Dags att ta mobil säkerhet på allvar
Krönika Mobilitet har stora möjligheter. Men också en del utmaningar. Sara Fernholm på Lookout tittar på sommarens Twitter-incident och ger tips på hur man ska tänka kring säkerheten.
Under sommaren utsattes Twitter för ett anmärkningsvärt intrång. Den 15 juli tog sig en obehörig person in i företagets nätverk och fick åtkomst till 130 högprofilerade konton, tillhörande bland andra Barack Obama, Kanye West, Bill Gates and Elon Musk. Cyberbrottslingarna kom över mer än 100 000 dollar genom att tweeta ut Bitcoin-bluffannonser och stjäla data från användarna.
Så hur gick det här till? Twitter erkände att orsaken var en phishingattack mot ett antal anställda, som ledde till att bedragarna fick tillgång till företagets it-infrastruktur. Attacken var därmed en så kallad ”phone spearing attack”, då noggrant utvalda individer vilseleddes att lämna ut känslig information genom social interaktion. Förövarna visade sig vara tre unga män; 17, 19 och 22 år gamla.
Phishing är inget nytt fenomen, men kanske krävs en attack mot högprofilerade individer för att problemet ska börja tas på allvar. Det vi kan lära oss av den här händelsen är att phishingattacker mot surfplattor och mobiltelefoner inte är detsamma som traditionella e-postbaserade bedrägerier – mobilt nätfiske är mycket mer utbrett och farligt. Under de första tre månaderna av 2020 ökade phishing-attacker mot mobiler med nästan 40 procent, i samband med att många började arbeta hemifrån.
Mobilitet skapar utmaningar
Det finns ett antal faktorer som gör telefoner och surfplattor lukrativa för angripare. För det första kan de anställda enkelt komma åt företagets data från sina mobila enheter. Då rekommendationen från Folkhälsomyndigheten är att arbeta hemifrån även i höst, fortsätter de mobila enheterna att vara centrala för vår produktivitet när vi jonglerar jobb och vardagssysslor på hemmaplan. Det ligger helt enkelt i arbetsgivarnas intresse att datan är tillgänglig, men samtidigt innebär detta att de mobila enheterna är en potentiell ingång till organisationens data.
Ytterligare faktorer är att de flesta känner stor tillit till sina enheter, kombinerat med svårigheten att skilja mellan ett verkligt meddelande och ett phishing-bedrägeri på en mobil eller surfplatta. Hur stor del av ditt liv finns i din telefon? Kanske kan man påstå att mobilen är en förlängning av dig – det är självklart att du litar på den. Problemet är att den mindre skärmen och förenklade användarupplevelsen gör det mycket svårare att se om ett meddelande via sms, Whatsapp eller Twitter är legitimt. Till exempel kan du inte alltid se avsändarens adress eller den fullständiga länkadressen – som du gör på en dator.
I fallet Twitter var det därför sannolikt ingen slump att bedragarna valde att rikta in sig mot mobiler, tvärtom. Det är dessutom inte särskilt svårt att tänka sig att en anställd på ett stort techbolag gör det mesta på sin telefon. I det här fallet bar nätfiskeförsöken frukt och när de kriminella väl var inne i databasen kunde de även få tillgång till Twitters infrastruktur för kontohantering. Sedan stod dörren för att manipulera utvalda Twitter-konton öppen.
Som med all brottslighet anpassas phishingattacker efter samhället och våra beteenden. Då smartphones och surfplattor är väl invävda i varje medarbetares personliga och professionella liv blir dessa den svaga länken som brottslingarna utnyttjar. Detta kommer inte att förändras inom snar framtid, eftersom vi fortsätter att arbeta hemifrån. Det är alltså nödvändigt att ta mobilsäkerhet på största allvar.
Låt Twitter-incidenten leda till något positivt och se över säkerhetsstrategin så att den inte negligerar riskerna med mobila enheter. Medarbetarnas telefoner och surfplattor kan ha lika stor tillgång till företagets data som en dator. Därför är det också avgörande att din organisation använder mobila säkerhetslösningar för att skydda sig mot liknande attacker.
Sara Fernholm,
partneransvarig för Norra Europa, Lookout
