Microsoft: It-kriminelle indsamler tonsvis af data fra skoler og børnehaver

Illustration: Virrage Images/Bigstock
Organiserede kriminelle skovler data ind fra blandt andet sundhedssektoren og undervisningssektoren for at kunne målrette hackerangreb, oplyser Microsoft.

Som et andet marketingsnetværk skovler it-kriminelle data til sig, der kan bruges til personprofilering og målrettede angreb. Det foregår blandt andet ved at bryde ind i it-systemer i uddannelsessektoren, helt ned på børnehaveniveau.

»Nu begynder vi at se de slemme fyre gøre noget sejt - frygteligt, men sejt.«

Det sagde Richard Domingues Boscovich fra Microsofts Digital Crime Unit under sit indlæg på it-sikkerhedskonferencen Copenhagen Cybercrime Conference, der finder sted i Industriens Hus i København i dag.

»Vi begynder at se dem gå efter skoleoplysninger. Ikke på et universitetsniveau, men på børnehaveniveau og gymnasieniveau i USA,« fortsatte Boscovich.

Læs også: Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

I den forbindelse afviste han, at det skulle være eksempelvis elever eller forældre, der stod hackerangrebene i uddannelsessektoren, som han brugte som reference. Boscovich forklarede, at angrebene var for omfangsrige i forhold til indsamlede mængder data og for sofistikerede til, at det bare skulle være eksempelvis en utilfreds elev, der ville rette sin karakter eller sabotere et eller andet, lød forklaringen fra Boscovitch.

Han fortalte, at it-kriminelle i stigende grad indsamler data i stor stil fra blandt andet uddannelsessektoren, sundhedssektoren og detailsektoren, hvor diverse oplysninger om os bliver høstet i stor stil.

»De skaffer sig tonsvis af data, de udtrækker masser af informationer på daglig basis,« sagde han.

Og i den forbindelse kunne Boscovich også fortælle, at det firma, Microsoft har som leverandør af sundhedspleje, også var blevet hacket.

»Hvorfor ønsker de at vide, hvad min livvidde er? Hvorfor ønsker de at vide, hvad mit kolesteroltal er?,« lød spørgsmålene fra Boscovitch.

Kriminel big data-analyse

Det er ikke nogen hemmelighed, at marketingfirmaer via blandt andet cookies indsamler uanede mængder af informationer for at kortlægge forbrugernes gøren og laden for i sidste ende bedre at kunne målrette markedsføring mod den enkelte.

Og sådan er de kriminelle også begyndt at tænke, fortalte Boscovitch.

»De gør det samme. Det er big data-analyse. De gør det samme, som legitime forretninger gør, med det formål at målrette.«

Det er dog som sådan ikke reklamer for grilludstyr, de kriminelle håber at kunne ramme plet med. Det er derimod spearphishing-angreb. Altså målrettede hackerangreb.

Et simpelt eksempel i den sammenhæng er direktøren for en stor virksomhed, hvis åbne kalender måske ligger på virksomhedens hjemmeside, hvor det fremgår, at på fredag skal vedkommende ud at spille golf. Mandagen efter modtager direktøren en mail, hvor der står: 'Tak for snakken på greenen, her er det link, jeg lovede at sende dig.'

Direktøren fatter ikke mistanke, klikker på linket, og bam, så er computeren hacket. Alt sammen fordi en it-kriminel har kunnet udnytte en specifik og frit tilgængelig viden om personen til at få vedkommende til at gøre noget, han eller hun, måske, normalt ellers ikke ville gøre.

It-kriminelle kopierer legitime forretninger

Samme taktik forsøger it-kriminelle at udnytte i stor stil ved at skaffe sig adgang til personoplysninger i eksempelvis en børnehave, på en arbejdsplads eller i kartoteket hos en detailforretning, var Boscovitchs budskab.

»Hvis du skaffer nok information om nogen, så bliver et spearphishing-angreb så meget desto lettere. Hvis personen besøger visse butikker, køber visse produkter, så er de måske mindre årvågne, hvis de modtager en mail fra det firma eller den butik, de plejer at besøge.«

I forhold til sundhedsdata kan eksemplet være, at en person modtager en mail fra det, der ligner vedkommendes almindelige læge, med et link, som så viser sig at være skadeligt.

»Det understreger virkelig det store problem og den sofistikerethed, vi har med at gøre på den kriminelle side. Hvordan de grundlæggende efterligner legitime forretninger for at kunne målrette,« sagde Boscovitch.

Bag Copenhagen Cybercrime Conference 2015 står it-sikkerhedsvirksomheden CSIS, DI Itek og Erhvervs- og Vækstministeriet. Version2 er inviteret af CSIS.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
Anne-Marie Krogsbøll

der skal et mirakel til, for at vore diverse sundhedsdatabaser er tilstrækkeligt sikrede mod den slags? Og alle de andre steder vore sundhedsdata allerede er havnet, og hvor de tilsyneladende kan blive svære, grænsende til det umulige, at få hentet tilbage igen - ulovlige eller ej?

Hvordan kan der stadig være nøglepersoner indenfor dette felt (læger, politikere, diverse lobbyister for medicinalindustrien), der argumenterer med, at vi ikke skal blive FOR dataforskrækkede indenfor sundhedsområdet. Selvfølgelig også andre steder, men sundhedsområdet er lissom det mest personligt sårbare og private.

Alle sejl må sættes til for at få stoppet dette vanvid, hvor intet anses for at være eksisterende, før det er registreret mindst 100 steder.

Frithiof Jensen

Et besøg af hætteklædte mænd med køller?

Måske trænger "Sentinel" til et lille hjælpe-program som bytter rundt på diagnoserne og generelt korrupter data før det bliver registreret? Måske skal man heller ikke sige noget om dette før om et par år når masser af papers er kommet ud og SSI lige er blevet solgt til en kapitalfond?

Måske skal nogen lække "De Kendtes" diagnoser?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017