sikkerhet

Svindlerne fikk napp hos Sintef. 9 av 25 ga fra seg passord 

Cyberangrep er blitt hverdagskost i kunnskapssektoren, fastslår sektorens tjenesteleverandør.  Spesielt én type svindelforsøk øker.

25 Sintef-ansatte fikk tidligere i år en e-post de trodde var fra en samarbeidspartner.
Jørgen Svarstad
Tekst: Jørgen Svarstad
Publisert Sist oppdatert

10. og 11. juni fikk 25 ansatte, de fleste forskere, ved forskningsinstituttet Sintef e-poster fra en velkjent samarbeidspartner.

E-postadressene stemte. I e-postene var lenker til en delt fil. 

Av de 25 ansatte var det ni som trykket på lenken. De ble bedt om å oppgi sitt passordet til Sintef-kontoen sin for å lese dokumentet. Det gjorde alle ni.

Men e-postene var egentlig et angrep fra passordtyver. De hadde tatt kontroll over noen av e-postadressene til Sintefs samarbeidspartner.

Nå hadde de også fått tilgang til passordene til ni Sintef-ansatte. 

Tror de ville selge passord

Sintef tror formålet med angrepet var å stjele påloggingsinformasjon, for å selge det på «det mørke nettet».

— Dette er handelsvare for cyberkriminelle. Så hvis noen skulle ønske å angripe Sintef, så er jo den enkleste veien inn brukernavn og passord til en ansatt, sier IT-sjef Snorre Aasheim Ness i Sintef.

Noen andre Sintef-ansatte ble imidlertid raskt mistenksomme, og meldte fra 12. juni. Sintef og deres sikkerhetsleverandør etterforsket hendelsen, og alle involverte ansatte byttet passordene umiddelbart.

— Da mister det som eventuelt er stjålet fra Sintef sin verdi, sier Ness. 

Fikk tilgang til regneark

Han sier at de ikke har noen indikasjoner på at informasjonen er blitt misbrukt, men at Sintef ble rammet fordi de lå i adresselista til samarbeidspartneren som ble hacket.

Snorre Aasheim Ness, IT-sjef i Sintef.

De meldte dette til Datatilsynet fordi en av kontoene som fikk passordet stjålet, ble brukt til å få tilgang til systemene deres.

Angriperen fikk tilgang til et regneark med informasjon om personer i et faglig nettverk. Dette regnearket inneholdt opplysninger som prisbetingelser, kunder, kontaktpersoner, e-postadresser og noen telefonnumre.

Som Khrono skrev sist uke, har antallet såkalte avviksmeldinger til Datatilsynet gått i været de siste årene. 

Dette er meldinger om sikkerhetsbrudd som berører personopplysninger. Det har vært en økning både i kunnskapssektoren og i samfunnet for øvrig.

Noe som har økt betydelig er dataangrep. I 2023 var det en økning på hele 143 prosent (alle sektorer). 

Denne trenden har fortsatt i 2024, med en økning på 111 prosent fra tredje kvartal 2023 til tredje kvartal 2024.

— Vi synes det er urovekkende at vi ser en økning. Vi kommer til å følge disse tallene nøye  i tiden som kommer, sier seksjonssjef Kristine Stenbro i Datatilsynet.

Her er tre hendelser 

Det er flere andre eksempler på at svindlere har fått napp ved forsknings- og høyere utdanningsinstitusjoner.

  • I september meldte Universitetet i Oslo til Datatilsynet at «ondsinnede aktører har sendt ut phishingkampanjer til en stor gruppe studenter og ansatte på UiO». Svindlerne la ved en lenke og ba mottakerne om å oppgi brukernavn og passord. Dette ga dem tilgang til e-postkontoer, som de brukte til å logge seg på fellesmaskiner og sende ut masse-e-poster. Uniforum har omtalt saken, og IT-sikkerhetssjef Espen Grøndahl opplyste at svindlerne fikk tilgang til «noen titalls» e-postkontoer. UiO tror ikke målet var å hente ut data, men å sende ut flere svindel-e-poster.
  • En ansatt ved Nord universitet ble i august også utsatt for et vellykket phishing-angrep. Angriperen fikk tilgang til den ansates e-post, men det er ingen indikasjoner på at informasjonen ble misbrukt, meldte universitetet.
  • Forskningskonsernet Norce meldte til Datatilsynet i februar at en utenforstående fikk tilgang til brukerkontoen til en leder, til tross for at flerfaktor-autentisering (MFA) var aktivert. Både brukernavn, passord og tilgang til flerfaktor-autentisering var kommet på avveie. Inntrengeren skal ha logget seg inn på lederens e-postkonto og sendt e-post til andre ansatte i Norce. Norce sier at «aktørene kan ha fått tilgang til sensitiv informasjon, men vi har ingen indikasjoner på det». Norce opplyser at de ikke har tegn til at informasjon har blitt hentet ut fra e-postsystemet.

I en kommentar til Norce-saken sier IT-direktør Irene Husa:

«I Norce er vi svært opptatt av IT-sikkerhet. Vi har blant annet nylig startet opp med opplæring i IT-sikkerhet for alle ansatte. Å trygge oss mot dagangrep er et kontinuerlig arbeid. Akkurat da dette avviket skjedde, var NORCE allerede i gang med å innføre flere planlagte sikkerhetstiltak, og vi tar stadig i bruk ny funksjonalitet og produkter.»

Nøye utvalgte ofre

— Cyberangrep har på mange måter blitt hverdagskost i sektoren vår, sier Bjørn Kopperud. 

Han leder cybersikkerhetssenteret til Sikt - Kunnskapssektorens tjenesteleverandør.

Bilde av Bjørn Henrik Kopperud som går ut en dør.
Bjørn Kopperud i Sikt tror det er store møkretall.

Han sier at de ser både angrep mot tekniske systemer, som cyberangrep som prøver å overbelaste en nettjeneste, og angrep som prøver å påvirke mennesker.

— For eksempel har man sett målrettede påvirkningsforsøk mot forskere som har jobbet mot internasjonale konflikter.

— Vi har sett en økning i vellykkede phishing-angrep, som gjør at man får en kompromittert bruker: At brukernavn og passord kommer på avveie. Men de har hatt begrenset skade, sier fortsetter han. 

Sikt ønsker ikke å oppgi tall. 

— Vi tror det er store mørketall også, mye mer enn vi klarer å fange opp. Det er ikke alt som blir rapportert til oss, sier Kopperud. 

Bak angrepene kan det stå alt fra statsstøttede aktører og politisk motiverte aktører, til gutteromshackere, sier han.

— Det kan være økonomiske og politiske motiver. Og det kan også være et ønske om å få tak i spennende forskning, sier Kopperud.

Statlig spionasje 

I årene framover tror Sikt at phishing og AITM-angrep (angrep som omgår tofaktorautentisering) vil fortsette å være dominerende i kunnskapssektoren. 

De er også bekymret for at såkalte tjenestenektangrep (angrep som for eksempel overbelaster en server) skal ta seg opp, og at løsepengevirus skal gjøre sitt inntog i sektoren.

— Det siste er det vi kaller statlig kunnskapsspionasje. Det handler litt om den endrede verdenssituasjonen vi er i. Vi stenger grensene til naboland, og da er det kanskje behov for å bruke andre metoder for etterretning enn man har gjort tidligere. Så vet vi at en del kunnskap, knyttet til vår forskning, er interessant for omgivelsene våre, sier Kopperud. 

Nøye utvalgte ofre 

I sin siste årlige tilstandsrapport om det digitale sikkerhetsbildet, skriver Nasjonal sikkerhetsmyndighet (NSM) de har sett flere tilfeller av såkalt spearphishing rettet mot ansatte i forskingssektoren.

Spearphising er målrettede angrep til nøye utvalgte ofre, én person eller én virksomhet, for eksempel gjennom skreddersydde e-postmeldinger. Dette til forskjell vanlig phishing, som sendes til mange mottakere samtidig. 

Siden 2022 har 11 prosent av alle «cyberhendelsene» NSM har registrert, vært rettet mot «forsknings- og utviklingssektoren». Det er denne sektoren, sammen med forsvarssektoren, som opplever flest slike hendelser, som kan være overbelastningsangrep, phishing, datatyveri og spionasje.

Klandrer ikke de ansatte

IT-sjef hos Sintef Snorre Aasheim Nes vil ikke klandre de ansatte som ga fra seg passord.

— Måten vi har kommunisert dette internt er at dette er noe som alle kan oppleve. Det skyldes ikke lav kompetanse hos dem som mottok e-posten. Det er et hendig uhell, sier han.

For e-postadressene var som nevnt reelle. De kom fra det som var en kjent samarbeidspartner for Sintef. Innholdet kunne virke fornuftig, ut fra tidligere samtalehistorikk, sier IT-sjefen.

— Da tror jeg «guarden» er lavere. Man stoler mer dem man har kommunisert med før, enn en vilkårlig e-post som dukker opp i innboksen din.

Her er IT-sjefens råd 

Internt på Sintef har de brukt hendelsen som eksempel på at det er lurt å være bevisst, selv om du har hatt kommunikasjon med personen bak e-posten tidligere.

— Vil den ha deg til å gjøre andre ting? Er kommunikasjonen i tråd med det man kan forvente? Er det tema- og innholdsmessig på samme måte som tidligere? Er det noe som stikker seg ut og kan være mistenkelig?

— Hold guarden oppe, selv om det er kjente folk du snakker med, sier han.

Han sier at det beste sikkerhetstiltaket man kan gjøre, er å passe på brukernavnet og passordet sitt, samt etablere tofaktorautentisering. 

Bjørn Kopperud i Sikt har tre råd: 

  1. Ha gode passord som ikke er lette å gjette. Ikke bruk noe med «123» eller «sommer2024». Og ikke gjenbruk passord. 
  2. Pass på at programvare er oppdatert. Oppdater så fort oppdateringen er tilgjengelig.
  3. Vær kritisk når du får en lenke på SMS eller e-post.
cybersikkerhet universitetet i oslo sikkerhet phishing nyheter nord universitet norce hacking dataangrep sikt cyberangrep sintef
LES VIDERE ETTER ANNONSEN

FÅ NYHETER PÅ MOBILEN
Last ned Khrono-appen!

Download on the App Store Tilgjengelig på Google Play
Siste fra forsiden:
Powered by Labrador CMS