Alle har vi blitt lurt en eller flere ganger på dagen i dag. Dermed gjenkjenner man seg og smiler.
Phishing e-poster er kjent som den største primære angrepsvektor. Alle har nok på et eller annet tidspunkt blitt lurt av phishing på e-post eller SMS. Statistikk i phishing tester viser at mennesker alltid blir lurt, gjerne 15-20%.
Under Sikkerhetsfestivalen på Lillehammer i august 2023 ble det fra scenen sagt at det beste som de noensinne hadde opplevd var 1,5%. Dette betyr at noen vil klikke.
Og hva da? Hvilke tiltak gjøres med de tilfellene? Kudos for alt arbeidet som leder til en suksessrate på 80-90% som ikke klikker, men hva med de som faktisk klikker?
En phishing e-post er potensielt farlig, på flere måter. Stjeling av brukernavn, passord, kredittkortinformasjon og mer.
I dagens proffe verden, arbeidslivet, er det AiTM (Adversary-in-the-Middle) som er den aller aller største trusselen, som oftest ment brukt for ren svindel for profitt.
Forebyggende mot phishing
I alle år er det gjort bevissthetstrening, og det har hjulpet. Mennesket er et viktig sikkerhetslag. E-post sikkerhetsløsninger har til hensikt å stoppe slike e-poster.
Allikevel kommer noen e-poster igjennom, og allikevel klikker flere.
✅ Alle som oppdager en phishing e-post må melde ifra selv om de ikke klikker, fordi kollegaen din kan bli lurt uten å vite det.
Forebyggende etter klikking
✅ Om man klikker, og etterpå forstår at man ikke skulle gjort det, si ifra. Viktig.
Tekniske tiltak
✅ Det første som skjer når noen klikker er et DNS oppslag. Sikre at god DNS sikkerhet er på plass, inkludert dekryptering, for å kunne stoppe phishing domener, men også nye domener som enda ikke er kategorisert, og som ofte benyttes i phishing.
DNS sikkerheten stopper det aller meste, men om den ikke fordinerer videre aktivitet, tenk sikkerhet i flere lag:
✅ Etter at DNS har gjort jobben får man en IP adresse, og man er gjerne i stand til å besøke en URL. Sikre at URL sikkerhet er på plass for å kunne stoppe tilsvarende domener som DNS sikkerheten innehar. Dekryptering vil øke graden av synlighet og dermed evnen til beskyttelse.
✅ Endepunktsikkerhet og browsere har også sikkerhetsmekanismer mot phishing. Verifiser at dette er tilgjengelig, men også aktivert. Jeg har jobbet med kunder som ikke har aktivert disse sikkerhetsfunksjonene.
✅ AiTM trusselen. Sikre at din SSO installasjon, gjerne Microsoft 365 er satt opp etter beste praksis og adresserer spesielt AiTM. Jeg legger ikke ut linker til dokumentasjon her, da det florerer av dette på nettet, men sett av tid eller spør om hjelp til dette, for dette er kjempeviktig.
✅ Phishing resistant MFA. FIDO2. Dette er nok den tekniske løsningen som burde øke i omfang snarest.
«Phishing-resistant Multi-Factor Authentication (MFA) is a highly secure authentication method designed to fortify user accounts against phishing attacks. Unlike traditional MFA, which can still be vulnerable to phishing attempts, this approach incorporates multiple layers of protection to ensure enhanced security. It employs advanced techniques such as biometric authentication, hardware tokens, and push notifications to trusted devices, making it significantly more challenging for attackers to impersonate users.»
- https://www.cisa.gov/news-events/news/phishing-resistant-mfa-key-peace-mind
- https://www.sans.org/blog/what-is-phishing-resistant-mfa/https://www.sans.org/blog/what-is-phishing-resistant-mfa/
Flere tekniske tiltak kunne vært nevnt for å håndtere situasjonen der mennesker klikker. Hovedpoenget mitt er at mennesker i ansvarlige roller i høyere grad MÅ anta at mennesker klikker.
Tenker man på KIT, Konfidensialitet, Integritet og Tilgjengelighet, vil konsekvens og tiltak være veldig forskjellig. Backup/restore er et eksempel, og da ha en løsning som overlever kryptering.
Menneskelige tiltak
Her kan listen gjøres lang, og man kan, bør og må innføre flere rutiner.
✅ Endring av kontonummer er en kjent teknikk i forbindelse med svindel etter AiTM. Sikre gode rutiner for endring av kontonummer, gjerne med krav om to personer før godkjenning.
Konklusjon
1. april. En dag med mye tull og lureri. Men bare for gøy.
I hverdagen skjer 1. april hver eneste dag, av noen som ikke har til hensikt å skape gøy og moro, men problemer. Husk at mennesker blir lurt, anta at mennesker blir lurt, og innfør gode tiltak deretter.
Leave a Reply