Pågående nätfiskekampanj riktad mot kommuner och skolor
CERT-SE har den senaste tiden observerat flera fall där kommuner och skolor drabbats av vad vi bedömer vara samma nätfiskekampanj.
Det rör sig om mejl som innehåller länkar till samarbetsytor i SharePoint, OneNote och OneDrive. Mejlen kommer från personliga e-postadresser som verkar överensstämma med en faktisk anställd hos en kommun eller skola. De framstår som trovärdiga, är välformulerade och har relevant innehåll som stämmer överens med avsändaren. Ofta är avsändaren någon som är verksam inom samma typ av kommunal service som mottagaren.
I de fall som CERT-SE fått kännedom om är moduset likartat. Det handlar inte om felkonfigurering av system, utan om användarkonton och lösenord som utnyttjats.
Mejlen som skickas innehåller en länk till ett delat dokument i SharePoint, OneNote eller OneDrive. Om mottagaren klickar på länken skickas hen i sin tur vidare till en extern server, som innehåller en förfalskad inloggningsportal där användaren ombeds fylla i sin mejladress och lösenord. På detta sätt samlar hotaktören in användaruppgifter för att kunna ta över fler konton.
Då angreppsförsöket sker i två steg fångas den skadliga länken inte alltid upp av skanningsverktyg. Den första länken (till själva samarbetsytan) är legitim och släpps således igenom skanningen. Länken pekar i sin tur mot ett delat dokument med en länk till ovan beskrivna inloggningsportal, och det är det steget som inte alltid fångas upp.
När mottagare sedan lockats att klicka på länkarna laddas det skadliga innehållet upp på deras konto i SharePoint, OneNote eller OneDrive. Innehållet används sedan vidare i händelseförloppet, vid vidare kontakt med andra verksamheter.
CERT-SE vill uppmana till ökad vaksamhet, särskilt för användare inom kommuner och/eller skolverksamheter. Var allmänt uppmärksam på länkar som delas via e-post, särskilt från okända användare eller personer som man normalt inte har kontakt med. Om avsändaren delar en länk till SharePoint, OneNote eller OneDrive bör mottagaren motringa eller på annat sätt kontrollera med avsändaren att hen avsåg att dela informationen.
CERT-SE vill även uppmana verksamheter att dela observationer av nätfiske med CERT-SE för att vi inom ramen för vårt uppdrag ska kunna varna och ge stöd till andra som drabbats eller riskerar att drabbas. Vi tar gärna emot teknisk information för att kunna analysera gemensamma nämnare och på så sätt kunna varna andra.
Om ni drabbas uppmanar CERT-SE även till att dela information om företeelsen med andra kommunala verksamheter.
Rekommendationer
Se CERT-SE:s temasida med generella råd gällande nätfiske: https://www.cert.se/tema/natfiske
Förutom att byta lösenord och lägga till multifaktorautentisering på konton, rekommenderar vi även i detta fall att man söker efter tecken på att sessionskapning (session/cookie hijacking) använts för att få tillgång till it-miljön. Undersök även om ändringar av mejlregler och/eller autentiseringsmetoder genomförts i it-miljön.
Bakgrund och vidare läsning
Nätfiske mot svenska verksamheter är vanligt förekommande. Tekniken används av angripare i flera olika syften, exempelvis för att komma över känslig information som kan användas för att genomföra bedrägerier. Nätfiske används också som redskap för att få initial tillgång till it-miljöer som förberedelse till andra typer av cyberangrepp (exempelvis utpressningsangrepp).
Allt nätfiske leder inte till negativa konsekvenser, men den stora volymen av utskick gör att det alltid finns en viss risk att bedragaren lyckas.
Se CERT-SE:s temasida med generella råd gällande nätfiske: https://www.cert.se/tema/natfiske