Jeg ble lurt
Denne ukens mest interessante og lærerike opplevelse, var å være mottager av et angrep. Det var godt å se at etablerte tiltak stoppet det, men også en øyneåpner.
Hendelsen startet med at jeg mottok en mail fra daglig leder i reisebyrået vi bruker. En del av forklaringen på at den gikk under radaren, er at jeg faktisk ventet et dokument fra han. Mailen var formulert på akseptabel norsk, med hans mailsignatur etc. Selv om jeg stusset på en av formuleringene, var det ikke nok til å øke bevissthetsnivået. I mailen lå filen tilsynelatende delt som et OneDrive dokument, og følgelig måtte jeg gjennom en autentiseringsprosess for å få tilgang. Ikke noe uvanlig i det, men det gav ingen fil som resultat. Jeg stoppet derfor etter to forsøk, og sendte en mail til han om at jeg ikke hadde fått filen.
Rundt klokken 1600 var jeg borte fra PC’en, men Microsoft Authenticator appen varslet om at jeg var i gang med en pålogging. Avslo selvfølgelig, og funderte litt på hvorfor den varslet. Rett etter ringte telefonen med en samtale fra USA. Tok ikke imot den, ettersom telefoner derfra som regel er uønskede salgshenvendelser. Jeg googlet nummeret: «Microsoft Authenticator Phone service». Da begynte det endelig å gå opp for meg hva dette trolig handlet om, og tankene returnerte til mailen fra reisebyrået. Det gikk opp for meg at jeg hadde blitt lurt til å gi fra meg brukernavn og passord.
Jeg skiftet passord på kontoen umiddelbart, og startet en dialog med noen av våre sikkerhetskyndige konsulenter. Vi bruker Office 365 og Azure AD P2 som innebærer ekstra sikkerhetsbarrierer, to-faktor autentisering og brukbare rapporter om hva som skjer. Fant frem den angjeldende mailen, og så at den i ettertid var gjenkjent og prosessert av Microsoft. Nå lå det med en tekstfil med tittel «Zero Hour Auto Purge – Malware Alert Text». «Zero Hour» er en indikasjon på hvorfor den slapp gjennom. Det er et begrep som brukes om angrepsmetoder eller signaturer som ikke er kjent av forsvarsmekanismene fra før.
Rapporteringen viste at vi på min konto hadde hatt innloggingsforsøk fra Amsterdam og Ghana. Det eneste som forhindret full tilgang, er at vi har to-faktor autentisering på våre systemer. Det er også poenget med å formidle denne historien.
For den som er ukjent med begrepet to-faktor, betyr det at man innfører et element til påloggingsprosessen ut over brukernavn og passord. To-faktor er relativt enkelt å etablere, selv for systemer som ikke har direkte støtte for det. Vi ser alt for mange systemer som mangler denne vesentlige barrieren, og de er åpenbare og hyppige mål for denne type angrep. Som daglig leder i Sicra er jeg godt kjent med risiko og angrepsmetode, men jeg gjenkjente ikke dette som et angrep før jeg hadde gitt fra meg brukernavn og passord. Det er nok mange uten to-faktor autentisering som aldri ville ha oppdaget at de hadde gitt fra seg nøklene til kongeriket. Vi har selvsagt varslet reiseselskapet, og bedt det informere relevante parter om kompromitteringen.
Om du trenger assistanse til å sjekke eller etablere to-faktor, ta kontakt. For mer informasjon om to-faktor se NSM side https://nsm.stat.no/aktuelt/passordanbefalinger-fra-nasjonal-sikkerhetsmyndighet/