”Otte års arbejde ryger ud ad vinduet. Det samme gør vores næsten 9.000 følgere.”
”Vi har kunnet mærke på vores nye profil, at marketingen har stået væsentligt mere stille end først antaget. Det er en langtidsinvestering, der ryger i svinget.”
Ledere fra fire danske SMV’er fortæller nu om, hvordan de og deres virksomheder blev presset helt ud i tovene af cyberkriminelle. Alle fire virksomheder fik på forskellig vis hacket deres sociale medie-profiler, som spillede markante roller i markedsføring og direkte salg af varer.
For virksomheder er vigtigheden af sociale medier i dag svær at underspille. Tal fra Danmarks Statistik viser, at tre ud af fire danske virksomheder er til stede på sociale medier. Det er et direkte mødested for virksomheder og kunder, og med en fysisk nedlukning under Coronapandemien har det for mange virksomheder, fx Banana Cph , været den eneste måde at bevare relationerne til kunderne.
Værdien af Instagram, LinkedIn og Facebook har dog også en slagside for virksomheder, advarer Jens Myrup Pedersen, der forsker i cybersikkerhed ved Aalborg Universitet.
”Mange virksomheder lægger meget værdi ét sted, når de bruger sociale medier. Følgerne kan være hele forretningen, så hvis de mister deres konto, så mister de hele forretningsgrundlaget,” siger Jens Myrup Pedersen.
Et spørgsmål om risiko
Den virkelighed er en lang række virksomheder i fare for at ende i. Hele 44 procent af de danske SMV’er har således et sikkerhedsniveau, der er lavere, end de bør have i forhold til deres risikoprofil.
Og det kan skyldes særligt to forhold, vurderer Jens Myrup Pedersen.
”Generelt har vi mennesker tendens til at undervurdere risikoen for, at det går galt. Samtidig er mange SMV’er nødt til benhårdt at prioritere deres ressourcer. Så her er der fare for, at man tænker: It-sikkerhed er noget vi skal kigge på i morgen. Men det tænker vi også i morgen og dagen efter, og så bliver der aldrig taget hånd om det,” siger han.
Helt generelt er der ifølge Jens Myrup Pedersen behov for, at virksomhedsledere til at starte med forholder sig til risici . At man bliver klog på, hvor man er sårbar, og hvilke risici man løber, fx om ens følgere på Instagram udgør samtlige kunder, eller om man er afhængig af et digitalt bookingsystem, som en underleverandør er ansvarlig for. Det er dog vigtigt at være opmærksom på ”blinde vinkler” i form af risici man ikke kender eller forstår, fx hvor svært det kan være at få en mistet konto tilbage. Derfor kan det også være en god idé at få ekstern bistand.
”Når du først har styr på risici, så er det meget nemmere at sætte ind og beskytte sig,” siger han.
Hackernes tre mål
Cyberangreb i al almindelighed kan se meget forskellige ud, og det gælder også for angreb målrettet sociale medier. Alligevel har bagmændene typisk tre målsætninger, vurderer Jens Myrup Pedersen.
Første angreb går ud på, at bagmændene tager kontrol med offerets konto og kræver en løsesum for at frigive kontoen – en form for ransomware-angreb . Her er det værdien af følgerne, indholdet og data, der gør, at offeret er villig til at betale løsesummen.
Derudover kan der være angreb, hvor bagmændene får kontrol med profilen og bruger den som led i et andet angreb. De kan igangsætte annoncekampagner, hvor de leder ind til en falsk hjemmeside, hvor de forsøger at få offeret til at afgive personlige oplysninger.
Den tredje årsag handler om, at de aflurer oplysninger fra sociale medie-profiler, der kan bruges til andre cyberangreb. De kan fx finde på at række direkte ud til brugere i forsøget på at aflure personlige oplysninger, eksempelvis ved at udgive sig som headhunter eller offentlig instans. Samtidig er der mange af os, der deler personlige oplysninger på eget initiativ, og de kan i nogle tilfælde udnyttes:
”Sikkerhedsspørgsmål til at nulstille en adgangskode kan handle om, hvad ens førstefødte eller kæledyr hedder. Det er oplysninger, nogle selv vælger at dele på sociale medier og dermed bliver sårbare,” siger Jens Myrup Pedersen.
Nemt trick sikrer mod udbredt angreb
Ofte går cyberkriminelle knap så målrettet til værks, når det handler om at aflure loginoplysninger.
I stedet indsamler de loginoplysninger gennem bredt udsendte phishing-mails , hvor offeret bliver ansporet til selv at oplyse sine data. Derudover skaffer loginoplysninger fra nogle af de store læk af brugerdata, der indtræffer med jævne mellemrum.
Derefter prøver de sig frem i forhold til, om nogle af de lækkede brugerdata dur til andre tjenester. Og da mange stadig genbruger koder på tværs af tjenester, så er fremgangsmåden virksom.
Heldigvis er der et modtræk, som ifølge Jens Myrup Pedersen kan dæmme op for stort set alle af denne type angreb.
”Tofaktorgodkendelse kan sætte en stopper for langt de fleste af de her angreb, fordi det kræver en ekstra komponent, fx en midlertidig kode i en sms, at logge ind,” siger han og uddyber:
”Det er en lavthængende frugt, og hvis man samtidig bruger forskellige koder på tværs af tjenester og en password-manager, så kommer man langt. Det kræver ikke den store indsats – heller ikke for små og mindre virksomheder.”