Nytt
Dataangrep mot NETT NO
Ukjent angripar ville bruke falske epostar frå NETT NO til å lure Danske Bank-kundar.
09.11.2018
I ni-tida i går kome det først ei tekstmelding frå eit it-tryggleikselskap og deretter ein telefon frå Nasjonal sikkerhetsmyndighet (NSM NorCERT) om falske epostar som såg ut til å kome fra NETT NO.
Målet var å lure kundar i Danske Bank til å klikke på ein link, som sende dei til nettside som såg ut som ei Danske Bank-sida, for deretter å logge inn med BankId og passord.
Utgangspunktet var eit angrep som utnytta ei feilkonfigurering hos NETT NO sin domene-leverandør.
Feilen blei retta i løpet av formiddagen i går.
NSM NorCERT sitt råd til bedrifter som vil hindre at deira epostadresser blir misbrukt er å ta i bruk eit sett med verkty; SPF, DMARC og DKIM.
- Det som er farleg er phishing (falske epostar sendt for å stele informasjon, red.merk) . Målet er å samle opplysningar, det kan vere passordet dei vil ha tak i eller andre ting, seier Hustadnes.
Hustadnes legg stor vekt på opplæring av tilsette om korleis dei kan kjenne att moglege phishing-angrep og korleis dei skal reagere.
Ser dei ein mistenkleg epost så sjekk om avsendaren er den som er oppgitt.
- Er du usikker så må du kontakte avsendaren - på telefon. I alle fall ikkje på epost, seier Hustadnes.
- Kva var innhaldet i epostane?
- E-postene indikerte at noen hadde logget inn på mottagers konto i Danske Bank.
- Kva ville avsendarane oppnå?
- E-postene oppfordret mottager til å klikke på en ondsinnet link, for så å logge inn med BankID-kode og passord.
- Kven sto bak?
- NSM NorCERT har ingen informasjon om hvilken aktør som står bak utsendelsen.
- Kor mange epostar blei sendt ut?
- NSM NorCERT har ingen oversikt over det totale antallet e-poster som ble sendt ut, men flere av NSM NorCERT samarbeidspartnere rapporterte om å ha mottatt phishing e-post som utgav seg å komme fra nett.no i løpet av dagen.
- Kva type bedrifter/personar var mottakarar?
- NSM NorCERT ser ingen fellesnevner mellom de firmaene som har rapportert å ha mottatt denne e-posten.
- Korleis skal bedrifter som framstår som avsendarar handtere slike situasjonar?
- Bedriften bør implementere tiltak for å forhindre at dette kan skje igjen (SPF, DMARC og DKIM). Bedriften bør også (om mulig) varsle de som har mottatt falske e-poster om hendelsen, slik at disse kan endre sine passord og andre sikkerhetstiltak.
- Korleis skal mottakarane reagere?
- Mottagere som identifiserer falske eposter eller phishing e-poster bør varsle sin egen IT-organisasjon. Lokal IT-organisasjon bør bedømme om andre ansatte har blitt lurt av phishingen, samt varsle den påståtte avsenderen om at deres domene er blitt misbrukt.
- Kor omfattande er denne type misbruk av epostar, og kva er dei mest vanlege måla til dei som står bak?
- NSM NorCERT ser ofte kampanjer som misbruker e-poster. De vanligste målene er enten phishing (stjeling av nettbank-, e-post- eller andre påloggingsopplysninger), eller med det formål å lure mottager til å installere krypteringsvirus eller banktrojanere, skriv Johnsen.
Målet var å lure kundar i Danske Bank til å klikke på ein link, som sende dei til nettside som såg ut som ei Danske Bank-sida, for deretter å logge inn med BankId og passord.
Utgangspunktet var eit angrep som utnytta ei feilkonfigurering hos NETT NO sin domene-leverandør.
Feilen blei retta i løpet av formiddagen i går.
For ordens skuld: Har du fått ein epost som ser ut til å vere frå NETT NO og fortel at nokon kan ha klikka seg inn på din konto i Danske Bank, og oppfordrar deg til å klikke på ein link til Danske Bank - så er den falsk.
Omfattande forsøk
Senior kommunikasjonsrådgivar Fredrik Johnsen skriv i ein epost til NETT NO at NSM NorCERT ofte ser kampanjar som misbrukar e-postadresser. Dei vanlegaste måla er enten phishing (steling av nettbank-, e-post- eller andre påloggingsopplysninger), eller med det formål å lure mottakaren til å installere krypteringsvirus eller banktrojanar.NSM NorCERT sitt råd til bedrifter som vil hindre at deira epostadresser blir misbrukt er å ta i bruk eit sett med verkty; SPF, DMARC og DKIM.
SPF
står for Sender Protocol Framework,DMarc
står for Domain-based Message Authentication, Reporting & Conformance),DKIM
står for DomainKeys Identified Mail, digital signering av e-post. Alle er verkty for å hindre at noko får tilgang til å sende falske epostar.Ta ein telefon
Vigleik Hustadnes, informasjonstryggleiksleiar i Tussa IKT, seier det er ein omfattande aktivitet der epostadresser blir forsøkt misbrukt. Det er blitt mindre av ufarleg og mindre farleg epost, fordi desse i større grad blir fanga opp i spamfilter. Men likevel blir bedrifter og personar heile tida utsett for angrep via falske epostar.- Det som er farleg er phishing (falske epostar sendt for å stele informasjon, red.merk) . Målet er å samle opplysningar, det kan vere passordet dei vil ha tak i eller andre ting, seier Hustadnes.
Hustadnes legg stor vekt på opplæring av tilsette om korleis dei kan kjenne att moglege phishing-angrep og korleis dei skal reagere.
Ser dei ein mistenkleg epost så sjekk om avsendaren er den som er oppgitt.
- Er du usikker så må du kontakte avsendaren - på telefon. I alle fall ikkje på epost, seier Hustadnes.
Bløff
Den falske eposten skulle bløffe Danske Bank-kundar til å gi frå seg opplysningar ved å få dei til å tru at nokon hadde logga seg inn på deira konto, skrive senior kommunikasjonsrådgivar Fredrik Johnsen i NSM NorCERT til NETT NO.- Kva var innhaldet i epostane?
- E-postene indikerte at noen hadde logget inn på mottagers konto i Danske Bank.
- Kva ville avsendarane oppnå?
- E-postene oppfordret mottager til å klikke på en ondsinnet link, for så å logge inn med BankID-kode og passord.
- Kven sto bak?
- NSM NorCERT har ingen informasjon om hvilken aktør som står bak utsendelsen.
- Kor mange epostar blei sendt ut?
- NSM NorCERT har ingen oversikt over det totale antallet e-poster som ble sendt ut, men flere av NSM NorCERT samarbeidspartnere rapporterte om å ha mottatt phishing e-post som utgav seg å komme fra nett.no i løpet av dagen.
- Kva type bedrifter/personar var mottakarar?
- NSM NorCERT ser ingen fellesnevner mellom de firmaene som har rapportert å ha mottatt denne e-posten.
- Korleis skal bedrifter som framstår som avsendarar handtere slike situasjonar?
- Bedriften bør implementere tiltak for å forhindre at dette kan skje igjen (SPF, DMARC og DKIM). Bedriften bør også (om mulig) varsle de som har mottatt falske e-poster om hendelsen, slik at disse kan endre sine passord og andre sikkerhetstiltak.
- Korleis skal mottakarane reagere?
- Mottagere som identifiserer falske eposter eller phishing e-poster bør varsle sin egen IT-organisasjon. Lokal IT-organisasjon bør bedømme om andre ansatte har blitt lurt av phishingen, samt varsle den påståtte avsenderen om at deres domene er blitt misbrukt.
- Kor omfattande er denne type misbruk av epostar, og kva er dei mest vanlege måla til dei som står bak?
- NSM NorCERT ser ofte kampanjer som misbruker e-poster. De vanligste målene er enten phishing (stjeling av nettbank-, e-post- eller andre påloggingsopplysninger), eller med det formål å lure mottager til å installere krypteringsvirus eller banktrojanere, skriv Johnsen.
Publisert: 09.11.2018 11:28
Sist oppdatert: 10.02.2021 14:27