Flere Telenor-ansatte ble lokket med tusenlapper for å manipulere SIM-kort. Nå advarer Telenor andre virksomheter om å være på vakt mot målrettet rekruttering av innsidere til kriminell aktivitet
I en pressemelding til ITproX forteller Telenor nå om målrettet angrep mot deres ansatte, med den hensikt å få tilgang til mobilleverandørens SIM- kort.
I januar i fjor tikket det inn en e-post til en ansatt i Telenorbutikken: «Hei, jeg vet at du jobber i Telenor. Vil du tjene mye ekstra penger? Du vil få fullstendig anonyme betalinger via kryptovaluta», lokket «Ahsan» – før han kom til hva han ville ha utført:
«Alt du må gjøre, er å aktivere noen allerede eksisterende Telenor-numre på mitt SIM-kort. Jeg sender over ICCID–koden på SIM-kortet, i tillegg til nummeret jeg vil ha aktivert på det.»
For hvert nummer som blir overført, lover den ukjente mannen 250 amerikanske dollar eller mer i betaling og presiserer at «vi kan gjøre dette så mange ganger du vil daglig».
– Dette var en avsender som visste hva han var ute etter, og som gikk rett på Telenor-ansatte i forsøket på å nå dette målet. Slike målrettede forsøk på rekruttering av innsidere skjer nok dessverre i større omfang i Norge enn vi er klar over, sier senior sikkerhetsanalytiker Thorbjørn Busch i Telenor.
Kan åpne døren for spionasje
Forespørselen om å tukle med SIM-kort mot betaling gikk samtidig ut til flere ansatte i Telenorbutikken og Telenors kundeservice flere steder i Norge.
– Hadde bakmennene fått napp, kunne det fått alvorlige konsekvenser, sier Busch.
Når valget står mellom å bruke avanserte og ressurskrevende angrepsverktøy for å komme seg inn i en bedrifts stadig sikrere IT-systemer, eller å betale en ansatt noen tusenlapper for samme type tilganger eller informasjon, velger trusselaktørene gjerne minste motstands vei.
– Rekruttering av innsidefolk er ikke et ukjent fenomen. De som er utsatt for forsøk på rekruttering, har gjerne god tilgang til systemer trusselaktørene er ute etter, og som av ulike årsaker kan finne på å dele tilganger eller sensitiv informasjon med utenforstående, sier Busch.
Han forklarer hvordan dette videre kunne blitt brukt for å skaffe seg tilgang til offerets kontoer – for eksempel e-post eller kryptolommebøker – ved å nullstille passord eller motta koder for totrinnsverifisering over SMS.
– Det blir i praksis et ID-tyveri. Her kan skadeomfanget være enormt for offeret og gevinsten tilsvarende stor for svindlerne, sier Busch.
Plukket ut ansatte på LinkedIn
– Dette er også en trussel for bedrifter, der full tilgang på telefonsamtaler og SMS-er til en ansatt kan åpne dørene videre for spionasje, direktørsvindel eller andre typer angrep mot en virksomhet, sier Busch.
Rekrutteringen begynte med at de ansatte fikk en kontaktforespørsel via LinkedIn, der de hadde oppgitt at de jobbet i Telenorbutikken.
Forespørselen kom fra en for dem ukjent person som tilsynelatende også jobbet i Telenor. Invitasjonen ble derfor godkjent uten videre ettertanke.
– Like etter kom SIM-forespørselen til de ansattes private e-postadresse, som bakmennene mest sannsynlig har hentet ut fra LinkedIn. Her er det altså blitt jobbet målrettet og spesifikt, med ett mål for øye: Å skaffe seg noen på innsiden som kan gjøre en jobb for dem, sier Busch.
Etterforsket av Europol
Hvem som sto bak forsøkene på rekruttering, og hva de ønsket å oppnå med de forfalskede SIM-kortene, er fortsatt uvisst.