Læsetid 6 min.

Menneskeretsaktivister trues af stadigt mere avancerede phishingkampagner

En række nye sager viser, hvordan målrettede og avancerede phishingangreb udgør en stigende trussel mod menneskeretsaktivister, advokater og journalister i autoritære regimer. Phishingangrebene er både relativt billige, og så er de på trods af flere års advarsler stadig svære at gennemskue
Phishing-metoden, som lokker en person til at klikke på falske links og derved lukke en hacker ind i et it-system, er blevet mere sofistikeret. Det går blandt andet ud over fagforeningsaktivister for migrantarbejdere i Qatar

Phishing-metoden, som lokker en person til at klikke på falske links og derved lukke en hacker ind i et it-system, er blevet mere sofistikeret. Det går blandt andet ud over fagforeningsaktivister for migrantarbejdere i Qatar

Niranjan Shrestha
17. februar 2017

Phishingangreb, hvor en person på mail, sms, Facebook eller et andet lignende medie forsøger at narre dig til at klikke på et link, viste sin effektivitet på højeste niveau ved det amerikanske valg. Det var den metode, som – sandsynligvis – russiske hackere brugte til at komme ind i mailboksen hos den demokratiske kampagneleder, John Podesta, så de efterfølgende kunne lække oplysningerne på nettet.

Nye sager fra blandt andet Qatar og Egypten viser, at phishing-metoderne også bliver stadig mere udbredte og avancerede, når aktivister rundt omkring i verden bliver udsat for digitale angreb.

Alene i februar er det blevet afsløret, hvordan fagforeningsaktivister, der forsøger at forbedre forholdene for migrantarbejdere i Qatar og Nepal, og menneskeretsaktivister i Egypten har været angrebet af målrettede og avancerede phishingkampagner.

Metoden er populær, særligt fordi den er relativt billig og ikke nødvendigvis kræver, at man køber dyre virus til at bryde ind i computere. I stedet går angriberne efter at opsnappe passwords, da der ofte ligger rigeligt kompromitterende materiale om f.eks. kilder, sociale netværk og interne papirer i mailbokse eller i samarbejdssystemer som Google Drive. Samtidig er phishing også relativt risikofrit for myndigheder at bruge, da der sjældent kommer håndfaste beviser på, hvem der står bag angrebene.

Falske identiteter

I en rapport om emnet gennemgår Amnestys sikkerhedsekspert, hvordan en kampagne rettet mod fagforeningsaktivister i Qatar og Nepal kontruerede online-identiteter i jagten på potentielle mål.

Flere aktivister blev i slutningen af 2016 kontaktet af en person ved navn Safeena Malik på sociale medier og e-mail. Safeena Malik var en falsk onlineidentitet med flere års aktive konti på både Facebook, Linkedin og Twitter.

Her fulgte hun en lang række konti, der var aktive i kampen for arbejderrettigheder i Qatar og foregav selv at være engageret i problemstillingen. Udenlandske migrantarbejdere fra særligt Asien arbejder i Qatar ofte under elendige arbejdsforhold og særligt omkring Qatars værtsskab for VM i fodbold i 2022 har der været flere kampagner for bedre rettigheder og med kritik af regimets behandling af arbejderne.

Safeena Malik tog kontakt til aktivisterne, ofte med reference til folk de kendte, og gav udtryk for, at hun var involveret i forskelligt arbejde beslægtet med deres. Derefter forsøgte hun at få dem til at klikke på arbejdsrelaterede links til dokumenter i samarbejdsværktøjet Google Drive, for at give feedback på en præsentation eller en tekst.

Ofte forsøger den slags phishing at få målet til at klikke på en særskilt side, der indeholder virus, men de er nemme at gennemskue og chancen for, at man klikker på en fil, der ligger et umiddelbart troværdigt sted som Google, må siges at være større.

Det var dog en falsk Google-side, som Safeena Maliks mål blev mødt af, men der var gjort et ret omfattende arbejde for at få den til at se ægte ud. For hver enkel aktivists tilfælde var der blevet lavet en falsk loginside med personens profilbillede og e-mail allerede tastet ind, så det fuldstændigt lignede den side, man normalt møder, hvis man tidligere har været logget ind på Google fra den computer og vil logge ind igen.

Det eneste umiddelbare sted man kunne se, at den var falsk, var hvis man så nærmere på webadressen i browseren. Særligt udspekuleret var det, at den falske Google-side, efter at en aktivist havde indtastet sit password, sendte personen videre til et ægte dokument i Google Drive. På den måde var det svært for målene at gennemskue, at de havde indtastet deres login-informationer på en falsk side, når nu de endte med at komme det rigtige sted hen.

Ifølge Dennis Hansen, der er konsulent for Dansk Brand- og sikringsteknisk Institut, og som arbejder med den offensive del af cybersikkerhed, er succesraten meget høj, hvis man gør sit forarbejde som i eksemplet fra Qatar.

»Eksemplet er spear-phishing, der har til formål at aflure bestemte brugeres logingoplysninger, men det er på et niveau, som man må antage er støttet af en stat. Simpelthen fordi at når man skal opretholde sådan nogle falske online identiteter igennem længere tid, så kræver det vedholdenhed og ressourcer for, at det skal virke troværdigt. Det er ikke bare noget, man lige gør,« siger han.

Blandt målene for denne kampagne var blandt andet ansatte hos den internationale fagforeningssammenslutning ITUC, som allerede i januar 2016 offentligt fortalte om, at deres emails var blevet hacket og siden brugt til at sprede falsk information.

I december 2016 afslørede Amnesty også, at en falsk NGO ved navn Voiceless Victims igennem over et år havde været aktiv på området for faglige rettigheder i Qatar. Da Amnesty tjekkede organisationen nærmere efter, viste det sig at både medarbejdere og selve organisationen ikke eksisterede, og at det arbejde, den påstod at udføre, bare var tomme kampagner på sociale medier.

Til gengæld havde organisationen blandt andet søgt kontakt til migrantarbejdere og forsøgt via distribution af links at udtrække informationer fra medarbejdere hos Amnesty, om hvilken software og computere de brugte – noget der er en klassisk forberedelse, inden egentlige cyberangreb bliver foretaget.

Selvom metoderne altså peger på en statsaktør, og selve målene peger i retning af at bagmændende for kampagnen skal findes i nærheden af Qatars regering, benægter de at være involverede.

»For at gøre det fuldstændigt klart: Qatars regering sponserer ikke falske NGO'er eller falske Google Hangouts, og vi er ikke interesserede i at læse Amnestys interne emails. Vi anser den slags aktivititer som uetiske og vil se dem som en klar overtrædelse af vores regerings principper og værdier,« skriver de som svar på Amnestys henvendelse.

Falsk arrestordre

Også i en nyligt afdækket sag fra Egypten er der klare tegn på, at det er en gruppe med tilknytning til regeringen, som står bag angrebene, men også her uden at der er et klart bevis.

Egypten har i de senere år ført en hård kurs over for regimets kritikere, og flere organisationer har været udsat for rejseforbud, retssager og anholdelser. Som led i deres arbejde fulgte menneskerettighedsorganisationerne tæt med i alt, hvad der omhandlede repressionen, og det blev udnyttet til at foretage digitale infiltrationsforsøg mod grupperne.

Flere NGO’er blev mistænksomme og kontaktede forskere på Citizen Lab, der er tilknyttet University of Toronto, som fandt flere eksempler på angribere, der kontaktede NGO’erne med information om falske offentlige møder eller kampagner relateret til repressionskampagnen.

I et af tilfældende brugte de endda arrestationen af den kendte egyptiske advokat og direktør for Center for Women’s Legal Assistance Azza Soliman som anledning til angreb. Mens hun stadig sad til afhøring få timer efter sin anholdelse, fik nogle af hendes samarbejdspartnere et link til en arrestordre, i hvad der så ud til at være Dropbox, men reelt var et falsk website, der prøvede at aflure deres adgangskode.
 

Smart nok bliver en krisesituation med retssager, underskriftsindsamlinger og protester som aktivisterne forsøger at kæmpe imod, altså udnyttet til at foretage yderligere angreb og trænge dybere ind i deres organisation.

Ifølge Dennis Hansen er statsstøttede cyberangreb sværere at beskytte sig mod end traditionelle cyberkriminelle, som f.eks. virksomheder rammes af. For det første fordi de har større ressourcer og kompetencer, og for det andet fordi indtrængerne ofte vil have til formål at spionere frem for at forstyrre, så snart de er inde i organisationen:  

»Statstøttet cyberspionage handler ikke om at ødelægge data eller om at få en økonomisk gevinst - det handler om at overvåge organisationer, aktører og deres aktiviteter. Det kan f.eks. være i forhold til at identificere bestemte aktører; systemkritikere, journalister eller deres kilder. Derfor bliver en organisation ofte ikke konfronteret med det, selvom den er blevet kompromitteret. Typisk kan der gå flere år, før de opdager det - hvis de opdager det,« siger Dennis Hansen.

»Statssponserede aktører er jo interesseret i at bevare deres tilstedeværelse på et netværk, så de kan blive ved med at monitorere, hvordan tingene udvikler sig, eller om der kommer nye aktører i spil.«

Bliv opdateret med nyt om disse emner

Prøv en gratis måned med uafhængig kvalitetsjournalistik

Klik her

Allerede abonnent? Log ind her

Anbefalinger

  • Brugerbillede for Mette Poulsen
    Mette Poulsen
  • Brugerbillede for Benno Hansen
    Benno Hansen
Mette Poulsen og Benno Hansen anbefalede denne artikel

Kommentarer

Der er ingen kommentarer endnu