Anteeksi...

Sivua ei ole saatavilla suomeksi

Pysy sivulla | Siirry aiheeseen liittyvälle suomenkieliselle sivulle

24-10-2024 08:47

Marius levde som kriminell hacker, nå beskytter han bedrifter mot sitt "tidligere jeg"

Tenker du at ingen er interessert i å hacke bedriften din? Da bør du tro om igjen. Her er grunnene til at du bør være på vakt og måtene du kan sikre deg og dine ansatte på.
Marius Jordet
Marius Jordet, etisk hacker.


– Bedriftslederen var godt gift og hadde to barn. Så jeg lastet opp et bilde av elskerinnen som bakgrunnsbilde på PC-en hans og sendte en e-post hvor jeg ba om penger, sier Marius.

– Han betalte meg innen et par minutter.

Marius Jordet (36) jobber i dag som etisk hacker og hjelper bedrifter og organisasjoner med å avdekke sikkerhetshull.

Han er blant annet en viktig samarbeidspartner for Nordea i deres informasjonsarbeid.*

Før dette sonet Marius i fengsel for kriminell hacking.

* Samarbeidet med Marius består kun i å dele kompetanse med Nordea. Han får ikke tilgang til kundedata.

Kortversjonen

  • Marius Jordet var tidligere en kriminell hacker som presset bedrifter for penger. Nå jobber han som etisk hacker for å beskytte bedrifter mot lignende trusler.
  • Han mener norske bedrifter er sårbare for hacking, og at 95 prosent av angrepene skyldes menneskelige feil, som phishing.
  • Marius utfører phishing-simuleringer for bedrifter for å lære dem å oppdage tegn på sosial manipulasjon og hacking.
  • Flere av bedriftene han tidligere hacket er nå kunder som han hjelper med å sikre seg mot dataangrep.
Marius Jordet jobber idag som etisk hacker og hjelper bedrifter med å beskytte seg mot kriminell hacking.

Jeg tjente mye bedre som kriminell hacker enn jeg gjør i dag, sier Marius med et smil.

Marius Jordet, etisk hacker


– Jeg begynte å hacke som 13-14-åring. Da jeg ga meg i 2018/19, hadde jeg svindlet opp mot 500 bedrifter. På det meste tjente jeg nok 30.-50.000 kroner i uka.

Pengene tjente Marius både ved å sende ofrene pengekrav og ved å selge sensitiv info, hackede kontoer og liknende.

Etter hvert begynte politiet å få ferten av ham. Da rømte Marius til utlandet.

– Jeg pleide å stå opp ganske sent og spise en god frokost, før jeg satte meg foran PC-en for å finne et passende offer. Helst en bedrift med over 25 ansatte og god økonomi, sier han.

– Så begynte jeg å hacke.

Før du leser videre kan det være lurt å ta en titt i svindelordboken.

Svindelordbok

  • Hacking
    Et teknisk angrep mot en maskin eller tjeneste.
  • Phishing
    Phishing er en form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling for å få tak i sensitiv informasjon som kan misbrukes.
  • Smishing
    Falske SMS-er med mål om å lure ofrene til å laste ned skadelig programvare, gi fra seg sensitiv informasjon eller sende penger til kriminelle.
  • Sosial manipulering
    Psykologiske virkemidler hackere bruker for å påvirke offeret til å utføre handlinger eller oppgi informasjon.
  • Spoofing
    Spoofing er å forfalske avsender av kommunikasjon. Svindlerne gjør dette for å få det til å se ut som at e-posten eller SMS-en er sendt fra en legitim avsender ved å endre avsendernavn eller -nummer.
  • Vishing
    Vishing, eller voice phishing, er en metode hvor de kriminelle forsøker å lure ofrene via telefonsamtaler.

Les mer om ulike former for svindel og hvordan du sikrer deg mot hacking på nordea.no/svindel

Hackere prøver å komme seg på innsiden av et system.

Hva er hacking?

Målet med hacking kan være å ødelegge eller endre informasjon, eller stoppe eller få tilgang til tjenester, som eksempelvis e-postkontoer til ansatte.

– Hackere prøver å komme seg på innsiden av et system, sier Ida Edholm, svindelekspert i Nordea.

– De sender ofte phishing-e-poster hvor de fisker etter informasjon om innlogging eller introduserer filer infisert med en skadevare.

LANG ERFARING: Ida Edholm har jobbet i Nordea i ni år, de tre siste årene med svindel. Hun har i tillegg bakgrunn fra anti-hvitvasking.


Når hackerne har fått det de trenger, kan de enten manipulere e-postkorrespondanse og fakturaer eller introdusere en skadevare som lammer systemet.

Dette gir dem et perfekt utgangspunkt til eksempelvis å kreve løsepenger.

Noe av det viktigste du gjør er å være på vakt for hacking. Se etter tegn i e-poster, SMS-er og liknende. Klarer du å beskytte deg mot 90 prosent av hackerangrepene som kommer, er mye gjort.

Ida Edholm, svindelekspert i Nordea

I følge Marius Jordet skjer 95% av alle vellykkede hackerangrep på grunn av menneskelige feil.


En av de vanligste måtene hackere trenger inn i en bedrift på, er gjennom phishing.

Dette er forsøk på å stjele sensitiv informasjon som brukernavn, passord, kontonumre og lignende, over SMS og e-post.

– Jeg kan lett spoofe e-posten til noen i bedriften. Eksempelvis kan jeg få det til å se ut som e-posten kommer fra Nordea, sier Marius.

Ifølge ham skjer 95 prosent av alle vellykkede hackeangrep på grunn av menneskelige feil.

– Det er et menneske som har trykket på en lenke, gitt fra seg sensitive opplysninger i en telefonsamtale eller liknende.

Med andre ord er det faktisk mulig å forhindre.

Den tidligere kriminelle hackerens beste tips for å unngå å bli hacket er å trene på å gjenkjenne tegnene på at man blir manipulert.

FINN TRE FEIL: 1. Avsender: E-posten er sendt fra nordea.nb2.no. 2. Pålogging: Nordea eller en annen bank ville ikke bedt deg om å bruke en vedlagt lenke til å logge deg inn i nettbanken. 3. HASTVER: Alt som haster veldig, bør du være skeptisk til.

Sosial manipulasjon


En utbredt metode for å stjele personlig informasjon på, kalles social engineering, eller sosial manipulasjon på godt norsk.

– Social engineering er en måte hackere bruker for å manipulere, påvirke eller lure et offer, sier Marius.

En stor del av Nordeas anti-svindelarbeid innebærer å forebygge sosial manipulasjon:

– Vi har stort fokus på å bevisstgjøre våre kunder om de svindelfarene vi ser i forbindelse med sosial manipulasjon og å gi råd til hvordan de kan beskytte seg, sier Ida

SOLID DUO: Ida Edholm i Nordea og etisk hacker Marius Jordet samarbeider tett med forebygging av hacking.

Informasjonen hackerne bruker for å trenge inn i bedriften din kan være nesten hva som helst.

– En dyktig hacker finner ut så mye som mulig om bedriften før selve jobben begynner, sier Marius.

– Hvilke kollegaer som omgås på fritiden, hvem de er venner med på Facebook og liknende. 

Enkelte bedrifter oppgir også sensitiv informasjon i stillingsannonsene sine, eksempelvis hvilke sikkerhetssystemer de bruker.

Alt dette er nyttig informasjon for hackere.

Ida og Marius jobber tett for å være ett skritt foran svindlerne.

Ingen bedrifter er trygge

Det er vanskelig å anslå hvor mange dataangrep som gjennomføres i Norge hvert år, men ifølge Kripos’ rapport Cyberkriminalitet 2024 er omfanget stort.

Marius mener at det i tillegg er mye lettere å hacke nå enn før.

– Da jeg startet med hacking, måtte jeg ta toget i to timer for å lese bøker om temaet på Blindern i Oslo. I dag ligger alt på Internett, sier han.

Ny teknologi gjør i tillegg dataangrepene vanskeligere å avsløre.

– Kunstig intelligens og deep fake-teknologi, som gjør at du kan forfalske videoer og lyd, er på full fart fremover.


– Det er altfor lett å hacke norske bedrifter. Min erfaring er at i Norge har vi en tanke om at ingen er interessert i å hacke oss. Det stemmer ikke.

Marius Jordet, etisk hacker


Men hvilke bedrifter er mest utsatt?

– Ingen bedrifter er trygge for hacking, sier Marius.

– Det finnes alltid noen som er interessert i å komme på innsiden. Dessuten har en del bedriftsledere noe å skjule som kan brukes mot dem.

– Det dummeste du tenker som bedrift er at ingen er interresert i å hacke deg. 

De kriminelle kan for eksempel bruke informasjon fra deg som privatperson til å gå løs på større bedrifter som du er i kontakt med.

Lavthengende frukt bli alltid tatt først, sier Marius Jordet.


I Kripos’ rapport vektlegges også verdien til informasjonen hackerne får tak i: 

– "(...) menden stjålne påloggingsdetaljer og data fra kompromitterte brukerkontoer økte det foregående året på kriminelle arbeidsplasser."

– Hackerne bruker ikke alltid informasjonen de får tak i selv. Den selges ofte videre til andre kriminelle som bruker den i ulike typer svindelforsøk.

Ida Edholm, svindelekspert i Nordea

Min karriere som kriminell hacker er over, nå ønsker jeg å hjelpe norske bedrifter med å beskytte seg mot hacking, sier etisk hacker, Marius Jordet.


Marius Jordets karriere som kriminell hacker er over.

I 2019 sonet han en dom på tre måneder, og etter fengselsoppholdet merket han at nattesøvnen hadde blitt dårligere.

– Jeg startet med hacking fordi det var gøy, men da jeg kom ut av fengsel, begynte jeg rett og slett å få en samvittighet, sier han.

Og angeren førte til handling. I 2019 satte Marius seg ned og skrev navnene på alle bedriftene han hadde hacket.

– Jeg ringte bedriftene, èn etter èn og ba om unnskyldning. 

Ringerunden var stort sett en positiv opplevelse og fikk også noen uante konsekvenser:

– Ironisk nok er flere av bedriftene jeg hacket kunder hos meg i dag.

Helt konkret blir Marius hyret inn som etisk hacker hvor han tester bedrifters evne til å gjenkjenne hackeangrep.

Han sammenligner etisk hacking med en brannøvelse.

– Målet er at bedriften og de ansatte lærer konsekvensene av handlingene sine.

Og skal vi tro Marius, har ikke rushet av et «vellykket» hackeangrep blitt helt borte.

– Det er kanskje fælt å si det. Men når jeg har fått tillatelse til å sende ut phishing-simuleringer til 100 ansatte i en bedrift og 40 av dem gir fra seg passordene sine, blir jeg fortsatt glad, sier han og smiler.

 

– Hackingen min har hatt økonomiske konsekvenser for mange bedrifter. Det er det jeg angrer mest på.

Marius Jordet, etisk hacker

Innsikt
Hvordan er inntrykket ditt av Nordea etter å ha lest denne artikkelen?