Trængte ind i bank forklædt som julemand

Man skal ikke kun være en teknisk god hacker, hvis man skal forcere sikkerheds- barriererne i en virksomhed. Man skal også kunne bluffe, forstå forretningsgange og etablere kontakter i virksomheden, der uforvarende får hjulpet en videre.

Martijn Sprengers. Fold sammen
Læs mere

Næsten alle kneb gælder, når 28-årige Martijn Sprengers og andre lovlige hackere fra KPMG rykker ind. En stor del af deres arbejde består i digitalt – og nogle gange også fysisk – at forsøge at bryde ind hos store virksomheder for at teste deres informationssikkerhed. Rammerne aftaler de med kunderne, og det er stort set kun fantasien og straffeloven, der sætter grænserne.

På bestilling fra en bank lykkedes det for eksempel Martijn Sprengers at hacke sig ind bankens hjerte til det såkaldte SWIFT-system, så han teoretisk kunne have overført penge til sig selv. SWIFT-systemet benyttes af banker i hele verden til at kommunikere om pengeoverførsler.

Martijn Sprengers foregav at være studerende, der søgte job i bankens afdeling for business development og IT. Hans første mail til HR-afdelingen var uden virus. Men da først han havde fået etableret en kontakt og vidste, at hans ansøgning ville blive sendt videre, indlejrede han en virus i mailen, som så ville blive aktiveret, når mailen blev åbnet i afdelingen for business development og IT. Det gav ham de nødvendige forudsætninger for efterfølgende at kunne hacke sig ind i det såkaldte SWIFT-system.

En kollega i hans team fik også engang til opgave fysisk at trænge ind i en stor banks serverrum, hvorfra bankens digitale pengetransaktioner styres. Det lykkedes ham ved at klæde sig ud som julemand.

Bankens sikkerhedsfolk glemte alt om sikkerhed, da julemanden steg ud af en bil foran bankens hovedsæde og begyndte at dele slik ud. Det var aldrig før sket, at julemanden kom forbi med juleslik. Også inden for i hovedsædet var de bankansatte glade som børn og glemte alt om det tårnhøje sikkerhedsniveau og døre med fingeraftryksgenkendelse.

Julemanden havde et kamera på sig og filmede sin vej rundt gennem hovedsædet. Da han spurgte, om ikke han måtte komme ind i serverrummet, blev dørene slået op.

»Min kollega udnyttede overraskelsesmomentet, og så var han samtidig en troværdig julemand. I sådan en situation skal du ikke spille julemand, men være julemanden. Og vi er jo slet ikke skuespillere. Vi improviserer og bluffer bare. Men i situationen står vi med hjertet helt oppe i halsen, fordi hvis vi falder ud af rollen, er det slut, og sikkerhedsfolkene kan være meget hårdhændede,« siger Martijn Sprengers.

Han har kolleger, der fysisk er blevet smidt ud af virksomheder, og også enkelte, der har oplevet at blive hentet af politiet.