Skip to content
9-saker-att-tänka-på-när-du-hackar-ett-företag-1
Pernilla Arensparr Oct 3, 2022 10:30:00 AM 6 min read

Till dig som är cyberkriminell: 9 saker att tänka på när du hackar ett företag

9 viktiga saker att tänka på när du hackar ett företag

Admin-konton som skräpar. Dåligt patchade legacyprodukter. Slarvigt skriven kod. Eller en trevlig vaktmästare som bara vill låna toaletten.   

Jakten kan börja. Här nedan publicerar vi 9 faktorer som spelar stor roll när kriminella väljer ut ditt företag som mål. 

 

Idag omsätter cyberbrott mer än all droghandel i hela världen - cirka 6.000 miljarder svenska kronor. Trots detta finns det trender som pekar på att visa organisationer har börjat att dra ned på sin IT-säkerhet. Istället har många företag börjat att teckna cyberförsäkringar. Vilket är goda nyheter för dig som är kriminell. För dig som vill hacka (eller för dig som vill skydda ditt företag) kommer här nedan 9 viktiga faktorer som du ska tänka på. 

Som kriminell gäller det att ständigt vara lite före alla andra. Det kan handla om månader, dagar, timmar eller minuter. Här är några av de faktorer som vi bedömer som viktiga parametrar för kriminella när det gäller att hacka ett företag eller organisation.

 

1. Hitta företag med hög omsättning - cash is king

Detta är en premiss. Om det inte finns pengar att hämta - så finns det ingen anledning att ge sig på målet. Undantagen är såklart företagsspionage eller spionage för ett annat lands räkning och så vidare men om du ska tjäna pengar på intrånget, vilket den här artikeln handlar om så är det ju bra om det faktiskt också snurrar en del pengar i företaget. Som kriminell vill du inte råna en bank för att sedan upptäcka att kassavalvet är tomt. Företag som har eller växer snabbt är också av särskilt högt intresse - eftersom de ofta släpar efter rent säkerhetsmässigt. Det är egentligen ganska självklart - de är helt enkelt upptagna med att tjäna pengar, iställer för tänka på säkerhet.

 

2. Hitta företag med bra cyberförsäkring

Att rikta in sig mot företag och organisationer som har bra försäkringar mot dataintrång kan vara en bra idé. Detta eftersom det är ännu en garant för att det ger företaget tillgång till ännu mer likvida medel att kunna betala den lösensumma som du begär. Hur du får tillgång till den här typen av information vill vi inte dela med oss av här, det får du lista ut själv. Men det är inte en slump av företag med riktigt bra cyberförsäkringar ofta bli low hanging fruit för kriminella i dessa sammanhang. Syftet med ditt intrång är ju att få “betalt”, och då underlättar en bra försäkring.

 

3. Läs årsredovisningar (här skriver företag ofta vilka it-system de jobbar i)

Många företag - framför allt de som du kanske vill ge dig på - är inte så aktsamma som de egentligen borde vara. Otroligt många stora industribolag skriver explicit ut i sina årsredovisningar under “IT” om vilka system de jobbar, vilka som ska uppdateras och vilka som ska fasas ut. Här kan du som hacker hitta mycket intressant information som kan vara användbar på många olika sätt när du letar vägar in i ett företag. Exakt vad de skriver om IT i sina årsredovisningar kan också ge hint om deras digitala mognad - och framför allt hur de har prioriterat sin (ibland obefintliga) IT-säkerhet. Som proffs lär du dig snabbt att läsa mellan raderna och hitta det intressanta. Det har till och med förekommit att organisationer har explicit skrivit ut exakt vilka system som inte är uppdaterade. Helt bedrövligt ur ett säkerhetsperspektiv.

 

4. Identifiera de slarviga först

Vilken bransch företaget är i spelar faktiskt ingen större roll. De allra flesta bolag sitter på affärskritisk data, system eller personuppgifter som vid en förlust mer eller mindre lamslår hela verksamheten. Antingen genom att de inte längre kan göra sitt jobb, eller genom en stor förlust av sitt förtroendekapital. Stora attacker som har en enorm påverkan på stora bolag är ytterst sällan särskilt sofistikerade. Detta är snarare något som IT-säkerhetsavdelningar är noga med att påpeka eftersom det skulle vara tjänstefel av dem att intrånget beror på rent slarv, att de helt enkelt inte har gjort sitt jobb. De intrång som får katastrofala följder för ett företag är tyvärr genomförda med script som ofta har funnits ute på internet i flera år.

 

5. Företagskultur spelar roll

Här handlar det väldigt mycket om att läsa mellan raderna. Allt ifrån vad som sägs i media och forum till hur det ser ut i årsredovisningarna. Hög personalomsättning på IT-avdelningen är oftast goda nyheter för en hacker. Hög personalomsättning kan vara en bidragande orsak till att system ligger ouppdaterade, saker trillar mellan stolarna. Ja, helt enkelt allt som har med att kunskapsöverföringen från en gammal till en ny medarbetare inte går som planerat. I bästa fall kan hög personalomsättning bidrar till att system glöms bort och inte patchas, vilket såklart är goda nyheter för dig som kriminell.  

 

6. Legacy och ej uppdaterade produkter är den heliga gralen

Nätverk, system och servrar som inte blivit uppdaterade på flera år - är en dröm för en hacker. Detta möjliggör och underlättar oerhört mycket att ta sig in i företaget. Det är också faktiskt en av de största anledningarna till varför attacker blir så förödande för många företag. Att du som angripare kan arbeta länge och ostört utan att någon märker något är alltid en fördel. Här finns det massor med exempel från verkligheten - när amerikanska skattemyndigheten IRS blev hackade 2015 så berodde det på ett system som inte blivit uppdaterat på flera år. Angriparna kom över 700.000 personuppgifter och kontonummer.

7. Bristfällig Asset Management - en av de bästa sakerna som kan hända dig som hacker

För ett företag som har uppdaterade system och bra säkerhetsprogram är dålig Asset Management en bra väg in. Det vill säga, att de har inte koll på vilka applikationer, program, användare som har vilka rättigheter, vilket oftast betyder att det finns personer i organisationen som har admin-konton som egentligen inte borde ha dem. Detta är motorvägen som gör att du inom kort administrerar och låser ute alla. Att inte ha koll på vem som har adminaccess till olika system är i förlängningen helt förödande för ett företag. En organisation kan i praktiken sitta på hur dyra, bra och uppdaterade system som helst - men om de inte har koll på sina assets så är de extremt illa ute vid en attack. Det som på sin höjd skulle blivit intrång i en medarbetares dator slutar i katastrof med att angriparna kommer över admin-lösenord och låser ute hela företag från sina system. Så - för dig som hacker så gäller det att hitta globala admin-konton - så kan du ta över hela företaget.  

 

8. Email phishing - den vanligaste vägen in!

Helt ärligt, hur mycket och ofta ett företag än tränar sin personal på att inte klicka på suspekta och skumma lösenordsförfrågningar som kommer in via e-post - så kommer de ändå att drabbas. E-posten är i särklass det mest osäkra verktyget som finns. Den största attackvektorn. Så länge som företag använder e-post är detta ofrånkomligt. Det är en del av verkligheten som alla företag och organisationer måste förhålla sig till. Det finns tyvärr många företag där ute som inte har solida säkerhetssytem när det gäller mail. För dig som kriminell är det tjänstefel att inte försöka ta dig in i företaget via e-posten.   https://www.cristienordic.com/cloudbackup

 

9. Social Engineering - för de ambitiösa

Om din måltavla har en relativt vass IT-säkerhet men är värd besväret så kan Social Engineering vara svaret. Social Engineering är bara ett finare ord för gammal hederlig manipulation. Det handlar om att på något sätt manipulera medarbetare på företaget att göra vissa saker. Det kan vara allt ifrån att fysiskt försöka ta sig in i receptionen, genom att påstå att man är elektriker, eller att man fejkar ett möte med en uppsatt person, bara för att ta sig in i huset och rekognosera svagheter. Människor tenderar till att hjälpa andra människor - dra nytta av det. Det finns fall där säkerhetsvakter hjälpt kriminella att rulla iväg vagnar med hemligstämplad information - rakt ut genom huvudentrén. Syftet med manipulation är att få personalen att kringgå sina säkerhetsrutiner. Vilket i de allra flesta fall faktiskt är förvånansvärt enkelt. Allt som krävs för att runda till synes ointagbara säkerhetslösningar är sociala skills och timing. Eftersom företag och organisationer består av människor så finns alltid denna möjlighet till hands.