Finska organisationers e-postokonton kapas med hjälp av en nätfiskekampanj som sprider sig vitt. Brottslingar har fiskat efter användarnamn och lösenord för företagens anställda via e-post och bedrägerisidor samt använt dessa för att göra intrång i Microsoft 365-e-postsystem. Kapade konton används för att skicka nya nätfiskemeddelanden både inom en organisation och till andra organisationer.
Cybersäkerhetscentret har fått tiotals anmälningar om hackade Microsoft-konton och om nätfiskemeddelanden som skickats via dem. Med hjälp av dataintrång har angriparen fått tillgång till konton och e-postmeddelanden i dem. Cybersäkerhetscentret har inte fått veta om att dataintrången skulle ha lett till någon lateral spridning i organisationens system. Intrång i kontona utsätter organisationer dock även för andra säkerhetsöverträdelser.
Hur säkerhetsöverträdelsen framskrider
- Angriparen skickar nätfiskemeddelanden per e-post från hackade konton till användarkontots tidigare kontakter. Innehållet i nätfiskemeddelanden har varierat.
- Angriparen kan cirkulera e-postmeddelanden som offret tidigare skickat och foga en länk till nätfiskesidor. I många fall verkar nätfiskemeddelandet vara ett säkert e-postmeddelande. Meddelandet har förfalskats så att det liknar den allmänna e-postlösningen men länken till säker e-posttjänst har ändrats så att den leder till en webbplats som innehas av brottslingar.
- I vissa fall har angriparen skickat genuina säkra e-postmeddelanden. Nätfiskelänken har funnits i innehållet i det säkra e-postmeddelandet.
- På nätfiskesidor har man använt en avancerad adversary-in-the-middle-automatik (AitM) som i vissa fall också är kapabel att kringgå flerfaktorsautentiseringen. Mer information om att kringgå MFA genom AiTM-automatik (Extern länk) (Extern länk).
- Efter ett lyckat nätfiske försöker angriparen mycket snabbt hacka användarkontot. Inloggningsförsök kommer från alla delar av världen, även från Finland. Efter en lyckad inloggning skickar man nya nätfiskemeddelanden till förteckningen över kontakterna för kontot.
- I vissa fall, när mottagaren av ett näfiskemeddelande har svarat på nätfiskemeddelandet per e-post på finska, har angriparen svarat på finska och uppmanat mottagaren att öppna länken i nätfiskemeddelandet. Om man misstänker att meddelandet inte är äkta bör det kontrolleras via en annan kommunikationskanal. E-postmeddelandets äkthet kan kontrolleras till exempel genom att ringa upp avsändaren.
Målgrupp för varningen
Företag och andra organisationer som använder Microsoft 365-produkter.
Åtgärds- och begränsningsmöjligheter
- Utbildning av personal samt information
- Om du misstänker att meddelandet du fått inte är äkta svara inte på meddelandet utan försök ta kontakt på något annat sätt (t.ex. samtal, snabbmeddelande e.d.).
- Om du misstänker att e-postkontot har hackats kontrollera reglerna för vidaresändning både i administratörens vy och i användarens vy.
- I allmänhet räcker det inte att ändra lösenord för de hackade kontona om brottslingar har lyckats stjäla den så kallade sessionskakan (session cookie).
- Kontrollera gärna att angriparen inte har lagt till sin egen MFA-apparat på kontona.
- Återkalla användarens alla användarrättigheter för en stund så att de öppna sessionerna stängs, se https://learn.microsoft.com/fi-fi/azure/active-directory/enterprise-users/users-revoke-access (Extern länk)
- Flerfaktorsautentisering (MFA) har inte hindrat kriminell verksamhet.
- Det är nödvändigtvis inte tillräckligt att använda geoblockering för att avgränsa incidenten. Trafiken cirkuleras även via Finland.
- Användning av Conditional Access kan vara ett effektivt sätt.
- I några tidigare nätfiskekampanjer har knäckta lösenord använts för att installera emClient-applikationen (Azure AD enterprise application) via vilken man har skickat nätfiskemeddelanden vidare.
- Bra anvisning: https://learn.microsoft.com/en-us/microsoftteams/manage-apps#allow-or-block-apps (Extern länk)
Mer information
Gör en polisanmälan och anmäl till Cybersäkerhetscentret
Den pågående kampanjen är ganska omfattande och flera organisationer har drabbats av ett lyckat dataintrång. Speciellt utnyttjandet av lyckade dataintrång för fortsatta intrång höjer viktigheten av öppen och snabb delning av information. Vi uppmuntrar alla som drabbats av kampanjen att aktivt anmäla sina observationer till Cybersäkerhetscentret. Cybersäkerhetscentret sprider informationen vidare i sina samarbetsnätverk. Genom att sprida information om observerade incidenter kan vi tillsammans utveckla försvar mot angrepp och förhindra flera dataintrång.
Man ska göra en brottsanmälan om man drabbas av ett dataintrång eller ett försök till sådant. Det lönar sig också att anmäla incidenterna till Cybersäkerhetscentret. Till anmälan kan man också foga ett exempel på nätfiskemeddelandet och uppgifterna om incidentens konsekvenser för organisationen.
Uppdateringshistoria
Varningen är inte längre i kraft (8.11.2023)