Ráðleggingar vegna vefveiðipósta sem eru enn í umferð

Við vekjum athygli á að enn eru vefveiðipóstar að berast til íslenskra fyrirtækja. Í þessari viku hafa fjölmargir aðilar sem eru ekki á bak við varnir Skjaldar haft samband og óskað eftir aðstoð við hreinsun og yfirferð á umhverfum sínum. Við viljum því eindregið hvetja fyrirtæki til að upplýsa starfsfólk sitt um að vera á varðbergi og nýta „Report Phishing“ hnappinn við ef einhver grunur er um ólögmæta pósta.

Hvað er að gerast? – Yfirlit yfir vefveiðiherferðina

CERT-IS og margir viðskiptavinir Skjaldar hafa greint frá mjög trúverðugri svikaherferð sem byggir á Excel-skjölum og fölsuðum Microsoft-innskráningum. Póstarnir virðast koma frá traustum aðilum hér á landi en aðgangurinn er svo tekinn yfir og notaður til að senda herferðina áfram. Þetta gerir árásina aðgengilega, sannfærandi og sérlega varasama.

Helstu skref árásarinnar:

1. Póstur frá traustum aðila (búið að taka yfir aðgang hjá raunverulegu íslensku fyrirtæki).
2. Excel-skjal í viðhengi merkt sem „reikningur“ eða „invoice“.
   -Athugið að bara við það að opna skjalið, geta átt sér stað aðgerðir á bak við tjöldin.
3. Hlekkur í skjalinu opnar falsaða Microsoft-innskráningu.
4. Notandi slær inn netfang + lykilorð + MFA, og árásaraðili fær „session token“ og kemst yfir aðgangsupplýsingarnar.
5. Aðgangurinn er svo notaður til að senda nýja bylgju pósta á fleiri fyrirtæki.

Staðan hjá þeim sem eru á bak við Skjöld hjá Advania

Fyrirtæki sem eru með varnir Skjaldar fá yfirleitt ekki þessar sendingar inn á pósthólfin sín, því viðskiptavinir Skjaldar eru með aukna póstvörn. Í stöku tilfellum geta þessir póstar sést í örskamma stund en hverfa svo þegar varnir okkar hafa sannreynt að um svikapóst er að ræða.

Þó er vert að nefna að í þessum herferðum koma póstar frá lögmætum íslenskum aðilum, svo það getur komið fyrir að allar varnir, hvort sem það er Skjöldur, Microsoft eða aðrar , grípi ekki póstinn strax, því hann kemur frá lögmætu, raunverulegu fyrirtæki.

Mikilvægt að vita: Ef notandi smellir óvart á hlekk eða opnar skjal sem inniheldur vírus, þá fara af stað viðvörunarbjöllur hjá vörnum Skjaldar og teymið okkar fer í málið.

Ráðleggingar til fyrirtækja sem eru ekki í Skildi

• Upplýsið starfsfólk tafarlaust
  • Varið við óvæntum póstum sem innihalda Excel-skjöl
  • Skoðið og lesið vel lén á innskráningarsíðum (til dæmis Login.microsoftonline.com) og staðfestið að það sé rétt lén
  • Notið „Report Phishing“ við minnstu efasemdir
• UT deildir ættu að fylgjast vel með innskráningum og aðgangsstillingum
  • Athugið óeðlilegar innskráningar frá útlöndum
  • Farið yfir nýjar eða óþekktar póstreglur
  • Skoðið hvort „Perfect Data“ er tengt aðganginum (því það getur exportað gögnum)
• Ef grunur vaknar um aðgangsmissi
  • Veljið „Revoke all sessions“
  • Endursetjið lykilorð
  • Endursetjið MFA á ný
  • Fjarlægið einnota lykilorð (OTP) ef þau hafa verið virkjuð
  • Athugið fleiri aðganga sem gætu verið í hættu
• Tilkynnið atvikið
  • CERT-IS tekur við tilkynningum um öryggisatvik
  • Persónuvernd gæti þurft að fá tilkynningu ef pósthólf eða gögn hafa verið lesin

Við erum tilbúin til þess að aðstoða!

Ef þið viljið aðstoð við greiningu, ráðgjöf, hreinsunarvinnu eða einfaldlega skoða þann möguleika að komast á bak við varnir Skjaldar, öryggisþjónustu Advania, þá erum við til taks og svörum hratt.

Við erum hér til að styðja ykkur, bæði í forvörnum og þegar atvik koma upp.