Lights

Case studies

Alla case studies som presenteras på hemsidan är ”tvättade” för att varken företag eller individ ska gå att identifiera. Vissa detaljer i händelseförloppet har ändrats av samma skäl. Syftet med berättelserna är att visa på komplexiteten i olika utredningar och att den ena incidenten sällan är den andra lik, men gemensamt för dem är att det faktiskt går att genomföra åtgärder för att förhindra eller åtminstone minimera skadorna. Oavsett om de är ekonomiska eller personella.

Cyberattack

Phishingattacker är tyvärr inget ovanligt. Ofta är de inte riktade mot någon speciell verksamhet utan skickas ut på bred front för att samla lösenord eller kontokortsuppgifter.

När min uppdragsgivare råkade ut för fenomenet tolkade IT-avdelningen det som en mindre allvarlig incident. Någon rapporterade in det och så plockade man bort mailet som nått en handfull medarbetare samtidigt som avsändaren spärrades. Men själva upplägget, som var ganska välgjort, fick mig att undra. Kanske var det inte så ofarligt trots allt?

Mailet verkade komma från en medarbetare men adressen var spoofad, det vill säga fejk. Rubriken och innehållet i mailet var relevant och hänvisade till interna möten som genomförts tidigare. Den bifogade länken verkade leda till anteckningar från just det mötet. Men länken ledde, som ni säkert redan gissat, till en infekterad hemsida och de mottagare som valde att klicka på den fick trojaner installerade i sina datorer.

Tänk om man inte alls hade skickat bara fem mail. Tänk om det fanns fler mottagare av liknande mail – lika skickligt gjorda.

Den berömda magkänslan sa att det kunde vara mycket värre. IT-avdelningen fick i uppdrag att leta efter liknande upplägg på mailservern och hittade sammanlagt hundra drabbade medarbetare. Hundra personer… Hur många av dem hade klickat på länken? Hur många av företagets datorer var infekterade? Och hur långt in i IT-systemen hade angriparen lyckats ta sig innan datorerna stängdes ner och strömförsörjningen bröts?

En större utredning påbörjades. Det kunde konstateras att samtliga mottagare arbetade inom företagets mest kritiska verksamhet och det var allt annat än en slump att dessa personer drabbades – något som indikerade att en omfattande kartläggning av verksamheten och individerna hade föregått själv attacken. Trots att flera datorer hade infekterats hade man lyckats stoppa en för företaget smärre katastrof.

Som utredare måste man orka vara ”jobbig” och stå på sig. Framförallt måste man våga lyssna på sinn magkänsla – som egentligen är ett annat ord för erfarenhet.

Stalker

En kvinna på ett företag i mediabranschen stalkas under ett par år av en man som skickar henne tusentals sms och även lämnar kommentarer i hennes sociala medier. Tonen är hatisk och kränkande och kvinnan upplever det som mycket obehagligt.

I hans ögon är allt hennes fel, alla misslyckanden och besvikelser i hans liv beror på henne. Situationen påverkar hennes jobb såväl som hennes privatliv och hon mår mycket dåligt. Hon har försökt få honom att sluta, provat allt! – utan resultat. Så småningom börjar han även att kontakta hennes chefer och olika myndigheter. Sändlistorna blir längre och längre och innefattar såväl polisen, domstolar, justitiekansler och FN. Men i stormens öga finns hela tiden kvinnan, som är målet för allt hans hat.

När hennes arbetsgivare ber om hjälp har ärendet eskalerat till en nivå där personer upplever sig hotade och rädda. Det kommer att bli en utredning som tar mycket energi från alla inblandade. En person med ett rättshaveristiskt beteende, som i det här fallet, är ofta väldigt intensiv och ger inte upp. Hen är oresonlig och logiskt resonemang eller en konfrontation fungerar sällan eller aldrig.

Trots att det numera finns en lag mot stalking, eller olaga förföljelse, är det inte självklart att den här typen av ärenden prioriteras. Som en polis involverad i ärendet uttryckte det;

”Vi har ett antal ouppklarade grova våldtäkter, misshandelsfall och mord att hantera – vi måste prioritera.”

Det är helt förståeligt, men ingen tröst för min klient.

Så hur gick det?

För att göra en lång historia kort och för att inte avslöja för mycket då förundersökningssekretess råder kan vi ändå konstatera att det är lugnt nu. Kvinnan behöver inte längre må illa av sms-signalen eller oroa sig för hatiska kommentarer på sociala medier. Hon vågar gå ut utan att se sig om över axeln. Idag är det polis och åklagare som hanterar ärendet och tack vare en tuff kvinna och hennes vägran att acceptera den situation som hon helt oförskyllt hamnat i, en intensiv utredning och en arbetsgivare som förstod sitt arbetsgivaransvar kan det här ärendet – förhoppningsvis – anses vara avslutat.

Hotbild

En kvinna anställd vid en svensk myndighet hade via en dejtingsajt träffat en snygg och intressant man.

Men ganska snart började hon få dåliga vibbar då hans återkommande prat om döden och hur det skulle kännas att döda en annan människa skrämde henne. Flera gånger försökte hon avsluta relationen men mannen vägrade att acceptera det och började hota med att hon aldrig skulle bli av med honom. Endera dagen skulle han dyka upp igen men han sa inte när, bara att hon skulle märka det. Kvinnan fortsatte arbeta men såg sig över axeln på väg till och från jobbet och hon gick inte ut på lunch. Hon flyttade hem till en släkting och vågade inte längre vara aktiv på sociala medier.

Kvinnans arbetsplats tog problemet på största allvar och erbjöd henne stöd via mig. Många gånger är ett debriefingsamtal det som den drabbade behöver bäst. Någon som lyssnar utan att döma och som tar ens oro på allvar, samtidigt som man kan vara saklig och inte ”fara iväg”. Samtalet syftar naturligtvis också till att få fram så mycket information som möjligt för att kunna bedöma hotbild och komma med lämpliga rekommendationer och eventuella säkerhetshöjande åtgärder.

Ibland är situationen inte så allvarlig som man först kan tro, men i det här fallet kände jag mig mycket oroad. Jag kontaktade en professor i kriminologi, expert på att bedöma människors psyke och riskbeteenden och gav honom alla fakta. När även han blev väldigt oroad insåg jag att det här var ett sådant ärende som skulle kunna sluta mycket illa. Tillsammans tog vi fram tydliga rekommendationer för vad kvinnan skulle göra och framförallt inte göra. Vissa saker känns självklara som utomstående, speciellt om du har utbildning och erfarenhet av liknande fall, men för den som är drabbad är det inte alltid så självklart. Man överväger kanske att gå med på att träffa honom en sista gång – så kanske man får vara ifred sedan. Men om man går med på det med en person som i det här fallet finns det en reell risk att det är det sista man gör. Så allvarligt bedömde professorn situationen.

Utan att gå in på för många detaljer kan jag i alla fall berätta att det gick bra för kvinnan. Hon förstod allvaret och gick aldrig med på att träffa honom ”en sista gång”. Och nu bor hon utomlands. Det går naturligtvis inte att med säkerhet säga att han aldrig söker upp henne, men det troliga är att han istället – tyvärr - hittar någon ny kvinna via dejtingsajten.

Övervakning

Ett stort internationellt företag planerade att förlägga en konferens på sitt östeuropakontor. Känslig och affärsstrategisk information skulle avhandlas och flera höga chefer flögs in. Baserat på tidigare incidenter bedömde man att det fanns en risk att någon konkurrent skulle försöka avlyssna lokalerna, som därför sveptes – men ingen dold avlyssningsutrustning hittades.

Min roll som säkerhetskoordinator var att finnas i närheten för att upptäcka eventuell verksamhet runt deltagarna ”för säkerhets skull”. Att på egen hand upptäcka övervakning är svårt, men inte omöjligt.

Ganska snart efter incheckning på hotellet noterade jag en man som verkade ha obegränsat med tid att slå ihjäl. Så fortsatte det under hela vistelsen – och alltid i vår närhet. När gruppen befann sig i lobbyn var han där. Tog de en drink i baren eller åt frukost i matsalen var han också där. Alltid lite för nära.

Den första kvällen lämnade hela gruppen hotellet för en middag på stan. Endast ett fåtal av deltagarna bar på datorväska eller portfölj. Men nästa dag, när det var dags för möten på kontoret, hade alla en laptop eller mappar med känsliga dokument. Saker som alltså måste ha legat kvar på tomma hotellrum under middagen.

Satt i det sammanhanget blev mannen på hotellet ett potentiellt större problem än om han bara tjuvlyssnat på konversationerna i baren. Men vem var han?

Jag vände mig till dem som borde veta, nämligen receptionspersonalen. Med klassisk social engineering fick jag fram tillräckligt mycket information för att med hjälp av öppna källor kunna identifiera mannen som en före detta polis med direkta kopplingar till en mycket aggressiv konkurrent. Var det bara en slump att han befann sig där just då? Kanske.

Men hur gärna man än söker naturliga förklaringar går det inte att utesluta att han var där på grund av den pågående konferensen och att han i så fall sannolikt inte arbetade ensam. En möjlig teori är att hans jobb var att hålla koll på när deltagarna lämnade hotellet och informera någon annan om när det var fritt fram att ta sig in på hotellrummen - för att sedan varna när det var dags att ta sig ut igen. Med tanke på hur mycket känslig information som lämnades kvar där den första kvällen hoppas jag att jag har fel. Men jag tror tyvärr inte det.


| Det finns inga tekniska lösningar som inte har sårbarheter och den största sårbarheten är människan |