Nytt samarbeid om å varsle bedrifter om at de er hacket

Det er brukerkontoer i Microsoft 365 som er hacket, gjennom et phishing-angrep som både stjeler brukerens passord og forbigår flerfaktorautentiseringen (AiTM-phishing).

De fleste bedriftene som er varslet har ikke merket at noe har vært galt, før de har blitt varslet av Næringslivets Sikkerhetsråd. Varslingene har derfor avverget mer alvorlige dataangrep, for eksempel løsepengevirus, fakturasvindel, og datatyveri.

Fremgangsmåten er at offeret får en e-post fra en kjent avsender, som er svært vanskelig å avsløre som falsk. I e-posten oppfordres man til å trykke på en lenke for å laste ned dokumenter fra Dropbox, OneDrive eller Adobe. E-posten ser ofte svært ekte ut. Når man trykker på lenken kommer man til en innloggingsside som ser ut som Microsoft sin innloggingsside, men som i realiteten er hackernes falske kopi. Ved å taste inn brukernavn og passord, og godkjenne påloggingen med flerfaktorautentisering, klarer hackerne å stjele både brukernavn, passord og en såkalt «session cookie». Sistnevnte er spesielt alvorlig. Cookien er nemlig det digitale beviset på at du skal ha tilgang til dine kontoer. Det er denne som i praksis gjør at du slipper å logge inn igjen hele tiden, så lenge du har gjort det én gang. Når hackerne har fått tak i cookien har de i praksis tilgang til e-posten, uten at de trenger å logge på flere ganger.

Varslingen er et samarbeid mellom Nasjonal sikkerhetsmyndighet og Næringslivets Sikkerhetsråd, og skjer på bakgrunn fra informasjon fra myndighetene.

– Å varsle virksomheter som har blitt kompromittert er omfattende arbeid. Samarbeidet med Næringslivets Sikkerhetsråd gjør at vi kan nå ut til enda flere virksomheter før de blir utsatt for økonomisk svindel eller utnyttet på andre måter. Det er et godt eksempel på viktigheten av tverrsektorielt samarbeid, sier avdelingsdirektør Martin Albert-Hoff, som leder Nasjonalt cybersikkerhetssenter i Nasjonal sikkerhetsmyndighet.

I varselet til bedriftene videreformidler NSR teknisk informasjon om kompromitteringen, og anmoder den berørte om å be om råd fra IT-avdeling eller IT-leverandør. NSR spør ikke etter informasjon, og ber aldri om at noen skal trykke på lenker.

Dataangrepene viser også at tradisjonell flerfaktorautentisering ikke er sikkert nok. I etterkant av de mange dataangrepene har Nasjonal sikkerhetsmyndighet gått ut med en anbefaling om å gå over til phishingresistent autentisering, for eksempel fysiske passnøkler. NSM anbefaler at spesielt utsatte brukere, som økonomiansvarlige, ledere og systemadministratorer, prioriteres ved gradvis utrulling.Les mer om anbefalingen på NSMs nettsider: https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/nsm-anbefaler-overgang-til-phishingresistent-autentisering

Næringslivets Sikkerhetsråd anbefaler også alle bedrifter om å laste ned og skrive ut siste versjon av «Nødplakat for digitale angrep». På denne står viktige råd og telefonnumre til myndigheter og godkjente IT-selskaper som er spesialisert på å håndtere digitale trusler. Last ned nødplakaten her: https://www.nsr-org.no/nodplakat

– NSR har prioritert dette arbeidet for å vise at det går an å nå bredt med informasjon som setter mottakerne i stand til å beskytte sine egne verdier gjennom kunnskap og vilje til deling. Det er blant annet dette utviklingen av et Næringslivets beredskaps og sikkerhetssenter (NBSS) handler om, og det er derfor det er viktig å få etablert dette så fort som mulig, sier direktør i NSR Odin Johannessen.

Han ser frem til den videre prosessen med NBSS og samarbeidet med myndigheter og næringsliv om forebyggende innsats for styrket sikkerhet og effektiv beredskap.