Så skete det! CyberPilot har været mål for en af de værste former for cyberkriminalitet: CEO Fraud! Meen.. der kan jo ikke tikke en mail ind fra en IT-kriminel hos CyberPilot-kontoret uden at vi laver lidt sjov med det!
Har du travlt?
Jeg er vendt frisk og veludhvilet tilbage på arbejde efter ferien, da der torsdag d. 23. juli tikker en mail ind kl. 16.13 fra Rasmus Vinge med emnet ”Stine”:
Til jer der ikke kender Rasmus, så er han medstifter og direktør i CyberPilot og dermed også min chef. Rasmus havde forladt kontoret for dagen, og det gav derfor god mening, at han kunne finde på at sende mig en mail. Jeg klikker derfor –naiv og uvidende – på mailen, og bliver mødt af følgende besked:
CEO Fraud - Har du travlt?CEO Fraud – også kaldet Direktørsvindel – er en metode IT-kriminelle benytter til at franarre en virksomhed oplysninger eller pengebeløb ved at udgive sig for at være virksomhedens direktør. Angrebet omfatter ofte phishing-teknikker såsom e-mail, hvor den IT-kriminelle sender en e-mail fra direktørens mailadresse eller gennem en spoofet mailadresse for at snyde modtageren til at tro, at mailen er sendt fra direktøren. De IT-kriminelle benytter sig ofte af elementer fra Social Engineering, som omhandler psykisk manipulation af offeret. I dette tilfælde har de IT-kriminelle udvalgt Stine som mål for CyberPilot og de har overvejet, at mailen skulle sendes lidt over 16, hvor mange ansatte er ved at pakke arbejdstasken og tage hjem for dagen. |
Se, nu ved jeg godt, at du sidder og tænker: ”Har CyberPilot fået hovedkontor i Tjekkiet?”, men her må jeg skuffe dig, kære læser. Det er skam ikke CyberPilots nye domæne, du ser her, men nærmere en ulv i fåreklæder; nemlig en vaskeægte phisher!
Under normale omstændigheder bør man selvfølgelig rapportere phishingmailen og slette den – men hvor er det sjove i det? Da jeg fortæller mine kollegaer om, at vi nu ”endelig” er blevet store nok til at blive udsat for CEO fraud, bliver vi derfor enige om at lave lidt sjov med den IT-kriminelle, vi nu har direkte kontakt til.
Lokkemaden
Vi lader nemlig ikke en IT-kriminel undslippe uden en lille lærestreg, og mission ”Phish Phisheren” gik i gang. Læs med videre for at se, hvad der skete da vi legede med på den IT-kriminelles egen leg og derved phishede phisheren.
Vi beklager på forhånd for de stavefejl og grammatiske krumspring der forekommer i den IT-kriminelles beskeder. Google Translate er åbenbart ikke blevet perfekt endnu.
Hvordan opdager man en phishing-mail?
Der vil ofte være forskellige ledetråde, der gør, at man kan afkode, om man har modtaget en phishingmail. |
Vi lader nemlig ikke en IT-kriminel undslippe uden en lille lærestreg, og mission ”Phish Phisheren” gik i gang. Læs med videre for at se, hvad der skete da vi legede med på den IT-kriminelles egen leg og derved phishede phisheren.
Vi beklager på forhånd for de stavefejl og grammatiske krumspring der forekommer i den IT-kriminelles beskeder. Google Translate er åbenbart ikke blevet perfekt endnu.
|
Hej Rasmus, Lidt travlt. Hvad da? |
|
Okay, jeg har brug for dig til at hjælpe mig med at købe fysiske gavekort fra butikken til nogle specifikke klienter. Kan du få dette gjort på 15 minutter? Fortæl mig det, så jeg kan sende dig detaljer om de nødvendige gavekort og den nøjagtige mængde. Jeg er i et møde og kan ikke tage opkald lige nu, så vi kan kommunikere via e-mail. Jeg refunderer dig pengene sendere i dag, men jeg har brug for gavekortene med det samme. |
|
Okay, ja det kan jeg godt. Send mig oplysningerne om gavekortene, så skynder jeg mig ned i butikken og finder dem. |
|
Her er detaljerne |
Her bliver den IT-kriminelle utålmodig og skriver igen før vi når at svare.
|
Fik du detaljerne? |
|
Hej Rasmus, |
Ja, jeg vidste jo ikke, at vi havde fået en butik ud af det blå.
|
Du kan få det i ethvert supermarked |
Vi kunne jo ikke lade ham få hans gavekort så hurtigt uden nogen form for modstand. Så hvad er det værste, der kan ske, når chefen spørger om en tjeneste inden weekenden? En utålmodig medarbejder!
|
Okay, men Rasmus, du lovede mig jo, at jeg kunne tage fri kl. 13 i dag… Jeg synes ikke helt det er okay. |
Og på sit bedste Google Translate-sprog forsøger ”Rasmus” at undskylde, at jeg skal stresse inden min weekend.
|
Jeg ved, at jeg er ked af, når du har købt dem, kan du tage afsted |
Meen han holder alligevel ikke tilbage med at presse mig til at få købt gavekortene, da han minuttet efter spørger:
|
Skal du købe dem nu? |
Fælden bliver lagt
Hvad phisheren ikke ved er, at vi på CyberPilot-kontoret er ved at opsætte en simuleret phishingmail til ham/hende. For at gøre det så legitimt som muligt for at få phisheren til at bide på, satte vi vores cloud-phishingkampagne op.
|
Jeg har gjort det nu, og deler billederne via vores cloud med det samme. |
|
Skal jeg give dig klienten e-mail, så du sender den direkte til klienten? |
|
Jeg har sendt dem til dig, kig efter cloud-mailen |
Det bedste billede, jeg kan give på, hvordan CyberPilot-kontoret så ud på dette tidspunkt, er nok en flok fnisende skolebørn, der venter på, at læreren opdager, at de har tegnet noget frækt på tavlen. Trippende begynder vi også at blive utålmodige, da phisheren ikke åbner vores mail. Vi modtager lidt senere følgende mail:
|
Jeg kan ikke gøre alt det herfra |
Okay så, jeg bider på.
Vi vil jo gerne have ham til at åbne vores mail og falde i.
|
Okay Rasmus, sidste chance, men så går jeg altså på weekend herefter. Send mig klientens mail, så sender jeg det. |
|
Fortæl mig det, når du har sendt det tak |
|
Sender nu. |
Vi sender samme simulerede phishingmail til ”klientens” mailadresse i håb om, at dette får phisheren til endelig at bide på krogen (ps. vi er ret rutinerede i at sende phishingmails. Se hvordan det normalt går her).
Blev phisheren så phishet?
Efter vi har sendt phishingmailen til ”klientens” e-mail, går der ikke mange minutter før vi kan se, at han virkelig gerne vil se de billeder af gavekortene. Han klikker ikke mindre end 6 gange på det tilhørende link i mailen, men giver op herefter.
Siden da har vi ikke hørt fra vores kære phisher. Om vedkommende er blevet ked af det eller sur over at blive fanget i sin egen svindel er ikke til at vide. Vi håber blot, at han/hun tænker sig en ekstra gang om, næste gang de tror, at de skal til at sende en phishingmail til nogle stakkels medarbejdere.
Vi har også taget en snak om hele den her underholdende situation i vores podcast. Den kan du høre lige her:
