Norge

Hackerangrep mot søkere til UDs aspirantkurs. Kan misbrukes av fremmede makter, mener professor.

Hackere har fått tilgang til søkerlistene til UDs aspirantkurs: – Søknadene inneholder enormt detaljert informasjon om livene deres, som kan brukes til identitetstyveri, sier professor Audun Jøseng.

I fjor søkte rundt 500 personer opptaket til UDs aspirantkurs. I år er flere av søkerne blitt utsatt for dataangrep. Foto: Audun Braastad / NTB scanpix

  • Morten Schwencke
    Morten Schwencke
    Journalist i Aftenposten

Søkere til aspirantkurset til utenrikstjenesten er blitt utsatt for et svært forseggjort dataangrep.

Flere hundre søker kurset hvert år. Rundt 20 av dem får delta i et treårig program, som ender med jobb i Utenriksdepartementet (UD). Informasjonen om søkerne er hemmelig, men i år har uvedkommende fått tilgang på den.

Flere av årets søkere fikk en falsk e-post i midten av januar, rundt den tiden da søknadsfristen gikk ut. Dette skjedde i minst to omganger. Det fremsto som at avsenderen var søknadsportalen Jobbnorge, som brukes av alle departementene.

– E-posten var adressert til meg og så helt lik ut som de ekte e-postene fra Jobbnorge, sier en av søkerne, som ønsker å være anonym.

Denne formen for dataangrep kalles phishing. Søkerne ble bedt om å bekrefte tidspunkt for intervju på en falsk nettside, som lignet mye på Jobbnorge sin. Der skulle de logge inn med BankID.

Bildene under viser en ekte og en falsk e-post fra Jobbnorge:

  1. Slik ser en av de falske e-postene ut.

  2. Slik ser en ekte e-post fra Jobbnorge ut.

«Det kan virke som at svindlerne har hatt økonomiske hensikter», skriver Jan Solhaug i en e-post til Aftenposten.

Han er administrerende direktør i Jobbnorge AS og forteller at bankkontoen til minst en jobbsøker er blitt forsøkt trukket. Vedkommende hadde klikket på lenkene og avgitt informasjon.

«Jobbnorge har oversikt over omfanget og har på bakgrunn av gjennomførte tiltak kontroll på situasjonen.» skriver han.

Kan brukes til identitetstyveri

Solhaug forteller at saken er politianmeldt. Derfor vil han ikke gå ut med flere detaljer om angrepet. UD har ikke svart Aftenposten på spørsmål om hvem angriperne kan være og hvilke motiver de kan ha hatt.

– Nå er saken til politietterforskning og vi vil avvente den for å få klargjort hvem som står bak, skriver Måseide i en e-post til Aftenposten.

Hun skriver videre at alle søkere på ledige stillinger i UD er varslet om hendelsen «av forsiktighetshensyn».

Basert på den informasjonen man nå har, mener også Audun Jøsang at et økonomisk motiv er sannsynlig. Han er professor på Universitetet i Oslo og en av landets fremste eksperter på digital sikkerhet.

Samtidig kan informasjonen fra søknadsportalen bli verdifull for fiendtlige etterretningstjenester, mener Jøsang.

– Søknadene inneholder enormt detaljert informasjon om livene deres, som kan brukes til identitetstyveri og sosial manipulering. Særlig hvis man ser noen år frem i tid. Da har noen av søkerne vært gjennom aspirantkurset og begynner kanskje å gjøre karriere i UD. Da kan angriperne slå til.

Fremmede makter kan være interessert i å hente slik informasjon selv eller kjøpe den fra andre, forteller Jøsang.

I oktober sa utenriksminister Ine Eriksen Søreide (H) at Russland sto bak angrepet på Stortinget. Det skjedde etter en samlet og entydig vurdering fra både Etterretningstjenesten, Politiets sikkerhetstjeneste (PST), Kripos og Nasjonal sikkerhetsmyndighet (NSM). Foto: Ørn E. Borgen

Dette kan ha skjedd

I august ble det kjent at Stortinget var blitt utsatt for et omfattende dataangrep. Senere har regjeringen slått fast at det var Russland som angrep. E-poster, kontonumre, personnumre, bankinformasjon og andre personopplysninger fra ansatte og stortingspolitikere ble stjålet.

De som blir tatt opp som UD-aspiranter får tilgang på sensitiv informasjon og må ha sikkerhetsklarering. UD svarer nå ikke på spørsmål om Russland står bak angrepet mot søkerne. Nasjonal sikkerhetsmyndighet (NSM) opplyser at de ikke er involvert i håndteringen av denne saken.

Når Audun Jøsang analyserer angrep som dette, forsøker han å tenke som en hacker. Han beskriver hvordan dette angrepet typisk kan ha skjedd:

Angriperen kan ha fått tilgang til aspirantenes søknader ved å hacke én ansatt i UD, som behandler søknadene. En måte å gjøre det på kan være å sende en phishing-e-post der man ber mottageren om å oppdatere et passord.

– Hvis bare én naiv og godtroende ansatt lar seg lure, vil angriperne kunne logge seg inn på Jobbnorge. Der finner de en pågående ansettelsesprosess og bruker den som bakgrunn for å angripe søkerne slik at de ikke fatter mistanke.

Slike angrep skjer hver dag mot ulike mål. Men Jøsang tror dette oppleves som mer alvorlig når det skjer hos en viktig og respektert aktør som UD.

– Statlige etater er dessverre ikke noe bedre på dette enn andre.

Audun Jøsang er en av landets fremste eksperter på IT-sikkerhet. Foto: Universitetet i Oslo

Slik unngår man angrep

– Det er viktig at vi forstår konsekvensene av at bare én konto blir hacket. Den kan brukes som springbrett til å lage ekstremt potente angrep mot mange flere ofre, sier Jøsang.

Hvor mange som virkelig blir lurt, avhenger blant annet av svindel-nettsiden e-posten leder til. Noen ganger er slike svindel-nettsider ekstremt godt laget og svært troverdige. Hvis i tillegg konteksten rundt e-postene stemmer, som i dette tilfellet med jobbsøknader, kan så mye som to av tre bli lurt, forteller Jøsang.

– Så hvordan unngår vi dette? Jo, tilgang til sensitive systemer slik som Jobbnorge, må beskyttes gjennom tofaktor-autentisering. Det vil øke vanskelighetsgraden for hackere betraktelig.

Med tofaktor-autentisering logger man på i to trinn: Først gjennom et passord og deretter gjennom et annet verktøy, for eksempel telefonen.

– Kanskje enda viktigere er god sikkerhetsbevissthet og sikkerhetskultur hos ansatte og i befolkningen generelt, for da lar vi oss ikke lure så lett, sier Jøsang.

I Norge jobber blant annet Datatilsynet med å bedre personvernet til den enkelte. Nå skal Datatilsynet se på hva som har skjedd i angrepet mot søkerne, forteller kommunikasjonsrådgiver Anders Ballangrud.

– Vi skal blant annet se på avvikets omfang, hva slags type personopplysninger det er snakk om, alvorlighetsgrad og hvilke tiltak som ble iverksatt for å begrense avviket, sier han.

Les mer om

  1. phishing
  2. Dataangrep

Flere artikler

  1. KULTUR
    Publisert:

    Ni teknonyheter vi venter i 2021

  2. NORGE
    Publisert:

    Sikkerhetstjenestene presenterer ny trusselvurdering

  3. NORGE
    Publisert:

    Fagforeningsleder oppgitt over sanitære forhold

  4. NORGE
    Publisert:

    Undersøkelse ble lagt ned: Færre oppdaget kreft i fjor.

  5. NORGE
    Publisert:

    37 nye tilfeller av mutantvirus i Helse Bergen

  6. NORGE
    Publisert:

    Bare kjøp av EU-kvoter kan redde Sps klimapolitikk, mener SV