Trusselaktører forsøkte å rekruttere Telenor-ansatte

(Fornebu, 3. mars 2022) Flere Telenor-ansatte ble lokket med tusenlapper for å manipulere SIM-kort. Nå advarer Telenor andre virksomheter om å være på vakt mot målrettet rekruttering av innsidere til kriminell aktivitet.

25. januar i fjor tikket det inn en e-post til en ansatt i Telenorbutikken: «Hei, jeg vet at du jobber i Telenor. Vil du tjene mye ekstra penger? Du vil få fullstendig anonyme betalinger via kryptovaluta», lokket «Ahsan» – før han kom til hva han ville ha utført:

«Alt du må gjøre, er å aktivere noen allerede eksisterende Telenor-numre på mitt SIM-kort. Jeg sender over ICCID–koden på SIM-kortet, i tillegg til nummeret jeg vil ha aktivert på det.»

For hvert nummer som blir overført, lover den ukjente mannen 250 amerikanske dollar eller mer i betaling og presiserer at «vi kan gjøre dette så mange ganger du vil daglig».

– Dette var en avsender som visste hva han var ute etter, og som gikk rett på Telenor-ansatte i forsøket på å nå dette målet. Slike målrettede forsøk på rekruttering av innsidere skjer nok dessverre i større omfang i Norge enn vi er klar over, sier senior sikkerhetsanalytiker Thorbjørn Busch i Telenor.

Kan åpne døren for spionasje
Forespørselen om å tukle med SIM-kort mot betaling gikk samtidig ut til flere ansatte i Telenorbutikken og Telenors kundeservice flere steder i Norge.

– Hadde bakmennene fått napp, kunne det fått alvorlige konsekvenser, sier Busch.

Når valget står mellom å bruke avanserte og ressurskrevende angrepsverktøy for å komme seg inn i en bedrifts stadig sikrere IT-systemer, eller å betale en ansatt noen tusenlapper for samme type tilganger eller informasjon, velger trusselaktørene gjerne minste motstands vei.

– Rekruttering av innsidefolk er ikke et ukjent fenomen. De som er utsatt for forsøk på rekruttering, har gjerne god tilgang til systemer trusselaktørene er ute etter, og som av ulike årsaker kan finne på å dele tilganger eller sensitiv informasjon med utenforstående, sier Busch.

Han forklarer hvordan dette videre kunne blitt brukt for å skaffe seg tilgang til offerets kontoer – for eksempel e-post eller kryptolommebøker – ved å nullstille passord eller motta koder for totrinnsverifisering over SMS.

Thorbjørn Busch, senior sikkerhetsanalytiker i Telenor, mener alle virksomheter må ha et helhetlig system for å styrke personellsikkerheten. (Foto: Martin Fjellanger/Telenor)

– Det blir i praksis et ID-tyveri. Her kan skadeomfanget være enormt for offeret og gevinsten tilsvarende stor for svindlerne, sier Busch.

Plukket ut ansatte på LinkedIn
– Dette er også en trussel for bedrifter, der full tilgang på telefonsamtaler og SMS-er til en ansatt kan åpne dørene videre for spionasje, direktørsvindel eller andre typer angrep mot en virksomhet, sier Busch.

Rekrutteringen begynte med at de ansatte fikk en kontaktforespørsel via LinkedIn, der de hadde oppgitt at de jobbet i Telenorbutikken.

Forespørselen kom fra en for dem ukjent person som tilsynelatende også jobbet i Telenor. Invitasjonen ble derfor godkjent uten videre ettertanke.

– Like etter kom SIM-forespørselen til de ansattes private e-postadresse, som bakmennene mest sannsynlig har hentet ut fra LinkedIn. Her er det altså blitt jobbet målrettet og spesifikt, med ett mål for øye: Å skaffe seg noen på innsiden som kan gjøre en jobb for dem, sier Busch.

Etterforsket av Europol
Hvem som sto bak forsøkene på rekruttering, og hva de ønsket å oppnå med de forfalskede SIM-kortene, er fortsatt uvisst.

– Saken ble tatt videre av Europol, da alle spor førte ut av landet. Det er ikke utenkelig at vi snakker om organiserte kriminelle, potensielt med bindinger til statlige aktører. Dette viser hvordan alle ledd i en organisasjon kan være mål i seg selv, samtidig som det å rekruttere ansatte på et «lavt» nivå kan være attraktivt for mange typer trusselaktører, og føre til stor skade for virksomheten, sier Busch.

Ifølge Busch er det en rekke grep man kan ta som leder for å redusere risikoen for innsidetrusler – blant annet å gjennomføre bakgrunnssjekker for nye ansatte, samt å øke bevisstheten rundt sikkerhet og farene for innsidevirksomhet hos alle i virksomheten.

– Men det er også viktig at du som leder er bevisst på hvordan de ansatte har det. Vi vet at enkelte i mer sårbare situasjoner kan være lettere å rekruttere som innsidere, sier Busch.

Flere ansatte i Telenor, deriblant Telenorbutikken, ble forsøkt rekruttert til å manipulere SIM-kort mot betaling. (Foto: August Jorfald/Newslab)

– Har du fornøyde ansatte som har en bevissthet rundt innsidetrusler og samtidig vet hva de skal gjøre om noen forsøker seg på dem, er du allerede langt på vei.

Varslet ledere
Og hvordan gikk det så med de Telenor-ansatte som ble tilbudt penger i bytte mot SIM-svindel?

De varslet umiddelbart sine nærmeste ledere, som kunne varsle resten av organisasjonen og sikkerhetsavdelingen, som etter hvert kunne slå fast at trusselaktørene ikke hadde lyktes med å lure noen utpå.

– Her viste det seg hvor viktig det var at Telenor har rutiner for at nærmeste leder og sikkerhetsavdelingen blir koblet inn umiddelbart ved mistanke om utenforstående trusler – og ikke minst at de ansatte er årvåkne og lojale, sier Busch.

Tiltak mot innsidervirksomhet
• Skap et helhetlig system for å styrke personellsikkerheten. Dette innebærer å vurdere den menneskelige faktoren i alle deler av sikkerhetsarbeidet og innarbeide mulige konsekvenser av innsidetrusler i virksomhetens risikovurdering.

• Ivareta personellsikkerheten før, under og etter ansettelse. Dette innebærer å sikre at risikoreduserende tiltak iverksettes i alle ledd av ansettelsesforholdet, herunder bruk av bakgrunnssjekk.

• Sørg for at virksomheten har tilstrekkelig sikkerhetskompetanse og -ressurser. Dette er nødvendig for å kunne beskytte virksomhetens verdier mot innsiderekruttering, men også for at virksomheten skal settes i stand til å følge opp sårbarheter som oppstår hos ansatte.

• Legg til rette for god sikkerhetskultur. Dette innebærer å gjøre personellsikkerhet til en naturlig del av virksomheten, øke forståelse av sikkerhetsregler og rutiner samt tilrettelegge for oppfølging av ansatte for å avdekke misnøye eller andre forhold.

• Håndter hendelser, evaluer tiltak og lær av erfaringene. Ved sikkerhetsbrudd bør virksomheten identifisere hvilken rolle personen på innsiden har hatt, og virksomheten bør arbeide systematisk for å lære av erfaringer og bruke lærdommen til å forebygge, avdekke og motvirke innsidevirksomhet.

For ytterligere informasjon, vennligst kontakt:

Magnus Line, informasjonssjef i Telenor Norge
Tlf: 415 00 632, magnus.isaksen-line@telenor.no eller ring pressetlf. 800 80 900
Besøk også vårt nyhetsrom og følg oss på Twitter @TelenorN_presse