Et omfattende phishingangrep sprer seg nå raskt blant norske virksomheter. Angrepet er fortsatt pågående, og sikkerhetsmiljøer advarer om at mange kan være rammet uten å vite det.
Angrepet retter seg mot e-postkontoer, primært i Microsoft-miljøer, og utnytter tillit mellom kolleger og samarbeidspartnere. Når en konto kompromitteres, brukes den videre til å sende nye phishing-e-poster fra legitime avsendere.
– Dette er et angrep som potensielt kan treffe svært bredt. Har du Microsoft e-post, er du i praksis i målgruppen, sier Frank Kirkeng, leder for SOC-operasjonen i IT-sikkerhetsselskapet Netsecurity.
Ifølge Kirkeng skiller angrepet seg fra tradisjonelle phishing-kampanjer på flere måter.
– Det spesielle her er at aktiviteten i stor grad ser ut som helt normal brukeraktivitet. Det betyr at de vanlige sikkerhetsalarmene ikke utløses, forklarer han.
I praksis kan angripere få tilgang til e-postkontoer uten at verken virksomheten eller sikkerhetspartneren fanger det opp. Derfra kan de lese e-post, hente ut informasjon og sende nye meldinger videre fra kompromitterte kontoer.
– Det gjør dette angrepet ekstra vanskelig å oppdage, og det øker risikoen for videre spredning, sier Kirkeng.
Foreløpig er det uklart hva det endelige målet med angrepene er, men kompromitterte kontoer kan brukes til alt fra informasjonsinnhenting til økonomisk svindel eller videre angrep.
– Når angriperen først har fått fotfeste i én konto, åpner det seg mange muligheter. Derfor er tidlig oppdagelse helt avgjørende for å begrense skadeomfanget, sier Kirkeng.
Han understreker at virksomheter ikke bør avvente klare bevis før de reagerer.
Netsecurity anbefaler at virksomheter umiddelbart undersøker egen situasjon, særlig dersom de ikke har innført phishing-resistent pålogging eller begrenset pålogging til godkjente enheter.
– Har man ikke phishing-resistent autentisering eller krav om godkjente pc-er, mobiler og andre enheter, bør man anta at man kan være utsatt og sjekke deretter, sier Kirkeng.
Det innebærer blant annet å:
– Trenger du hjelp med dette, må du ta kontakt med din IT-drifts- eller sikkerhetsleverandør, forklarer han. – I tillegg bør virksomheter varsle egne ansatte om at phishing pågår, slik at de er ekstra oppmerksomme.
Virksomheter som har tatt i bruk phishing-resistent pålogging, for eksempel FIDO2, har betydelig lavere risiko for å bli rammet av denne typen angrep.
– Der slike løsninger er implementert, vil angrepet i praksis ikke lykkes, sier Kirkeng.
Også krav om pålogging kun fra godkjente, administrerte enheter reduserer risikoen betraktelig.
– Jo flere som sjekker egne miljøer nå, desto større er sjansen for å stoppe videre spredning, avslutter Kirkeng.