Anne C. Olsen 
Flere Telenor-ansatte ble lokket med tusenlapper for å manipulere SIM-kort. Nå advarer Telenor andre virksomheter om å være på vakt mot målrettet rekruttering av innsidere til kriminell aktivitet.
25. januar i fjor tikket det inn en e-post til en ansatt i Telenorbutikken: «Hei, jeg vet at du jobber i Telenor. Vil du tjene mye ekstra penger? Du vil få fullstendig anonyme betalinger via kryptovaluta», lokket «Ahsan» – før han kom til hva han ville ha utført:
«Alt du må gjøre, er å aktivere noen allerede eksisterende Telenor-numre på mitt SIM-kort. Jeg sender over ICCID–koden på SIM-kortet, i tillegg til nummeret jeg vil ha aktivert på det.»
For hvert nummer som blir overført, lover den ukjente mannen 250 amerikanske dollar eller mer i betaling og presiserer at «vi kan gjøre dette så mange ganger du vil daglig».
– Dette var en avsender som visste hva han var ute etter, og som gikk rett på Telenor-ansatte i forsøket på å nå dette målet. Slike målrettede forsøk på rekruttering av innsidere skjer nok dessverre i større omfang i Norge enn vi er klar over, sier senior sikkerhetsanalytiker Thorbjørn Busch i Telenor.
Kan åpne døren for spionasje
Forespørselen om å tukle med SIM-kort mot betaling gikk samtidig ut til flere ansatte i Telenorbutikken og Telenors kundeservice flere steder i Norge.
– Hadde bakmennene fått napp, kunne det fått alvorlige konsekvenser, sier Busch.
Når valget står mellom å bruke avanserte og ressurskrevende angrepsverktøy for å komme seg inn i en bedrifts stadig sikrere IT-systemer, eller å betale en ansatt noen tusenlapper for samme type tilganger eller informasjon, velger trusselaktørene gjerne minste motstands vei.
– Rekruttering av innsidefolk er ikke et ukjent fenomen. De som er utsatt for forsøk på rekruttering, har gjerne god tilgang til systemer trusselaktørene er ute etter, og som av ulike årsaker kan finne på å dele tilganger eller sensitiv informasjon med utenforstående, sier Busch.
Han forklarer hvordan dette videre kunne blitt brukt for å skaffe seg tilgang til offerets kontoer – for eksempel e-post eller kryptolommebøker – ved å nullstille passord eller motta koder for totrinnsverifisering over SMS.
– Det blir i praksis et ID-tyveri. Her kan skadeomfanget være enormt for offeret og gevinsten tilsvarende stor for svindlerne, sier Busch.
Plukket ut ansatte på LinkedIn
– Dette er også en trussel for bedrifter, der full tilgang på telefonsamtaler og SMS-er til en ansatt kan åpne dørene videre for spionasje, direktørsvindel eller andre typer angrep mot en virksomhet, sier Busch.
Rekrutteringen begynte med at de ansatte fikk en kontaktforespørsel via LinkedIn, der de hadde oppgitt at de jobbet i Telenorbutikken.
Forespørselen kom fra en for dem ukjent person som tilsynelatende også jobbet i Telenor. Invitasjonen ble derfor godkjent uten videre ettertanke.
– Like etter kom SIM-forespørselen til de ansattes private e-postadresse, som bakmennene mest sannsynlig har hentet ut fra LinkedIn. Her er det altså blitt jobbet målrettet og spesifikt, med ett mål for øye: Å skaffe seg noen på innsiden som kan gjøre en jobb for dem, sier Busch.
Etterforsket av Europol
Hvem som sto bak forsøkene på rekruttering, og hva de ønsket å oppnå med de forfalskede SIM-kortene, er fortsatt uvisst.
– Saken ble tatt videre av Europol, da alle spor førte ut av landet. Det er ikke utenkelig at vi snakker om organiserte kriminelle, potensielt med bindinger til statlige aktører. Dette viser hvordan alle ledd i en organisasjon kan være mål i seg selv, samtidig som det å rekruttere ansatte på et «lavt» nivå kan være attraktivt for mange typer trusselaktører, og føre til stor skade for virksomheten, sier Busch.
Ifølge Busch er det en rekke grep man kan ta som leder for å redusere risikoen for innsidetrusler – blant annet å gjennomføre bakgrunnssjekker for nye ansatte, samt å øke bevisstheten rundt sikkerhet og farene for innsidevirksomhet hos alle i virksomheten.
– Men det er også viktig at du som leder er bevisst på hvordan de ansatte har det. Vi vet at enkelte i mer sårbare situasjoner kan være lettere å rekruttere som innsidere, sier Busch.
– Har du fornøyde ansatte som har en bevissthet rundt innsidetrusler og samtidig vet hva de skal gjøre om noen forsøker seg på dem, er du allerede langt på vei, legger han til.
Varslet ledere
Og hvordan gikk det så med de Telenor-ansatte som ble tilbudt penger i bytte mot SIM-svindel?
De varslet umiddelbart sine nærmeste ledere, som kunne varsle resten av organisasjonen og sikkerhetsavdelingen, som etter hvert kunne slå fast at trusselaktørene ikke hadde lyktes med å lure noen utpå.
– Her viste det seg hvor viktig det var at Telenor har rutiner for at nærmeste leder og sikkerhetsavdelingen blir koblet inn umiddelbart ved mistanke om utenforstående trusler – og ikke minst at de ansatte er årvåkne og lojale, sier Busch.