Jon Serpas sitter i en lydtett glassboks og ser over på en klokke. Den viser 23 minutter og 5 sekunder, og klokka går kontinuerlig nedover. Serpas har på seg et headset, og har nettopp fått Monica på tråden. Monica jobber med kundeservice for den amerikanske telegiganten Verizon Wireless, en bedrift med over 140 000 ansatte.
“Jeg ringer fra Verizons hovedkontor i New Jersey, og du har blitt tilfeldig utvalgt til å svare på en spørreundersøkelse. Har du noen minutter?”, sier Jon Serpas til servicemedarbeideren.
Monica svarer at det sikkert går bra, og Serpas hopper inn:
– Flott. Noen av disse spørsmålene kommer kanskje til å høres merkelige ut, men det er bare fordi vi gjennomfører denne spørreundersøkelsen på et bredt utvalg ansatte. Så det er ikke sikkert at alle spørsmålene gjelder for deg. I så tilfelle går vi bare videre.
Serpas begynner med å stille Monica en rekke enkle spørsmål. “Hvor lenge har du jobbet for Verizon?”, “Jobber du fra 9-17, eller har du fleksibel arbeidstid?”, “Hvor mange pauser får du i løpet av dagen?”, “Har dere kantine i bygget, eller deler dere dette med andre?”. Monica svarer kort og konsist på alle spørsmålene, og Serpas formulerer seg med autoritet, og gir ikke Monica pusterom før han stiller neste.
Du forstår sikkert at Serpas egentlig ikke jobber for Verizon Wireless. Jon Serpas er en svært dyktig “social engineer”, eller informasjonseksfiltratør.
Social engineering handler om å utnytte det svakeste leddet i enhver sikkerhetskjede, nemlig menneskene. Ved å manipulere mennesker får man ofte ganske enkelt tilgang til fortrolig informasjon. Et viktig aspekt med social engineering er å forstå hvem du prater med, og hvordan bedriftskulturen og den interne sjargongen fungerer.
Serpas er ganske ny i spillet, og har jobbet mest med datateknisk sikkerhetstesting, men det er åpenbart ikke et hinder. Han bobler over av selvtillit.
Hvert år under hackerkonferansen DEFCON arrangeres konkurransen Social Engineer Capture the Flag, og det er denne Serpas deltar på. Foran hundrevis av tilskuere ringer konkurransens deltakere til ansatte i store amerikanske bedrifter. I år er det telegigantene AT&T, Verizon Wireless og Sprint som skal få gjennomgå.
“Capture the flag” er en konkurransegren hvor deltakerne kjemper om å fullføre en rekke forhåndsdefinerte kriterier, omtalt som flagg. Et flagg kan for eksempel være å få vite arbeidstiden til en ansatt. Dommerne vil i såfall tildele deltakeren et visst antall poeng. Noen biter informasjon er verdt mye, mens andre er verdt lite. Men det handler altså om å få tatt så mange flagg som mulig, og dermed ende opp med den høyeste poengsummen. Hver deltaker får 25 minutter på seg.
Serpas spør hvorvidt Monica har fått sikkerhetstrening det siste halvåret. Hun svarer bekreftende, det har de ved jevne mellomrom. “Så flott, godt å høre at vi fortsatt driver med det”, svarer Serpas mens forsamlingen humrer og ler.
Jon Serpas føler nå at han har fått Monica på glid, og begynner med de vesentlige spørsmålene:
– Nå kommer vi inn på noen litt mer tekniske spørsmål, Monica. Igjen, det er ikke sikkert at du kan svare på alle sammen, men det er helt greitt. Når du kommer på jobb, må du sjekke inn i lobbyen, eller bruker dere nøkkelkort for å få tilgang til kontoret?
Monica sier at de bare trenger å holde et nøkkelkort opp mot en leser, så kommer de inn i lokalet.
– Ok, så dere trenger ikke å skrive inn en kode?
– Nei, innenfor vanlig arbeidstid er det bare å holde kortet opp mot kodeleseren, sier Monica.
– Skjønner. Og vet du hvem som lager disse kortene? Kanskje du kan sjekke det for meg, står det et trebokstavers ord noe sted på kortet?
– Ja, det står GAO på ene siden, svarer Monica.
Klokka utenfor glassburet viser at Jon fortsatt har god tid på seg, og han har allerede klart å avdekke mye informasjon om Verizon-kontorets operasjonssikkerhet. Han vet at kortene fra GAO kortene er enkle å kopiere, og hvis han hadde ønsket å komme seg inn i bygningen, har han nå fått oppskriften. Men Jon vil ha mer:
– De neste spørsmålene er litt mer IT-spesifikke. Vet du hvilket operativsystem som er i bruk hos dere, er det Windows kanskje?, spør Serpas.
– Ja, jeg tror det er Windows vi bruker, svarer Monica.
– OK, flott, det var det jeg trodde. Så, har du tilgang til epost på datamaskinen din, Monica?
– Ja. Vi bruker Outlook, svarer hun.
Serpas begynner å rake inn en mengde poeng. Nå legger han inn støtet for å få det mest ettertraktede kriteriet: Å få Monica til å besøke en nettadresse han spesifiserer.
– Da har jeg fått det jeg trenger fra deg Monica, tusen takk for at du tok deg tid! Det er bare én siste ting jeg trenger, og det er at du besøker en nettside og fyller ut et skjema som gir oss litt informasjon om ansettelsesforholdet ditt. Har du muligheten til å gjøre det for meg?, spør Serpas.
– Ja, hva er adressen, spør Monica.
Serpas, dommerne og alle i salen gliser av begeistring. Å få Monica til å godta dette er det ultimate målet. Hadde Serpas hensikter vært ondere enn de faktisk er, kunne han gitt Monica adressen til en virusinfisert nettside. Da kunne Serpas potensielt sett infisert Monicas jobbmaskin, og i ytterste konsekvens få tilgang til hele Verizons datanett.
Innen tidsfristen har Serpas fått tilgang til utrolige mengder fortrolig informasjon, som for eksempel:
- Hvilket firma som står for Verizons fysiske sikkerhet
- At de benytter seg av Fedex for leveranse av pakker
- At en god del nettsider er blokkert av Verizons IT-drift
- Operativsystemet og versjonen som brukes av de ansatte
- At HP er dataleverandøren
- At de bruker Internet Explorer og Outlook
- Hvordan man fysisk tar seg inn i bygningen
- Hvilken dato de ansatte får utbetalt lønn
- De ulike arbeidstidene til ansatte
- Hvor kantina ligger, og hvilket firma som leverer kantinetjenestene
- Når og hvor mange pauser de ansatte får
I det Jon Serpas legger på røret, begynner samtlige i salen å trampeklappe. Han var blant de beste deltakerne på årets konkurranse.
Konkurransen er kontroversiell, og etter amerikansk lov er det strengt forbudt å ta opp både video og lyd i rommet. Blant oss i salen sitter flere statlige agenter. Først og fremst for å lære, men også for å rekruttere.
Arrangøren er Social Engineer Inc., en organisasjon som ønsker å sette fokus på at de fleste bedrifter har enormt dårlige sikkerhetsrutiner når det kommer til det menneskelige aspektet. I en verden hvor moderne datasystemer er godt sikret mot utvendige angrep, er det gjerne enklere å få tilgang via menneskene som sitter på innsiden.
Social Engineer Inc. har holdt denne konferansen på DEFCON de siste seks årene, og hvert år har de spurt alle de store amerikanske selskapene om de kunne tenke seg å stille frivillig som mål for konkurransen. Hittil har ingen sagt ja.
Norsk senter for informasjonssikkerhet (NorSIS) er et uavhengig organ som jobber for å fremme kunnskap om informasjonssikkerhet i norske bedrifter. Seniorrådgiver i NorSIS, Vidar Sandland, forteller at de ikke har gode tall på hvor mange slike angrep som skjer i Norge, men at det er en del bedrifter som blir oppringt av «noen fra Microsoft».
– For bedrifter er hovedhensikten å få vedkommende til å installere en «bakdør» til bedriften. For privatpersoner er det som oftest for å lure de for penger, eller å ta kontroll over det «virtuelle» livet deres, sier Sandland.
Sandland sier videre at de fleste angrepene ser ut til å komme fra utlandet. Fristelse, frykt og tillit er de vanligste følelsene de kriminelle spiller på når de forsøker å svindle deg:
– Fristelser kan typisk være tilbud om gratis programvare, spill eller lignende. Vanlig er også e-poster som oppgir at du har vunnet et stort pengebeløp.
– Med frykt forsøker svindleren å skremme deg til å gjøre noe, det kan for eksempel være varsler som dukker opp på skjermen når du surfer om at det er oppdaget virus på maskinen din. For å bli kvitt problemer må du installere et ” falskt” antivirusprogram, sier Sandland.
Men den mest problematiske taktikken spiller på tillit:
– Tillit er den vanskeligste å beskytte seg mot, da avsender ser ut til å være noen du kjenner eller noen du stoler på. Da er gjerne skepsisen borte. Hvis du opplever at noen spiller på en eller en kombinasjon av disse tre faktorene, samtidig som at de forsøker å få deg til å gjøre noe, trykke på en lenke, installere noe, eller gi ifra deg informasjon, så bør man være skeptisk, advarer Sandland.
Norske bedrifter har lite kunnskap om sosial manipulasjon. Sandland mener at dette er et problem:
– De fleste som har blitt utsatt for et målrettet angrep vil nok heller ikke skjønne at de ble utsatt for dette. Selv etter at informasjonen har kommet på avveie klarer de ikke å se sammenhengen.
– «Heldigvis» stoler vi på hverandre, og dette utnytter de som forsøker å manipulere oss. Hadde folk visst hvor enkelt det f.eks er å forfalske en avsenders SMS eller e-post hadde de kanskje ikke stolt like mye på disse.