Advarsel om stor digital angrepsaktivitet

Et bredt nasjonalt cybersikkerhetsmiljø advarer nå om at norske virksomheter utsettes for stor digital angrepsaktivitet. Phishingverktøyene som brukes i angrepene er i stadig utvikling, og forbedringene fører til flere vellykkede angrep.

De observerte angrepene rettet seg særlig mot Microsoft 365-kontoer i virksomhetene. I flere tilfeller skjer angrepene gjennom phishingmetoder som fanger opp både passord og påloggingssesjon, slik at angriperne kan få tilgang selv om tofaktorautentisering er aktivert.

Når en konto kompromitteres, kan angriperne få tilgang til e-post, dokumenter i SharePoint, Teams-møter og annen informasjon knyttet til virksomheten.

Det økte antallet kompromitterte Microsoft 365-kontoer sees på tvers av bransjer og sektorer. Angrepene oppdages ofte først når virksomheten blir varslet av eget responsmiljø for digital sikkerhet. 

Observerte teknikker
  • Brukeren lures til å skrive inn en engangskode på plattformens legitime innloggingsside. Brukeren som ofte er opplært til å se etter mistenkelige lenker, vil i hovedsak se offisielle lenker som ikke vekker mistanke. Siden angrepene er vanskelige å avsløre selv for det trente øyet, må virksomhetene iverksette gode, tekniske tiltak. 
  • Proxy-tjenester som gjør det mulig for angriperen å sende trafikk via IP-adresser som geografisk eller teknisk ligner på virksomhetens normale trafikkmønster. Det er derfor svært vanskelig å avdekke den ulovlige trafikken, både for automatiske deteksjonssystemer og ved manuell gjennomgang av logger.
  • Enkelte phishingverktøy kan analysere store mengder e-post og dokumenter fra kompromitterte kontoer ved hjelp av kunstig intelligens. Det kan brukes til å finne sårbarheter og skrive mer troverdige meldinger på norsk.
  • Angrepene spres ofte fra kontoer som allerede er kompromittert. Mottakeren får dermed en e-post fra en kjent kontakt, ofte i en sammenheng som virker naturlig. Eksempler er invitasjoner til digitale møter, delte dokumenter eller forespørsler om digital signering.
Hva må virksomhetene gjøre

Norske virksomheter bør umiddelbart gjennomføre tiltak som reduserer risikoen for kompromittering. NSM anbefaler virksomhetene å innføre phishingresistent autentisering, særlig for Microsoft 365 og andre skyløsninger. 

Dette inkluderer passnøkler som FIDO2 eller andre phishingresistente autentiseringsmekanismer.

I tillegg bør device code-innlogging deaktiveres eller begrenses kraftig, og pålogging bør begrenses til kjente enheter eller kjente IP-adresser der dette er praktisk mulig. 

Les mer