Så stjäls dina inloggningsuppgifter

Alla incidenter är mer eller mindre unika till sin natur, men gemensamt för de allra flesta är att de inleddes med att någon klickade på ett phishing-mail. Här berättar en av våra incidentutredare, tillika phishing-expert, om hur en vanlig phishing-attack kan se ut, och vad ett lyckat angrepp kan leda till.

Jag och mina kollegor i både Blue- och RedSOC kommer dagligen i kontakt med phishing på ett eller annat sätt. Antingen genom att försöka utreda och städa upp incidenter där phishing varit orsaken – och de är många – eller i arbetet med att öka våra kunders motståndskraft genom kontinuerlig utbildning av dess användare.

Och det man kan konstatera efter flertalet år i ‘branschen’, är att phishing fortfarande är ett stort problem som ligger till grund för de allra flesta bedrägerierna online – allt från breda ransomware-attacker till mer utstuderade VD-bedrägerier. Under åren har attack-metodens syften och tillvägagångssätt varierat, men i dagsläget kan man säga att två typer av phishing dominerar;

Mindre vanligt, men fortfarande förekommande, är att använda phishing för att försöka sprida skadlig kod. Detta har dock blivit svårare i takt med att mailfilter blir allt effektivare. Tidigare var det enkelt att bifoga en fil som användare luras att klicka på, men idag når många av dessa inte fram, vilket tvingar angriparna till andra kreativa lösningar där de exempelvis döljer filen via att länka till en legitim molntjänst.

Något som däremot blir allt vanligare är att phishing-mail skickas med syfte att stjäla inloggningsuppgifter, även kallat credential theft. Majoriteten av de incidenter vi utreder, oavsett dess natur, har inletts med med att någon i organisationen har bestulits på sina inloggningsuppgifter till följd av ett phishing-mail. Så låt oss titta närmare på hur en sådan stöld kan gå till:

Inledningsfas

Ett vanligt händelseförlopp vid credential theft inleds med att offret får ett mail från en kollega eller annan affärsmässig kontakt. Avsändaren säger att det finns information som offret behöver ta del av och uppmanas klicka på en länk som leder till en Sharepoint-sida. Väl där hittar mottagaren en fil som heter något i stil med företagsnamn.pdf eller något annat som känns allmänt relevant för personen i fråga. När mottagaren väl klickar på filen dyker istället en inloggningssida för Office 365 upp som uppmanar den att logga in igen. Ingenting konstigt med det i sig, sådana meddelanden får man ju titt och tätt, och användaren loggar in på nytt.

Det som har hänt här, är att filen egentligen inte var någon fil, utan en webblänk med en fejkad inloggningssida för Office 365. När personen väl loggar in stjäl angriparen offrets lösenord och i vissa fall även tvåfaktorsautentiseringskod.

Angriparen har därefter fri tillgång till det hackade kontots adressbok och/eller mailens inkorg och utkorg, och kan med hjälp av dem kartlägga vilka offret har haft kontakt med. Den eller de personer som offret har mest kontakt med kommer i sin tur få ett mail, och så återupprepas proceduren. Man kan med andra ord säga att det sprider sig från konto till konto, likt ett traditionellt datorvirus.

Eskalering

Målsättningen i den här typen av bedrägeri kan antingen vara att komma över så många konton som möjligt, och därefter vända sig till svarta marknaden där andra grupper köper tillgång till de konton de finner mest intressanta.

Men syftet kan också vara att få ett fotfäste i organisationen för att kunna utföra mer avancerade och riktade former av bedrägerier. Det kan till exempel handla om att få tag på inloggningsuppgifter för att kunna ansluta till ett företags VPN-tjänster för att komma åt organisationens interna nät, och därigenom utföra ransomware-attacker eller stjäla känslig information.

I andra fall har angriparen – genom mailproceduren som beskrevs tidigare i texten – till slut fått tag på ekonomichefen eller VD:ns mailkonto, och genom det lyckats förmå ekonomiavdelningen att genomföra stora transaktioner, även kallat CEO fraud eller på svenska VD-bedrägeri. Lyckligtvis blir allt fler organisationer medvetna av den här typen av bedrägerier och har upprättat bra rutiner för hur användare ska gå tillväga när de får den här typen av mail. En betydande del av det proaktiva arbete vi gör fokuserar på att utbilda just dessa grupper, som ofta är måltavla för den här typen av angrepp.

Upptäckt

Tittar man på det ur ett tekniskt perspektiv så är den här typen av phishing något svårare att upptäcka, eftersom mailet kommer från ett legitimt konto till skillnad från de attacker som utförs med falska konton. Att mailet just kommer från ett betrott konto, tillhörande någon som mottagaren har en meddelandehistorik med och i många fall förtroende för, är också anledningen till att det många gånger fungerar.

De vanligaste sätten att upptäcka den här typen av phishing är därför när någon av mottagarna har fallit för försöket. Det är ofta här jag och mina kollegor i incident-teamet blir inblandade, för att utreda vilka konsekvenser intrånget har lett till och försöka minimera dess skada så gott vi kan.

I andra, mer lyckosamma, fall upptäcks attacken genom att mottagaren själv reagerar på att mailet ser skumt ut och rapporterar det till IT-ansvarig. “Skumt” kan till exempel betyda att någon man inte har haft kontakt med på väldigt länge plötsligt hör av sig, eller att avsändaren skickar filer man vanligtvis inte mottar från den personen. När en sådan rutin fungerar på ett brett plan kan man som organisation med gott samvete klappa sig själv på axeln.

Åtgärder

Även om phishing är ett svårstoppat problem som de allra flesta organisationer redan har eller kommer utsättas för, finns det som tur är sätt att mota problemet i grind. Idag finns det dock begränsade tekniska hjälpmedel som stoppar denna typ av phishingmail, eftersom angriparna går runt tekniken genom att istället utnyttja dess användare. Den största nyttan kan därför uppnås genom att på olika sätt utbilda sin personal om hot och rutiner.

Här är mina tips för att öka organisationens förmåga att skydda sig mot phishing-angreppet när det slår till (för det kommer det göra);

Sätt upp en rutin – Hur ska dina användare agera om de mottar ett misstänkt phishingmail? Finns det en tydlig rapporteringsväg? Det är viktigt att snabbt kunna identifiera en pågående attack i ett tidigt skede och varna om det, innan någon i organisationen hinner falla offer. Och kanske ännu viktigare – vad gör jag om jag har råkat klicka på en länk och gett bort mina uppgifter? Här är det viktigt att inte skuldbelägga den som råkar klicka, annars finns risken att man istället låter bli att säga till.

Få en uppfattning om läget – Testa hur motståndskraftig organisationen är mot ett phishing-angrepp genom att helt enkelt utsätta den för ett. Det finns flera olika tjänster som erbjuder phishing-tester, såväl gratis som mot kostnad. Resultatet blir ett kvitto på hur utbrett problemet är som du sedan kan arbeta utifrån. Tänk dock på att gratisvarianterna är en mer av en one fits all-lösning och inte ger ett lika verklighetstroget resultat som från en skräddarsydd tjänst, där faktorer som bransch, avdelning och riskbild tas i beaktning.

Utbilda användarna – Det går inte att belysa vikten av awareness-utbildning nog. Här räcker det inte med en punktinsats, informationen måste upprepas och åter upprepas. Dels genom att kontinuerligt informera om nya och befintliga risker, men också med hjälp av ovan nämnda tester där de som “misslyckas” får information om vad som har gått fel och hur de bör göra för att undvika att falla offer i framtiden.

Skademinimera – Trots ovan nämnda insatser finns en överhängande risk att organisationen någon gång drabbas av phishing utan att det upptäcks. Förbered er därför på det värsta och utred vilka metoder som kan minska de faktiska konsekvenserna av ett lyckat phishing-angrepp. Sådana åtgärder kan till exempel innefatta endpoint protection, monitorering och begränsning av privilegier i organisationens miljö.