Svikaherferðir í tölvupóstum
Undanfarnar vikur og mánuði höfum við hjá Advania orðið vör við mikinn fjölda svikapósta sem auknar póstvarnir okkar hafa verið að grípa. Um er að ræða svokallaðar „Adversary in The Middle“ – eða AiTM árásir sem lýsa sér þannig að fórnarlömb eru blekkt og vísað inn á falskar síður sem eru sérstaklega hannaðar til að stela aðgangsupplýsingum.
Guðmundur Arnar Sigmarsson
netöryggis- og gagnaþróunarstjóri Advania
Þessi tegund árása hefur verið plága undanfarna mánuði og því vert að fara nánar yfir málið. Skjaldarteymi Advania er boðið og búið að veita frekari ráðgjöf með þessa tegund ógna og hefur aukin póstvörn Skjaldar náð góðum árangri við að stöðva þessa svikapósta.
Hvernig virka þessi svik gagnvart mér?
1. Þér berst tölvupóstur, t.d. frá traustum aðila, t.d. jon.jonsson@flugmenn.is, sem inniheldur svikult viðhengi eða hlekk
2. Hefðbundnar póstsíur sjá ekkert athugavert við tölvupóstinn þar sem hann er að koma frá traustum aðila (@flugmenn.is)
3. Í góðri trú smellir þú á svikula hlekkinn eða opnar viðhengi sem blekkir þig inn á falska innskráningarsíðu, oft í nafni Microsoft
4. Þú skráir þig inn á síðuna, aftur í góðri trú, með þínum réttu aðgangsstýringum. Gefur upp notendanafn og lykilorð og staðfestir með því að nota tvöfalda auðkenningu
5. Í raun varst þú að senda ógnaraðilanum á bakvið svikin allar upplýsingar sem hann þarf til að geta sjálfur auðkennt sig í þínu nafni inn í þitt raunverulega umhverfi. Þú hefur í raun ómeðvitað „afhent honum lyklana“ í góðri trú.
6. Ógnaraðilinn tengir sig inn í þín kerfi með þínum aðgangslyklum og getur þar valdið ómældum skaða. Algengt er að hann sendi fleiri svikapósta með svikult viðhengi eða hlekk á þúsundir nýrra fórnarlamba í þínu nafni.
Þannig gengur þessi svikaherferð áfram og endurtekur sig og ógnaraðilar safna innskráningarupplýsingum fjölda fórnarlamba.
Þetta getur þú gert
Það er ýmislegt hægt að gera og aðgerðir sem hægt er að grípa í til að fyrirbyggja sem mest skaða af svona svikaherferðum
Rekstraraðilar upplýsingatæknikerfa:
- Fræða starfsfólk um þessa ógn og áhættu
- Fylgjast vel með „grunsamlegum“ tengingum inn í kerfin í nafni starfsmanna. T.d. ef tengingar eru að koma erlendis frá.
- Meta að innleiða „Phishing-Resistant“ MFA fjölþátta auðkenningu. (FIDO lyklar eða Windows Hellosem dæmi)
- Skoða hvort hægt sé að loka á tengilotur (e. sessions) í nær rauntíma verði grunsamlegar breytingar á uppruna þeirra.
- Innleiða auknar póstvarnir sem horfa lengra en hefðbundnar svikapóstavarnir, þar sem dýpri hegðunargreining fer fram.
Einstaklingar og möguleg fórnarlömb:
- Beita heilbrigðri tortryggni gagnvart öllum hlekkjum og viðhengjum
- Ef tölvupóstur vísar þér á einhverja vefsíðu þar sem þess er krafist er að þú sláir inn upplýsingar og/eða auðkennir þig er sérstök ástæða til að vera á varðbergi
- Gott er að afrita slóðina sem þér er vísað á og spyrja hefðbundin gervigreindartól (Copilot, ChatGPT o.sv.frv.) hvort þau telji að síðan sé örugg.
- Hringja í þann sem sendi þér tölvupóstinn til að staðfesta að hann hafi verið að senda þér viðhengi eða hlekk. Ef viðkomandi er þegar vásettur (e. compromised) þá er ekki hægt að senda þeim aðila tölvupóst.
- Gervigreind er til dæmis fljót að sjá að login.rnicrosoftonline.com er að nota stafina „rn“ til að herma eftir „m“. Auðvelt er fyrir manneskjur að taka ekki eftir því en augljóst fyrir gervigreind.
- Tilkynna rekstraraðilum ef minnsti grunur er um eitthvað vafasamt. Fínt að fylgja þeirri reglu að ef þú ert yfir höfuð að velta fyrir þér að tilkynna, þá átt þú að tilkynna.
Komi upp grunur um að þú hafir fallið fyrir svikum:
- Leitið ráðgjafar til rekstraraðila
- Endursetjið lykilorð og tveggja þátta auðkenningu
- Skráið út allar tengingar ólíkra tækja við reikning ykkar (þetta er oftast hægt að gera með einum takka í öryggisstillingum kerfa)
- Ef slíkt er mögulegt að þá rýna innskráningarsögu