Der er ganske let fra hackerne at skabe sig en liste med mailadresser over firmaets medarbejdere til deres angreb.
Grunden til at jeg her påstår, at jeg kan få mailadressen på alle medarbejderne i en virksomhed til mit kommende hacker angreb, skyldes at jeg ofte bliver mødt med påstanden om at “vi offentliggører ingen steder mailadresser på vores ansatte, så derfor kan hackerne ikke lige angribe os.”
Båååt…forkert!
For at lave et angreb på en virksomhed, så vil hackeren fx. gerne sende en email ud til alle medarbejderne, der fx. får dem til at godkende en Microsoft Office 365 opdatering
Jeg har lavet en hel del af disse angreb, sammen med virksomheders IT-afdeling, og desværre altid med “positivt” resultat, hvor ca. 15-20% af medarbejderne er faldet i fælden og har derefter indtastet deres emailadresse og password.
Så let er det at finde firmaets mailadresser
Man kan altid finde mindst én mailadresse på en ansat i et firma. Enten har de offentliggjort det på LinkedIn, måske i en blog eller på firmaets hjemmeside, som fx kontaktperson for pressen, eller som træner af miniputterne i en fodboldsklub.
Lad mig give et eksempel:
Et temmeligt stort firma i Danmark har gjort meget ud af, at man ikke kan finde en email adresse overhoved på deres hjemmeside! Challenge accepted!
Vi starter på på LinkedIn for at finde en nøgleperson i firmaet. Her finder vi CFO’en, som har et lidt specielt navn. På LinkedIn har denne person ikke opgivet sin email adresse. Det er, som sagt et lidt specielt navn og derved let at google. Nedenfor ser du søgningen på denne streng [“Specielle navn” “@firmanavn.dk”]:
Virksomhedens CFO er træner for et drenge fodboldhold på Fyn og har her benyttet sin firma email adresse!
Nu har vi fundet en email adresse, men meget vigtigere: vi har lært noget om virksomhedens email syntaks. Den er meget klassisk: forbogstaverne i personens navn!
Så er det tilbage på LinkedIn. Nu skal vi blot søge på firmaet ansatte. En hurtig søgning gav navne på 215 personer.
Ovenstående tog os under 5 minutter. Næste del tager lidt længere tid, for nu skal vi have alle disse 215 navne over i Excel, hvor vi, med en simple formel, tager forbogstaverne fra disse navne og sætter dem sammen med firmaet domæne @firnavn.dk. (Dette kunne vi også scripte os til.)
Nu har vi et bud på 215 personer i dette firma, som vi kunne sende en phishing mail til, og mon ikke vi heldige at et par stykker falder i?
Og blot for at imødekomme den skeptiske læser, så Ja, det er måske ikke ALLE medarbejderne i virksomheden, som vi finder. Nogle kunne jo have valgt ikke at være på LinkedIn. Jeg tror at alle nøglepersoner i en virksomhed er i dag på LinkedIn om ikke andet, så kan vi finde ledelsen og bestyrelsen på virk.dk
Mange virksomheder benytter den klassiske syntaks: fornavn.efternavn@firmanavn.dk. Det er blot at prøve sig frem. Fra en fiktiv emailadresse, så sender hackeren en testmail ud fra de oplysninger, som han/hun har fundet på LinkedIn. Svarer firmaets email server tilbage at denne email adresse ikke findes, så er det blot at prøve en anden syntaks.
Nu sidder du sikkert og tænker på din egen emailadresse og over hvor simpelt dette faktisk er.
Så hvordan skal du forholde dig til problematikken?
Konklusionen er, at hackerne let kan samle en liste over de ansatte i virksomheden. Og hvis de har lavet denne lange liste, så kan de i nogle tilfælde endda sælge den ude på Dark Web.
Det er altså ikke nok, at din virksomhed gør alt for at skjule jeres email adresser på hjemmesiden, for som jeg har vist ovenfor, så er det ganske nemt at lave denne liste.
Virksomheden skal have opdateret deres øvrige sikkerhedssystemer! Systemer, der checker for spam, ransomware, malware, phishing, osv.. Installeret 2 faktor authetikering, køre awareness træning, have sikret at ingen medarbejdere benytter firma emailadresserne private steder osv. Det kommer jeg gerne og rådgiver om. Kontakt mig på sama@comm2ig.dk