Ikke alle cyberangreb er komplicerede tekniske mesterværker, udtænkt af kriminelle genier. Faktisk er nogle angreb så enkle, at det er svært at forestille sig, de kan fungere. Men det kan de ikke desto mindre.
Et af disse meget simple tricks handler om at udstyre medarbejdere eller studerende med en gammeldags USB-nøgle og vente på, at vedkommende sætter den i sin computer. Det er således set mange gange, at it-kriminelle har efterladt USB-enheder uden for virksomheder eller universiteter og på den måde har udført phishing-angreb, idet skadelig software er blevet installeret, når USB-stikket er blevet sat i en computer og filer er blevet åbnet.
- Sådanne angreb kan virke som en forældet måde at udføre cyberangreb på, men det er faktisk ikke tilfældet. Det er stadig en meget effektiv og billig metode til at angribe virksomheder og et stort problem, også i Danmark.
- Problemet er, at man ikke ved, om sikkerhedsfunktionerne i computeren beskytter mod denne type angreb. Så det bedste råd er i virkeligheden aldrig at sætte et ukendt USB-stik i sin computer. Som i aldrig nogensinde, siger Philip Törner, Senior Security Consultant IT-sikkerhedsfirmaet Venor.
Han får opbakning af Panasonics nordiske chef, Stefan Lindau, som bekræfter, at brugen af USB-stik i forbindelse med cyberangreb er et velkendt og udbredt problem i Danmark. Han understreger også, at disse såkaldte USB-drop-angreb udnytter helt almindelig menneskeligt adfærd.
- Angrebene udnytter vores naturlige tendens til at ville samle noget op fra jorden, når vi støder på det. Især hvis det repræsenterer en eller anden værdi, eller hvis det er noget, der er muligt at genbruge. Det kan være en mønt, en flaske eller en USB-nøgle. Og ender du med at have en USB-nøgle i lommen, vil den før eller siden vække din nysgerrighed, så du sætter den i computeren for at se, hvad den indeholder. Dermed får hackerne fuld adgang til dine filer og muligvis alle filer, der nogensinde har eksisteret i den virksomhed, du arbejder i, siger Stefan Lindau.
Skræmmende forsøg
I en test i 2022 blev 300 USB-nøgler smidt på jorden uden for et amerikansk universitet. Forsøget endte med, at 98 procent af nøglerne blev samlet op, og at 45 procent blev tilsluttet til en computer. Ifølge Philip Törner ville resultatet sandsynligvis blive det samme i Danmark. Ikke mindst fordi USB-stikkene var mærket ”fortroligt” og ”resultater til eksamensopgaver”, hvilket selvsagt tilskyndede til at stikke næsen i filerne.
- Disse angreb er ekstremt nemme at gennemføre og bliver derfor stadig benyttet i vid udstrækning. Cyberkriminelle udvikler endda nye værktøjer i form af USB-opladerkabler til mobiltelefoner med avancerede skjulte indretninger. I store virksomheder har vi set, at denne type angreb rammer de medarbejdere, der dagligt analyserer sikkerhedshændelser. Vi bør alle være meget mere opmærksomme på USB-nøglen som et muligt problem og træffe de nødvendige foranstaltninger for at beskytte os selv, siger Philip Törner.
De nævnte opladerkabler er designet, så de ligner almindelige kabler, men kan i virkeligheden installere programmer, downloade skadelig software og endda stjæle gemte adgangskoder og sende dem over internettet. De har været kendt siden 2022 og videreudvikles stadig for at blive endnu mere avancerede.