Phishing i kunnskapssektoren

Hvordan unngå phishing-angrep?

Nylig ble både Stortinget og kommuneansatte i Innlandet rammet av omfattende dataangrep via e-post. Slike phishing-angrep blir stadig vanligere, og de ondsinnede e-postene er som regel vanskelige å avsløre. Uninetts CISO, Rolf Sture Normann, skriver om hva du kan gjøre for å unngå at din organisasjon rammes.

Av: Rolf Sture Normann, CISO (Chief Information Security Officer) i Uninett

10 000 kommunalt ansatte i Innlandet ble tirsdag 1. september utsatt for et e-postangrep. I tillegg har vi sett medieoppslag om angrepet på Stortinget hvor også e-postkontoer ble angrepet og informasjon om at det også er sannsynlig at data er hentet ut av systemene.

De fleste vellykkede angrep på IT-systemer er avhengig av at en eller flere brukere har trykket på lenker eller vedlegg som inneholder skadelig programvare, eller har besøkt en nettside med skadelig innhold.

Phishing i kunnskapssektoren

E-posten og avsenderen framstår troverdig

Vi vet lite om detaljene i angrepet på Stortinget, men angrepet mot kommunene i Innlandet har vi litt mer informasjon om.

Sannsynligvis har en e-postkonto ved fylket vært kompromittert før angrepet 1. september, og denne har blitt brukt til å utføre angrepet. For de ansatte har det da framstått som om e-posten med det skadelige vedlegget eller programvaren kommer fra en kollega.

Dette er utfordrende og fordrer at vi alle er årvåkne når det gjelder innkomne e-poster, SMSer eller andre meldinger. 

Framgangsmåte for phishing-angrep

Her er den sannsynlige framgangsmåten ved angrepet på Innlandet, en type angrep som sikkerhetsbransjen har sett mye av i det siste:

  1. En eller flere e-postkontoer har blitt kompromittert ved hjelp av et phishing-angrep, altså at noen har trykket på noe som har gitt angriperne tilgang.
  2. Tilgangen til e-postkontoene har angriperne brukt til å hente ut e-postadresser til andre ansatte og kopiert informasjon i emnefelt til allerede utsendte e-poster. På den måten kan man gjøre den ondsinnede e-posten mer troverdig ved å skrive for eksempel «Re: Ny veiledning for bruk av …», altså koble seg på en e-posttråd som allerede er startet.
  3. Man benytter da denne informasjonen til å sende e-poster til andre ansatte med troverdige emner og legger ved et Word-dokument (.doc) som inneholder skadelig programvare. Det viser seg også at de har prøvd å sende e-post til andre eksterne aktører for å eventuelt kunne ramme andre virksomheter ved at disse også åpner vedlegget.
  4. Skadelig programvare kan da benyttes til for eksempel å aktivere et løsepengevirus som vil kryptere filene denne brukeren har tilgang til, inkludert eventuelle fellesområder osv. Så langt ser det ut til at dette aktuelle angrepet har hatt fokus på utvinning av kryptovaluta.

Slik bidrar du til å redusere sjansen for dataangrep mot din organisasjon

Sikkerhetsbransjen hevder at det er flere hundre organisasjoner i alle størrelser som er utsatt for denne type angrep den siste tiden.

Vi i kunnskapssektoren må også være oppmerksom på dette, og Uninett oppfordrer alle ansatte og studenter til å

  • være årvåkne og oppmerksomme før dere trykker på lenker eller åpner vedlegg. Dette gjelder også innkomne meldinger eller e-poster på mobiltelefonene eller nettbrettene.
  • Sørg også for å ha gode passord

Nyttige tips

Nasjonal sikkerhetsmyndighet (NSM) har laget en veileder for hvordan man skal lage gode passord:

UiO-CERT har laget to nyttige filmer om falske e-poster: