtube.com/watch?v=Co6FePZoNgE

  • 1
  • 1
Morten Kristiansen

Ja, og det viser hvorfor at CFCS, og alt det her er totalt ligegyldigt, og intet har med sikkerhed at gøre.

En normalt bruger, skal ligegyldigt havd han gør, ikke kunde ødelægge et system.

Det er jeg simpelthen ikke enig med dig i.

  1. Et rootkit kan installeres selv om jeg ikke har mulighed for at ødelægge mit system. Det kan f.eks. bruges til at anonymisere illegal trafik, mining af kryptovaluta
  2. De fortrolige informationer som brugeren har adgang til kan sendes til internettet.
  3. Det kan bruges som brohoved mod andre systemer på virksomhedens netværk.
  4. Et rootkit kan senere bruges til eskalering af rettigheder ifb. zero-day sårbarheder.

Endelig så er det således at f.eks. jeg skal have admin/root adgang til de systemer jeg arbejder på grundet de ting jeg arbejder med. Det er f.eks. nødvendigt ifb. mod opdatering af udviklingsværktøjer, installation af drivere m.v. Det gælder OGSÅ for de Linux maskiner jeg benytter.

Jeg vil gerne tilføje at jeg er faktisk meget tilfreds med at vi udsættes for venlig phishing hvor jeg arbejder. Du kan holde endeløse taler om hvad du ikke må klikke på; men der findes typer der ikke tager det alvorligt med mindre de bliver tested og den ultimative konsekvens er en fyreseddel.

Det ironiske her var at IT afdelingen af besynderlige årsage mente at det er tilstrækkeligt at skrive "Dette er ikke en phishing mail" og så tro vi vil tage det for gode vare.

  • 0
  • 0
Morten Kristiansen

Ahem, det er vist et Windows-only problem

Nej. Der kunne også være en sårbarhed i Firefox eller hvad du nu benytter på Linux platformen. Hvis din browser bruger tilføjelsesprogrammer til at afvikle indhold kunne der også være en sårbarhed i dem.

Det er ikke sikkert du får root adgang i første omgang; men der kommer fra til til anden sårbarheder ud der kan bruges til eskalering af rettigheder.

Jeg kan ikke se en saglig grund til at det skulle være sikkert at klikke på arbitrære links under Linux.

  • 1
  • 0
Hans Nielsen

Nej. Der kunne også være en sårbarhed i Firefox eller hvad du nu benytter på Linux platformen. Hvis din browser bruger tilføjelsesprogrammer til at afvikle indhold kunne der også være en sårbarhed i dem.


Kender du noget til Linux ?

En sårbarhed vil jo typisk ikke bryde sikkerheden mellem bruger.

Så måske du som enkelt bruger kan få problemmer, men OS vil ikke blive angrebet.

Igen forskellen mellem Linux og Windows, hvis vi taler sikkerhed, er som forskellen mellem en hestevogn og et fly.

https://www.youtube.com/watch?v=QSykL1I-WIc


"Hvis din browser bruger tilføjelsesprogrammer til at afvikle indhold kunne der også være en sårbarhed i dem."

Igen din bruger rettigheder vil stoppe yderligere angreb. Har du ET tilfælde hvor det har været et problem i Linux, inden for de sidste par år. Vi snakker jo næsten om dagelige problemmer med Windows


Jeg kan ikke se en saglig grund til at det skulle være sikkert at klikke på arbitrære links under Linux.

Hvad med bare en helt enkelt og simple ting, som at Internet Explorer ikke findes til Linux ?

https://www.version2.dk/artikel/angribere-har-udnyttet-kritisk-zeroday-h...

  • 0
  • 1
Kjeld Flarup Christensen

En normalt bruger, skal ligegyldigt havd han gør, ikke kunde ødelægge et system.

En sårbarhed vil jo typisk ikke bryde sikkerheden mellem bruger.

Det er blot ikke særligt relevant. Der er ikke den store pointe i at blive root på en bruger PC. Det giver ikke adgang til flere oplysninger end brugeren havde i forvejen.
Og rettigheder som f.eks. at slette eller kryptere fællesdrevet.

Der kan måske være et enkelt værktøj som kun kører som root, men de videre angreb på lokalnettet kan sagtens køre som en almindelig user.

  • 1
  • 0
Hans Nielsen

Der kan måske være et enkelt værktøj som kun kører som root, men de videre angreb på lokalnettet kan sagtens køre som en almindelig user.

Det er hul i spanden, kære ...

"Mulighed for hurtigt og helt Backup og Recovery, er det eneste som nok vil garantere mod det meste."

"Og rettigheder som f.eks. at slette eller kryptere fællesdrevet."

Som du vel ikke har som normal bruger i et Unix/Linux milijø, eller hvor du har mulighed for recovery.

Selv Microsoft har i dag et fornuftigt svar på det.

Men hvem bruger noget NAS agtigt i dag, uden mulighed for recovery på 1 time eller 2, hvis har noget som er bare meget lidt vigtigt ?

"Fæles driv" høre da det ikke dette årtusinde til, bare tænk på kravene i GDPR og til privcy nu om dage ?

Hvor køre man med fæles driv, som ikke er beskytte på det ene eller andet måde, hvor man ikke har fyret administratoren ?

Så nej videre angreb på lokalnettet burde ikke være muligt som normal bruger, eller for nogle bruger i det hele taget ?

Bare tink versionskontrol, som meget enkelt som med dropboks. Eller mulighed for at rulle ædnringer tilbage, eller bruger gendannelse punkter.

Hvis et krypteret fælesdrev er et (stort) problem, eller en mulighed i dag. Så er man ikke opgaven voksen som administrator. For det kan ske for alle, ligegyldigt hvem.

Der er hul i spanden, kære

  • 0
  • 1
Morten Kristiansen

Kender du noget til Linux ?

Jeg har 34 års programmeringserfaring. Min første Linux var en slackware med 2.0.28 kerne så vidt jeg husker. Jeg har administreret flere web og mail servere. Jeg har lavet kerne modul drivere, såsom en quad seriel port, custom ethernet driver, et par high speed custom PCI core drivers, udvidelse til firewall. Jeg har lavet kernel modules til både 32 bit Intel, amd64, Nios2, Coldfire og PowerPC. Jeg arbejder pt. i et team med fire embedded udviklerer der er ved at implementere en hardwarenær realtidsapplikation under Linux på en dual core Cortex-A8. Vores workstations kører Ubuntu. Jo, jeg kender lidt til Linux.

Prøv at læst hvad det var jeg skrev. Jeg tror ikke der findes en eneste computer på min arbejdsplads der ikke indeholder information vi helst ikke vil have ud. F.eks den sourcekode jeg nødvendigvis må have på min computer. Om du eskalerer til root eller forurene andre brugere er fuldstændig irrelevant. Der er kun en bruger på min workstation.

At firefox eller andet er mere sikker end IE er ikke tilstrækkelig sikkerhed. Sikker må og skal bestå af flere lag. Installer dine opdateringer. Antivirus. Scanning af indkomne mails. Begræns adgang til kun det du har brug for. Backup. Menneskelig adfærd såsom at lade være med at klikke på alt mulig lort. Og det gælder også under Linux.

  • 1
  • 0
Christian Nobel

At firefox eller andet er mere sikker end IE er ikke tilstrækkelig sikkerhed. Sikker må og skal bestå af flere lag. Installer dine opdateringer. Antivirus. Scanning af indkomne mails. Begræns adgang til kun det du har brug for. Backup. Menneskelig adfærd såsom at lade være med at klikke på alt mulig lort. Og det gælder også under Linux.

Som så er jeg ikke helt uenig i dine betragtninger, men dog på et punkt, nemlig det såkaldte antivirus.

Jeg ser ingen grund til at sløve en Linux computer (og i øvrigt faktisk skabe en potentielt farlig angrebsvektor) ned med et antivirus program.

Men ellers skal man selvfølgelig også have hovedet med i *nix (det skulle så ikke være med fed, men dette kummerlige forum bruger asterix til formattering) verdenen, og under alle omstændigheder ikke følge mærkelige links - om ikke andet fordi man forærer sin IP adresse væk, og så kan risikere at der efterfølgende står en portscanner og banker på døren.

Og hvis man benytter Flash, så er der jo potentiel åbnet en ladeport af usikkerhed, herunder adgang til ens homedirectory - det kan så ikke sammenlignes med en virus, men et slettet homedirectory kan være trist nok.

  • 0
  • 0
Sune Marcher

Kender du noget til Linux ?

En sårbarhed vil jo typisk ikke bryde sikkerheden mellem bruger.

Så måske du som enkelt bruger kan få problemmer, men OS vil ikke blive angrebet.


Som Morten Kristiansen også nævner, er det egentligt ret ligegyldigt om du får root eller ej - jow jow, det er nemmere at skjule sig og have længerevarende persistens hvis du får root, men både til hærværk og industrispionage behøver du det egentligt ikke.

Og det lader til du har lidt mindre styr på hvordan sikkerhed virker end du tror, Hans. Der er lagt en kæmpe mængde arbejde i Browser-sikkerhed (ja, selv i Edge) de sidste mange år, men jeg vil gerne vædde på at den sidste remote code execution bug og den sidste sandbox escape bug endnu ikke er fundet i hverken Chrome eller Firefox.

Og for root-fetischisterne vil jeg vil også godt vædde på den sidste privilege escalation bug ikke er fundet i Linux kernen (eller de fleste andre OS-kerner, for den sags skyld!) endnu. Både Windows og Linux har haft flere local privilege escalation bugs der har været 10-15 år gamle.

Det er svært at skrive software, og det er meget svært at skrive sikker software, specielt i C/C++. Også selvom folk er blevet dygtigere, compilerne har tilføjet en masse hardening, og de statiske kodeanalysværktøjer har fået tilføjet regler.

  • 1
  • 0
Kim Garsdal Nielsen

Kender ikke så meget til det offenlige, men for mange privat ansatte er OS total ligegydldigt, da alt arbejde foregår i en browser.

Hvaffen del af det private erhvervsliv er du lige i? Detailhandlen? Vi andre kontoransatte bruger da alle mulige sårbare (Windows) programmer i samme omfang som det offentlige.

Bortset fra det er er artiklens præmis forkert. Phising handler ikke om at få folk til at klikke på et potentielt farligt link. Phishing handler om a phiske (fiske ikke piske) oplysninger ud af folk med passende social engineering.

  • 0
  • 0
Morten Kristiansen

Bortset fra det er er artiklens præmis forkert. Phising handler ikke om at få folk til at klikke på et potentielt farligt link. Phishing handler om a phiske (fiske ikke piske) oplysninger ud af folk med passende social engineering

Hvis du går efter enkeltpersoner eller en mindre gruppe vil jeg kalde det spear-phishing.

Formålet vil nok variere afhængig af typen. Ved phishing vil det nok primært være at bruge din computer spam, afpresning for penge, anonymisere trafik, bot-net osv. Ved spear-phishing er det virksomheden/myndigheden og dens data de går specifikt efter.

Sidstnævnte er nok det værste; men begge typer er decideret uønsket alene af den årsag de udløser store mængder arbejde når det endelig bliver opdaget.

  • 0
  • 0
Jan Heisterberg

Og det er da meget underholdende, og måske oplysende.

Imidlertid er der ingen debat-indlæg som tager fat om problemets egentlige rod: nemlig at der - ganske vist som øvelse - er tale om en krisesituation med øget stress og multi-påvirkning.
Når mennesker bringes i den situation vil der opstå fejl, og de tekniske løsninger skal derfor sigte på at udelukke flest mulige påvirkninger som kan øge stress-niveauet.

I en analog militær operation, med taktisk-operationel ledelse og kontrol kan eksterne påvirkninger lukkes ude - kun de officielle kommunikationer når frem tilmoperationsrummet.

I den civile tilsvarende operation (krise, katastrofe) kan man ikke på helt samme måde kappe enhver forbindelse - fordi der er mange andre aktører (læs civile borgere). Derfor er det ikke let at udelukke andre påvirkninger fra uforudsete kilder - og de kommer som e-mails eller SMSer og opringninger.
Jeg skal ikke kloge mig på hvordan der kan etableres filtre og hvordan der kan etableres troværdig autorisationskoder - men det helt banale spørgsmål bliver:
HVORDAN kan “myndighederne” erklære KRISE, OG få alle de egentlige myndigheder og deres personel til at identificere sig tydeligt og klart i enhver sammenhæng OG få enhver modtager til - uanset stress-niveauet - at validere enhver henvendelse gennem den valgte identifikation ?

Læsere af spion- og krigsbøger vil straks tænke på lukkede kuverter og løsen-ord - hvilket ikke er så dumt endda. Det mest komplicerede, udover den menneskelige stress-faktor, bliver logistikken omkring udsendelse og fordeling.

Det her handler ikke bare om teknik, selvom tekniske løsninger kan hjælpe meget. Det handler om menneskelig stress-adfærd.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize