Tekniken adversary-in-the-middle (AiTM) förbigår flerfaktorsautentisering och har blivit allt vanligare vid nätfiske efter Microsoft 365-användarnamn. I den här artikeln berättar vi om förloppet vid nätfiske där AiTM-tekniken utnyttjas samt om hur du känner igen sådant nätfiske och skyddar dig mot det.
Nätfiskets förlopp
Nätfiske efter användarnamn görs ofta med hjälp av ett e-postmeddelande som innehåller viktig eller lockande information och som mottagaren förutsätts reagera snabbt på. I sina nätfiskemeddelanden använder sig brottslingarna ofta av användarnamn som de kommit över vid ett dataintrång, vilket innebär att meddelandet kan komma från en bekant e-postadress.
E-postmeddelandet innehåller vanligtvis en länk som leder till en nätfiskewebbplats. Länken är ofta det enda sättet för användaren att upptäcka att det är fråga om en nätfiskewebbplats, eftersom nätfiskewebbplatsen visar en sida som ser ut som den egentliga inloggningssidan för användaren. När offret anger uppgifter på nätfiskewebbplatsen förmedlas dessa vidare genom brottslingens servrar till den egentliga inloggningsportalen, och uppgifterna för flerfaktorsautentisering som portalen efterfrågar begärs av offret i samma kedja. Efter det har brottslingen kommit över en fungerande sessionskaka, som hen kan använda för att logga in på offrets konto.
Efter en lyckad inloggning får brottslingen tillgång till resurserna och applikationerna på offrets Microsoft 365-konto. I offrets e-postlåda söker brottslingarna fakturor och annan konfidentiell information. Om fakturor eller penningtransaktioner hanteras på kontot kan brottslingarna använda det för till exempel fakturabedrägerier.
Det kan hända att intressanta organisationers konton som man tagit kontroll över köps och säljs på olika forum för brottslingar. Det kan finnas kritisk och känslig information på e-postkontona, varvid ett kontointrång även kan leda till att denna information läcker ut.
Kapade konton används ofta även för att sprida nya nätfiskemeddelanden till personer i offrets adressbok. För detta ändamål är det möjligt att man i offrets M365-miljö installerar ett separat program för massutskick, med hjälp av vilket tusentals nya nätfiskemeddelanden kan skickas från kontot. Om det i e-posten finns konfidentiella e-postmeddelanden kan brottslingarna kopiera delar av dem för att använda i en ny nätfiskekampanj. I de nätfiskekampanjer som förekommit i Finland har teman som exempelvis krypterad e-post, fakturor eller beställningar använts som grund för ett nytt nätfiskemeddelande.
Brottslingen kan ställa in vidarebefordringsregler för det kapade kontot för att kunna läsa och följa e-posttrafiken i upp till flera veckor utan att bli fast. I samband med kapningen är det möjligt att brottslingen till exempel skapar en regel för e-postkontot som skickar de meddelanden som kommer in i postlådan direkt till mappen för raderade eller arkiverade meddelanden och markerar dem som lästa. Med hjälp av vidarebefordringsreglerna försöker brottslingen dölja meddelanden och frågor om nätfiskemeddelanden eller fakturabedrägerier från kontot för användaren. Det är till och med möjligt att brottslingen svarar på frågor som nätfiskemeddelandena som skickats från det kapade kontot väcker samt uppmanar offren att lita på meddelandena och öppna dem.
Anvisningar till organisationer för hur de skyddar sig mot AiTM-nätfiske
Att utbilda och informera personalen är viktigt när det gäller att förebygga olika typer av nätfiske och bedrägerier. Beträffande AiTM-nätfiske rekommenderas att användaren ägnar uppmärksamhet åt länkar i meddelandena, i synnerhet om webbplatsen som öppnas förutsätter att man anger identifieringsuppgifter. Användaren ska försäkra sig om att hen inte är på en nätfiskewebbplats, utan på tjänsteleverantörens verkliga webbplats.
Du kan skydda dig mot AiTM-nätfiske genom att ta i bruk någon av följande identifieringsmetoder och definiera den som enda identifieringssätt:
- FIDO (Fast Identity Online)-autentisering
- Certifikatbaserad inloggning
- Passkey
- Microsofts Hello for Business
Ett annat bra sätt att skydda sig är att kräva att enheten som loggar in identifierar sig via en AD-anslutning eller en anslutning till Entra. Om du när du loggar in på kontot tvingas att logga in antingen med en identifierad enhet eller från en identifierad plats, eller att klara en identifieringsprocess som tål nätfiske är det mycket svårt att göra intrång i kontot. Ett sådant tvång görs med hjälp av villkorliga regler (Conditional Access policy).
Ett effektivt sätt att skydda sig mot AiTM-nätfiske i villkorliga regler är till exempel en riskbaserad Token Protection-regel för inloggningssessioner. Med hjälp av Token Protection-regeln säkerställs att användarnamn kan användas endast på enheter där användaren ursprungligen har loggat in.
När du skyddar dig mot nätfiske skulle det vara bra att även fundera på att ta i bruk följande villkorliga regler: