Phishing-kampanjer brukes fortsatt som inngangsvektor i hendelser mot norske mål. Phishing er en metode aktører benytter ved å utnytte en ansatt for å skaffe seg uautorisert tilgang til en virksomhet. Phishing kan gjøres på ulike måter. De mest benyttede metodene er ved å lure en mottaker til å oppgi påloggingsdetaljer eller å få mottaker til å laste ned skadevare via vedlegg eller link i en e-post. Dette kan gi aktøren tilgang til systemet for videre kompromittering.

Slike kampanjer kan være målrettet mot sektorer, mot enkelte virksomheter eller enkeltpersoner i en spesifikk virksomhet. Andre ganger ser vi brede generelle phishing-kampanjer hvor norske mål inngår som en del av målbildet på tvers av virksomheter, sektorer og land.

NCSC har det siste året sett en rekke forsøk på målrettede phishing-kampanjer mot norske virksomheter. I disse tilfellene er tema for e-posten relevant for mottaker, og vedlegg eller lenker i e-posten er spisset for mottaker og dens arbeidsoppgaver. Slike skreddersydde e-poster øker sannsynligheten for å lykkes. I 2020 er også COVID-19-tematikk ble benyttet i ulike phishing-kampanjer mot norske virksomheter.

Påloggingsdetaljer kan kjøpes, tilegnes ved hjelp av phishing eller gjettes av aktøren selv. De kan være innhentet ved hjelp av tidligere e-poster hvor brukeren har blitt lurt av en falsk nettside til å oppgi sine opplysninger, eller de kan være hentet ned fra store databaser som samler på kompromitterte brukernavn og passord. NCSC ser også kompromitteringer av legitime nettsider hvor en aktør utnytter sårbarheter som ligger på den. Aktøren kan legge til funksjonalitet på nettsiden for å omdirigere brukere, eller laste opp skadevare eller utnyttelseskode direkte til nettsiden slik at den blir et «vannhull»1. Dette kan igjen ramme andre brukere av tjenesten.

Trusselaktører vet at mennesker er vanedyr og erfaring tilsier at vi gjenbruker passord fordi det gjør det lettere å huske. Et tidligere eksponert passord kan prøves flere steder, og én tapt konto kan fort bli flere. For virksomheter kan dette bli et problem hvis ansatte bruker samme passord på private tjenester og i jobbsammenheng.

Tilgang til e-post gjennom phishing

De siste årene har det vært skrevet mye om såkalt Microsoft 365-phishing. NSM har eksempler på at en aktør fikk tilgang via fjernpålogging til en e-postserver og deretter hadde mulighet til å laste ned alt innhold fra den aktuelle e-postkontoen. For en virksomhet kan e-postinnhold bestå av potensielt sensitiv informasjon om kundeforhold, kilder eller pågående arbeid.

Ofte vet hverken NSM eller virksomheten hvordan aktøren har fått tilgang til virksomhetens e-postkonti. Manglende logg-grunnlag og overvåkning av eget nettverk hos virksomheten er en viktig årsak til at NSM og virksomheten ikke klarer å avdekke hvordan kontoen ble kompromittert i utgangspunktet. Gode passordrutiner og flerfaktor-autentisering ville også i mange tilfeller hindret uautorisert tilgang til e-post og øvrige IKT-systemer.

Myndigheter og sikkerhetsindustrien har advart mot phishing i flere år. Mange har derfor blitt mer bevisst på mistenkelige e-poster og tenker seg om før de åpner et vedlegg eller klikker på lenker. Mørketallsundersøkelsen 2020 viser at 77 % av virksomhetene i løpet av det siste året har gjennomført tiltak for å øke de ansattes bevissthet rundt sikkerhet. Det er imidlertid sannsynlig at flere kompromitteringer av norske mål forblir uoppdaget hvert år. Enkelte aktører sender e-poster som er svært godt utformet og dermed vanskelig å oppdage. Gode sikkerhetstiltak for å forhindre at uønsket e-post kommer frem bør derfor implementeres. Opplæring og tiltak for økt sikkerhetsbevissthet blant de ansatte er viktig da det å klikke på lenker eller åpne vedlegg er en menneskelig sårbarhet som aktører vil fortsette å utnytte.

Målrettet phishing-kampanje – et eksempel

NCSC varslet sine mottakere i juni 2020 om en phishing-kampanje rettet mot ansatte på et personlig nivå, men som antageligvis var ment for å kompromittere virksomheten. Kampanjen ble først observert i perioden september til desember 2019 mot mål i Europa og Midtøsten, og ble i juni observert mot mål i Norge.

Aktøren bak kampanjen utgav seg på LinkedIn for å jobbe innen HR hos store forsvars- eller luftfartsselskaper, og gav informasjon om ledige stillinger. Etter å ha fått kontakt sendte aktøren en ondsinnet fil som skulle inneholde informasjon relatert til stillingsutlysningen. Disse filene ble delt direkte gjennom meldingstjenesten på LinkedIn, eller over e-post med en OneDrive-link. Kjøring av den ondsinnede filen ville gi aktøren tilgang til maskinen.

NSM anbefaler å være forsiktig med å åpne filer med ukjent opphav, være kritiske til uoppfordret kontakt over både e-post og sosiale medier, samt minner om at privatutstyr kan være like utsatt som utstyr eid av arbeidsplassen.

Phishing-kampanje – et eksempel fra forsknings- og utdanningssektoren

Forsknings- og utdanningssektoren har gjennom 2020 vært mål for en avansert, utenlandsk aktør. Angrepene bruker e-post og falske nettsider tilpasset den enkelte virksomhet, og har som mål å «høste» brukernavn og passord som gir tilgang til interne ressurser. Aktøren retter seg mot universiteter og forskningsmiljø i flere vestlige land, og samarbeid mellom sikkerhetsmiljø på tvers av landegrensene har vært avgjørende for å forstå framgangsmåten i Norge. Som sektorens responsmiljø, har Uninett CERT jobbet tett med sektoren og internasjonale samarbeidspartnere for å oppdage, forhindre og ikke minst bedre forstå kampanjene. Dette har gjort det mulig å flere ganger sette i gang forebyggende tiltak før angrepene kommer.

[1] Et vannhull er en tilsynelatende legitim nettside som leverer skadevare til utpekte mål.