En liten historie om hvordan en SINTEF-forsker ble forsøkt lurt til å installere malware på sin PC ved hjelp av telefonoppringning.
Mye av forskningen vi driver med her på SINTEF er finansiert gjennom EU sitt forskningsprogram, så jeg var ikke spesielt overrasket da jeg nylig ble oppringt av en person som sa han jobbet for EU-kommisjonen og ville skrive en artikkel om et av prosjektene mine innenfor sikkerhet. Dette skulle publiseres 1. desember, lengde ville være 2-4 sider og bla bla bla. Han ville gjerne vise meg en slik artikkel online, og spurte derfor om jeg kunne taste inn en URL i nettleseren. Jeg sa at det kunne jeg ikke gjøre, men om han sendte meg dette på email kunne jeg se på det (jeg sa vel at “siden du har klart å finne navnet og telefonnummeret mitt, klarer du sikkert også å finne email-adressen”). Neida, det gikk ikke, dokumentet var på over 600 sider og det var for mye å sende på email, bla bla bla, vær så snill og tast inn en URL. Da jeg ikke gikk med på det heller, ble jeg spurt hvorfor, og jeg svarte pga sikkerhet. “I see, good day, sir” og han la på.
Som dere sikkert har skjønt var dette en variant av den klassiske Microsoft support call scam, men synes det var særdeles kreativt at de har laget en EU-kommisjon-vri for oss her på SINTEF. Synes også det var spenstig å ringe til akkurat meg som jobber til daglig med sikkerhet her, men for disse gutta er jo risikoen lik null ettersom et mislykket forsøk ikke vil få noen konsekvenser, så hvorfor ikke?
Personlig tilpasset email-spam blir det jo bare mer og mer av (les om Spam og ham), men jeg vet ikke hvor vanlig det er blitt med slike skreddersydde svindelforsøk over telefon. Strengt talt skal det jo ikke så veldig mye innsats til for å lage en profil på den man ringer til. Et lite søk på meg vil raskt avdekke at jeg er sterkt involvert innenfor EU sin forskningsarena, hvilke prosjekter jeg har, kontaktdata og at publisering av resultater er noe vi gjør mye av. Hvor lang tid trenger noen på å lage en nokså overbevisende historie for deg? I mitt tilfelle var det først og fremst følgende elementer som fikk alarmklokkene til å ringe:
- De ville ha meg til å skrive inn en URL i nettleseren
- Folk fra kommisjonen pleier ikke å ringe fra skjult nummer
- (svak) indisk aksent med mye kontorstøy i bakgrunnen
Send oss gjerne en email eller tweet (@SINTEF_Infosec) dersom du eller din bedrift har vært borti noe lignende, og om hvilke triks som ble forsøkt brukt.