Et omfattende phishingangrep sprer seg nå raskt blant norske virksomheter. Angrepet er fortsatt pågående, og sikkerhetsmiljøer advarer om at mange kan være rammet uten å vite det.
Angrepet retter seg mot e-postkontoer, primært i Microsoft-miljøer, og utnytter tillit mellom kolleger og samarbeidspartnere. Når en konto kompromitteres, brukes den videre til å sende nye phishing-e-poster fra legitime avsendere.
– Dette er et angrep som potensielt kan treffe svært bredt. Har du Microsoft e-post, er du i praksis i målgruppen, sier Frank Kirkeng, leder for SOC-operasjonen i IT-sikkerhetsselskapet Netsecurity.
Ser ikke ut som et typisk angrep
Ifølge Kirkeng skiller angrepet seg fra tradisjonelle phishing-kampanjer på flere måter.
– Det spesielle her er at aktiviteten i stor grad ser ut som helt normal brukeraktivitet. Det betyr at de vanlige sikkerhetsalarmene ikke utløses, forklarer han.
I praksis kan angripere få tilgang til e-postkontoer uten at verken virksomheten eller sikkerhetspartneren fanger det opp. Derfra kan de lese e-post, hente ut informasjon og sende nye meldinger videre fra kompromitterte kontoer.
– Det gjør dette angrepet ekstra vanskelig å oppdage, og det øker risikoen for videre spredning, sier Kirkeng.
Kan få store konsekvenser
Foreløpig er det uklart hva det endelige målet med angrepene er, men kompromitterte kontoer kan brukes til alt fra informasjonsinnhenting til økonomisk svindel eller videre angrep.
– Når angriperen først har fått fotfeste i én konto, åpner det seg mange muligheter. Derfor er tidlig oppdagelse helt avgjørende for å begrense skadeomfanget, sier Kirkeng.
Han understreker at virksomheter ikke bør avvente klare bevis før de reagerer.
– Virksomheter må sjekke nå
Netsecurity anbefaler at virksomheter umiddelbart undersøker egen situasjon, særlig dersom de ikke har innført phishing-resistent pålogging eller begrenset pålogging til godkjente enheter.
– Har man ikke phishing-resistent autentisering eller krav om godkjente pc-er, mobiler og andre enheter, bør man anta at man kan være utsatt og sjekke deretter, sier Kirkeng.
Det innebærer blant annet å:
- gå gjennom logger og brukeraktivitet
- se etter mistenkelige pålogginger
- undersøke om brukere har klikket på lenker eller delt påloggingsinformasjon
– Trenger du hjelp med dette, må du ta kontakt med din IT-drifts- eller sikkerhetsleverandør, forklarer han. – I tillegg bør virksomheter varsle egne ansatte om at phishing pågår, slik at de er ekstra oppmerksomme.
Disse er mindre utsatt
Virksomheter som har tatt i bruk phishing-resistent pålogging, for eksempel FIDO2, har betydelig lavere risiko for å bli rammet av denne typen angrep.
– Der slike løsninger er implementert, vil angrepet i praksis ikke lykkes, sier Kirkeng.
Også krav om pålogging kun fra godkjente, administrerte enheter reduserer risikoen betraktelig.
– Jo flere som sjekker egne miljøer nå, desto større er sjansen for å stoppe videre spredning, avslutter Kirkeng.
Vil du lære mer om phishing og phishing-resistent autentisering?
