NRK ble nettopp svindlet for 80.000,- Euro. Teknikkene de kriminelle benyttet er relativt ferske. Det er meget viktig at alle får med seg detaljene om hvordan dette angrepet var mulig, og enda viktigere at alle forstår hvordan alle kan beskytte seg mot slike angrep.
NRK sa etter angrepet:
Dette har vært et så avansert angrep at det er krevende å oppdage, og det er samfunnsmessig veldig alvorlig, sier teknologidirektør Pål Nedregotten i NRK.
Men er det egentlig så krevende?
Phishing
Phishing har eksistert i mange år. Det handler om å lure mennesker via sosial manipulasjon til å gjøre noe i den hensikt å skape vinning for de kriminelle.
En av de nyeste trendene for de kriminelle er å skaffe seg tilgang til personers e-post konto. Og de kriminelle lykkes, gang på gang.
Mennesker lures til å klikke på en link for å gå inn på sin e-post. Uten at de vet det går de til en webside som ser ut som deres e-post løsning. Og det er faktisk deres e-post løsning, bare at kommunikasjonen går igjennom de kriminelles mellomløsning. Der logger de på med brukernavn, passord og MFA. Det uheldige her er at de kriminelle har sett alt du har gjort og samtidig kopiert ut ditt «token», som nå er din nøkkel for å fortsette kommunikasjon uten gjentagende autentisering. Dermed har de kriminelle nøkkelen for å komme inn på din e-post uten behov for brukernavn, passord eller MFA. Ganske skummelt, og ganske effektivt for de kriminelle.
Sjakk matt?
Dette er en «ny» teknikk, og derfor mangler de fleste fokus, forståelse og løsninger for å adressere dette. Men det er håp.
Denne gode artikkelen fra Microsoft forklarer i detalj hva som skjer, og flere tiltak som kan oppdage og avverge suksessfulle hendelser av dette slaget.
Artikkelen tar for seg viktigheten av tilgangskontroll relatert til enheter, og forskjellen på administrerte og ikke-administrerte enheter.
Artikkelen tar for seg viktigheten av justering av levetid på sesjons token.
FIDO2 basert tilgangskontroll er bedre enn tradisjonell MFA og gjør deg mer robust mot angrep som det NRK ble utsatt for. Artikkelen synliggjør viktigheten av denne strenge tilgangskontrollen spesielt for mennesker med utvidede rettigheter.
Det kan også være smart å ha forskjellige brukerkontoer for forskjellige roller.
Microsoft Defender har flere funksjoner for deteksjon av misbruk som bør aktiveres snarest.
Microsoft har «Azure AD Identity Protection» som alle med Azure AD må se på.
Konklusjon
Les artikkelen. Har du og dere Azure, Azure AD, Microsoft 365? Les artikkelen. Dere er på internett med verdiene deres. Dere er fordi dere har verdier. Derfor er dere et potensielt mål. Ta ansvar for sikkerheten deres. Trusselbildet endrer seg hele tiden. De kriminelle finner stadig nye metoder for å misbruke deg. Dette er det veldig viktig å følge med på.
Leverandører må også lese Microsoft artikkelen, forstå trusselbildet, og lære seg forsvarsmekanismene. Leverandørene må hjelpe kundene som ofte ikke er bevisste på hvor viktig det er med god sikkerhet.
Spør om hjelp for optimalisering av din skysikkerhet. Du og dere er i skyen. Ikke ha skyen som en sovepute. Ta ansvar og sikre gullet.
Litt tilleggsinformasjon
Disse angrepene kalles «Meddler-in-the-Middle Phishing Attacks». Les mer om dette her.
Leave a Reply