Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - nätfiske, phishing, office 365, exchange, vd-bedrägeri

Oktober 2019: Nya angrepp mot e-postkonton i Office 365 och Exchange

Under veckan har CERT-SE från flera aktörer fått in rapporter om kapade e-postkonton. Vi återpublicerar därför en artikel som ursprungligen publicerades i somras.

En ny våg av ökande nätfiske har observerats i de nordiska länderna och med anledning av detta kommer denna uppdatering. Angreppen riktas främst mot företag med Exchange-instanser i Office 365. Förlusterna vid sådana angrepp kan uppgå till stora belopp.

En användare lockas via mejl att besöka en falsk webbsida där hen uppmanas ange inloggningsuppgifter till sitt mejlkonto. Bedragarna loggar sedan själva in på mejlkontot via Outlook Web Access. Om kontot ser tillräckligt intressant ut ändrar de inställningarna för kontot så att inkommande mejl, eller en kopia av mejlen, eftersänds till bedragarnas egna mejlkonto. Inställningar för eftersändning syns inte i administrationsgränssnittet för kontot varför användaren inte känner till att så sker.

Det övertagna mejlkontot kan därefter användas av bedragarna för att skicka nya meddelanden till andra användare inom samma företag eller till exempel dess affärspartner. Avsändaren är då legitim och betrodd av mottagarna. Sådana mejl kan innehålla nya nätfisken eller begäran om utbetalningar av pengar (så kallade VD-bedrägerier), inköp av varor, förfalskade fakturor etc. Det kan inte uteslutas att även information stjäls från, eller via, övertagna mejlkonton.

I många fall är även användarnamnet och lösenordet för mailkontot det samma som används för inloggning mot det lokala nätverket, och även för fjärrinloggning (VPN). Detta ger ytterligare en dimension i angreppet då antagonisten kan få tillgång till samma interna resurser som det kapade användarnamnet har behörighet till.

Rekommendationer

CERT-SE rekommenderar först och främst att implementera tvåfaktorsautentisering för all inloggning, även för extern åtkomst till mejltjänsten.

Kontrollera aktivitetsloggar efter annorlunda nätverk och tider för inloggningar. Befintliga eftersändningar bör kontrolleras (se Knep & knåp) för alla användare i systemet. Behovet av att fortsatt kunna sätta egna eftersändningsregler bör övervägas. Antalet skickade meddelanden per tidsenhet kan begränsas.

Utveckla användares vaksamhet och upplys om nätfiskarnas metodik. Inför effektiv lösenordspolicy.

Använd om möjligt DMARC som minskar risken att ta emot mejl från förfalskade avsändare.

I de fallen där det konstaterats att konton är kapade ska de låsas, därefter bör de drabbade användarna manuellt sätta nytt lösenord hos en administratör. Om det inte är möjligt att identifiera vilka konton som är kapade bör alla lösenord bytas ut.

Anmäl alltid misstänkt dataintrång, eller försök därtill, till Polisen. CERT-SE önskar också att drabbade företag tar kontakt med oss så att vi kan få en bättre lägesbild av omfattning och skilda modus. Vi bistår också med råd vid sådan incident.

Vi vill också tipsa om vår incidenthanteringsprocess gällande phishing: https://www.cert.se/incidenthantering/steg-2-identifiera/identifiera-phishing
I september publicerade NCSC-FI en guide med bra råd om skydd mot Microsoft Office 365-phishing och dataintrång:
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/T_MS365_eng_sivut200919HR.pdf

Knep & knåp

Lista alla användare som har eftersändning aktiverad med ett powershellskript i er Exchange-server eller Office 365-instans: 

$Mailboxes = Get-Mailbox -ResultSize Unlimited
ForEach ($Mailbox in $Mailboxes)
{
    $MailboxWithRule = Get-InboxRule -Mailbox $Mailbox.Alias |
    where {
        ($_.RedirectTo -ne $null) -or ($_.ForwardTo -ne $null) -or ($_.ForwardAsAttachmentTo -ne $null)
    }
    if ($MailboxWithRule -ne $Null)
    {
        Write-Host "Brevlådan $($Mailbox.PrimarySmtpAddress) har dessa regler:" $MailboxWithRule | 
        fl Name, Identity, RedirectTo, ForwardTo, ForwardAsAttachmentTo
    }
}

Källor

NorCERT https://nsm.stat.no/norcert/norcertvarsler/e-postsvindel-trend/
NCSC-FI https://www.viestintavirasto.fi/sv/cybersakerhet/varningar/2018/varoitus-2018-03.html
DMARC https://cert.europa.eu/static/WhitePapers/Updated-CERT-EU_Security_Whitepaper_DMARC_17-001_v1_2.pdf
Office 365 flerfaktorautentisering https://support.office.com/en-us/article/Set-up-multi-factor-authentication-for-Office-365-users-8f0454b2-f51a-4d9c-bcde-2c48e41621c6
Office 365 nätfiske https://blogs.technet.microsoft.com/office365security/how-to-review-and-mitigate-the-impact-of-phishing-attacks-in-office-365/
Exchange meddelandebegränsning https://technet.microsoft.com/en-us/library/bb232205(v=exchg.160).aspx