Advarsel om stor digital angrepsaktivitet

Phishingverktøyene som brukes i angrepene er i stadig utvikling, og forbedringene fører til flere vellykkede angrep. Det skriver Sikkert.no på sine nettsider.

De observerte angrepene rettet seg særlig mot Microsoft 365-kontoer i virksomhetene. I flere tilfeller skjer angrepene gjennom phishingmetoder som fanger opp både passord og påloggingssesjon, slik at angriperne kan få tilgang selv om tofaktorautentisering er aktivert.

Når en konto kompromitteres, kan angriperne få tilgang til e-post, dokumenter i SharePoint, Teams-møter og annen informasjon knyttet til virksomheten.

Det økte antallet kompromitterte Microsoft 365-kontoer sees på tvers av bransjer og sektorer. Angrepene oppdages ofte først når virksomheten blir varslet av eget responsmiljø for digital sikkerhet.

Dette er teknikkene som er observert:

• Brukeren lures til å skrive inn en engangskode på plattformens legitime innloggingsside. Brukeren som ofte er opplært til å se etter mistenkelige lenker, vil i hovedsak se offisielle lenker som ikke vekker mistanke. Siden angrepene er vanskelige å avsløre selv for det trente øyet, må virksomhetene iverksette gode, tekniske tiltak.
• Proxy-tjenester som gjør det mulig for angriperen å sende trafikk via IP-adresser som geografisk eller teknisk ligner på virksomhetens normale trafikkmønster. Det er derfor svært vanskelig å avdekke den ulovlige trafikken, både for automatiske deteksjonssystemer og ved manuell gjennomgang av logger.
• Enkelte phishingverktøy kan analysere store mengder e-post og dokumenter fra kompromitterte kontoer ved hjelp av kunstig intelligens. Det kan brukes til å finne sårbarheter og skrive mer troverdige meldinger på norsk.
• Angrepene spres ofte fra kontoer som allerede er kompromittert. Mottakeren får dermed en e-post fra en kjent kontakt, ofte i en sammenheng som virker naturlig. Eksempler er invitasjoner til digitale møter, delte dokumenter eller forespørsler om digital signering.