Ikke alle cyberangrep er kompliserte tekniske mesterverk, tenkt ut av kriminelle genier. Faktum er at enkelte angrep er så enkle at man knapt skulle tro at de fungerer. Men det gjør de.

Et slikt svært enkelt knep er å gi noen en god gammeldags USB minnepinne, og så vente på at vedkommende setter den inn i datamaskinen sin. I mange tilfeller har IT-kriminelle lagt fra seg USB-enheter utenfor lokalene til selskap eller universiteter og gjennomført nettfiskeangrep ved hjelp av skadelig programvare som installeres når minnepinnen settes i datamaskinen og filer åpnes.

– USB dropp-angrep kan se ut som en foreldet metode for å utføre cyberangrep på, men slik er det slett ikke. Det er en svært effektiv og billig måte å angripe selskap på, og er en stor kilde til bekymring, også i Norge. Problemet er at man ikke vet om sikkerhetsmekanismene i datamaskinen beskytter mot denne typen angrep. Så det beste rådet er å aldri sette inn en ukjent USB minnepinne i datamaskinen sin. Aldri noen gang, sier Philip Törner, Senior Security Consultant hos IT-sikkerhetsselskapet Venor.  
Synspunktet hans deles av Panasonics nordiske sjef Stefan Lindau, som bekrefter at brukesn av USB minnepinner er et utbredt problem i Norge. Han påpeker også at USB dropp-angrep baserer seg på helt normal menneskelig adferd. 

– Denne typen av angrep utnytter den menneskelige tilbøyeligheten til å ville plukke opp en gjenstands fra bakken når man kommer over den. Spesielt om den har noen form for verdi eller om det er noe man vil bruke. Den kan være en mynt, en flaske eller en minnepinne. Og en minnepinne i lommen vil før eller senere vekke nysgjerrigheten din, slik at du kobler den til datamaskinen din for å se hva den inneholder. Da får inntrengerne full tilgang til filene dine, og eventuelt alle filer som noen gang har eksistert hos selskapet du jobber for, sier Stefan Lindau. 

I en test i 2022 ble 300 USB minnepinner lagt på bakken utenfor et amerikansk universitet. 98 prosent av dem ble plukket opp og 45 prosent ble koblet til. Ifølge Philip Törner ville resultatet sannsynligvis blitt det samme i Norge. Spesielt siden minnepinnene var merket med «konfidensiell enhet» eller til og med «fasit til tentamen», noe som gjorde det nær umulig å ikke snoke blant filene for den som hadde funnet den. 

– Slike angrep som dette er ekstremt enkle å gjennomføre, og brukes derfor fremdeles i stort omfang. Cyberkriminelle utveksler til og med nye verktøy, for eksempel USB ladekabler for mobiltelefoner som har avanserte skjulte implantater. I store organisasjoner har vi sett at slike angrep lammer sikkerhetsteamene som daglig overvåker og analyserer sikkerhetshendelser. Mengden av sikkerhetsvarslinger knyttet til USB i iblant overveldende, og vi bør alle være mye mer bevisste på dette problemet, og vite om de nødvendige tiltakene for å beskytte oss, sier Philip Törner. 

Ladekablene er utformet slik at de ser ut som vanlige kabler, men kan i realiteten starte programmer på en enhet, laste ned skadelig programvare eller til og med stjele lagrete passord og sende dem over internett. Disse har vært kjent siden 2022 og videreutvikles stadig for å bli enda mer effektive.