Alle er opplært til å være forsiktige med e-post. Man skal sjekke avsender, man skal sjekke tekst og vedlegg, samt sjekke klikkbare linker ved å holde musa over. Og er man i tvil skal man IKKE klikke. Men hva med QR koder? QR koder kan aksesseres via en tv sending, i presentasjoner, og via Teams sesjoner. De benyttes på restaurant bord. Det har bare vært et tidsspørsmål før disse ble del av skadelig aktivitet.
Flere av mine kunder rapporterer nå en økende trend med bruk av QR koder i phishing e-poster. En QR kode er ikke noe annet enn en forenkling av tilgang til en URL utenfor e-post og web, bare at man ser ikke URL’en og får da ikke verifisert den. I tillegg benytter man typisk mobiltelefonen for å lese av denne med kameraet (det er også mulig å gjøre det fra PC faktisk). QR kode i en e-post er bare mistenkelig da der ikke gir noen mening. Ikke scan den!
Telefoner er ofte ikke innbefattet i organisasjoners sikkerhetsregime og kan derfor ofte gå under radaren. Allikevel har disse telefonene gjerne tilgang til forretningsapplikasjoner som f.eks e-post fra Microsoft 365. Man tenker at M365 er sikkert og bra, og man har til og med aktivert Multi Faktor Autentisering, så hva kan gå galt?
Slik blir du lurt og deretter misbrukt
En phishing e-post med en QR kode som du velger å aksessere med din telefon lurer deg til at du må logge inn på din M365 konto for å gjøre en eller annen handling.
Du tar bilde av QR koden og websiden åpner seg. Det er M365. Alt er «ok». Du logger inn med brukernavn, passord og MFA. Alt er fortsatt «ok». Nå er du faktisk inne på din egen M365 konto, men oppgaven du fikk viser seg å ikke eksistere. Det var da rart. Hmm.
Det som egentlig skjedde
QR koden tok deg ikke til M365, men til en ukjent adresse for å nå serveren til de kriminelle. Denne serveren var satt opp til å fungere som en proxy videre mot M365 slik at du faktisk kommuniserte med M365, indirekte. Ettersom serveren og tjenesten til de kriminelle var satt opp skikkelig, fikk du ingen sikkerhetsvarsler. Sertifikatet var riktig og tilhørte det ukjente navnet de kriminelle hadde satt på sin tjeneste.
Ettersom de kriminelle eier den serveren, og eier sertifikatet, kan de også lese all kommunikasjon i klartekst, selv om du har hengelåsen som indikerer kryptert kommunikasjon. Dermed kan de også hente ut det som heter «authentication token» eller «access token». Dette er din «nøkkel» som gjør at du ikke skal trenge å logge inn hele tiden. Denne nøkkelen har forskjellig levetid litt ettersom hvordan du aksesserer forskjellige tjenester.
90 dagers levetid
Dette står i Microsoft sin dokumentasjon:
The default lifetime for the access token is 1 hour. The default max inactive time of the refresh token is 90 days.
Når de kriminelle får tak i denne nøkkelen kan de gå direkte mot din konto kun med denne, og de trenger ikke ditt brukernavn, passord eller MFA, inntil timeout som kan være inntil 90 dager. Og da har man et stort problem, for hvem følger med på slike «legitime» innlogginger? Altfor få gjør det.
Hva kan gjøres
En ting er bevissthetstrening av mennesker og deres forsiktighet med QR koder. Dette snakker jeg om i alle mine presentasjoner for brukere. Er det QR kode i en e-post, er det mest sannsynlig phishing. Det er ingen rasjonell grunn for å ha en QR kode der, da en klikkbar link er mye mer brukervennlig.
Les dere opp på denne fantastiske Microsoft artikkelen. Den forklarer i detalj hvordan angrep skjer, og hvordan man kan beskytte seg.
MFA kommer i forskjellige former, som de enkleste OTP, One Time Password, som typisk er 6 siffer fra SMS eller en app. MFA kommer i dag gjerne litt mer brukervennlig i form av en push melding til din telefon på Microsoft Authenticator, Duo Security, JumpCloud Protect, Google Authenticator, osv. Begge disse formene for ekstra autentisering kommer til kort mot det trusselscenariet som har blitt beskrevet. Så hva kan gjøres?
Det neste nivået av sikkerhet for denne trusselen er FIDO2. Da benytter man gjerne fysiske nøkler som er knyttet mot nettstedet, og som må benyttes på den maskinen/enheten som aksesserer tjenesten.
FIDO2 har eksistert en god stund nå og brukes stadig flere steder. Alle burde starte med dette først og fremst for administratorer. Det vil koste veldig lite og sikkerheten høynes vesentlig. Ettersom man blir kjent med hvor og hvordan dette fungerer kan man starte med utrulling til brukere. FIDO2 nøkler kommer i forskjellige former og blir stadig mer brukervennlige. For det er en nøkkel for god sikkerhet, brukervennlighet.
Konklusjon
Trusselbildet endrer seg hele tiden. Gårdagens sikkerhet må regelmessig oppdateres for å holde tritt.
Mennesker må trenes på den nye angrepsvektoren som QR koder bidrar til.
FIDO2 er det neste. Alle må starte arbeidet for høynet sikkerhet på tilgangskontroll. Det er til det beste å være en bra dose paranoid.
Leave a Reply