Svindel med BankID og mot banker har vi hørt mye om de siste årene. Slik svindel gir ofte store personlige konsekvenser for de som blir rammet. Det som ikke alltid får like stort fokus, er trusler mot andre innloggingsløsninger og tjenester og hvor ofrene i større grad er virksomheter. Vi har lenge blitt oppfordret til å aktivere tofaktorautentisering, eller «2FA» som det ofte betegnes som, på tjenestene vi benytter. Virksomheter generelt har nok blitt flinke til å kreve at de ansatte benytter 2FA. Dette skaper et hinder for de kriminelle, men ønsket om å få tilgang til virksomhetenes systemer og informasjon er fremdeles stort. De siste månedene er det publisert flere metoder for å «omgå» nettopp tofaktorautentisering i disse løsningene noe som gjør at anbefalingene nå endres. 

Flerfaktorautentisering (MFA) er en sikkerhetsmekanisme som krever at brukere oppgir to eller flere verifikasjonsfaktorer for å få tilgang til en ressurs, som en applikasjon, en online konto eller en VPN. Teorien bak MFA er å øke sikkerheten ved å kombinere flere former for autentisering, noe som gjør det betydelig vanskeligere for uautoriserte brukere å få tilgang.

Hovedkomponenter i MFA

    1. Noe du vet: Dette inkluderer vanligvis passord eller PIN-koder.
    2. Noe du har: Dette kan være en fysisk enhet som en smarttelefon, sikkerhetstoken eller smartkort.
    3. Noe du er: Dette innebærer biometrisk verifikasjon som fingeravtrykk, ansiktsgjenkjenning eller irisskanning.

Tofaktorautentisering den enkleste form for «flerfaktorautentisering» (MFA) hvor prinsippet ganske enkelt er at man kombinerer flere autentiseringsfaktorer, gjerne av ulik type, for å oppnå høyere sikkerhet. Man kan derfor tenke seg at å legge til flere faktorer kan øke sikkerheten, men her er kvaliteten på faktorene og hvordan de benyttes viktigere enn antallet. Her kommer de phishingresistente autentiseringsfaktorene inn. 

Truslene

De siste par månedene er det beskrevet nye angrepsmetoder mot både Microsoft og Google sine tjenester hvor man omgår 2FA. Det vil si – det gjennomføres en 2FA, men offeret lures til å logge inn svindleren. Det sentrale i begge angrepsmetodene er nemlig at svindleren evner å plassere seg mellom offeret og innloggingstjenesten som skal utnyttes. Måten angrepene gjennomføres på er sånn sett en utvikling av tidligere metoder som fisket koder og passord. Ekstra skummelt er det også at svindlerne forblir innlogget og kan utnytte tilgangen over lang tid.  

Overordnet fremgangsmåte

Trusselen mot Microsoft innlogging som ble beskrevet i desember, er ikke ett enkelt angrep, men en angrepspakke som svindlere kan abonnere på. Svindlerne kjøper et produkt som gjøre at de kan sette opp egne kampanjer med ulike metoder for å lokke deg til å logge inn på sine falske innloggingssider. 

I tilfellet med Google, utgir svindlerne seg for å være Googles egen annonsetjeneste og svindelen starter blant annet gjennom sponsede lenker i Google søk. Annonsene er identiske med Googles egne annonser og «onboardingsprosessen» er også tilsynelatende lik. Det er kun gjennom sidens adresse man enkelt kan se at noe skurrer. Når et offer starter «onboarding» til Googles annonseplattform, er det i realiteten svindlernes innlogging som møter de, og på samme måte som beskrevet over, er det svindlerne som logges inn. I din Google-konto.  

Anbefalinger 

Med svindlernes utvikling er ikke alltid gårsdagens anbefalinger lengre gyldige. MFA anbefales fremdeles, men allerede i midten av desember i fjor kom Nasjonal Sikkerhetsmyndighet som følge av økende trusler, med nye anbefalinger om bruk av sikrere, phishingresistente autentiseringsfaktorer. 

Alle virksomheter som benytter seg av digitale tjenester bør ha et aktivt forhold til risikoen ved bruk av disse. I lys av de nye angrepsmetoder kan det være relevant for flere å gjøre vurderinger av om sannsynligheten nå øker for at ansatte blir lurt og at utenforstående får tilgang til virksomhetens systemer og informasjon. Er risikoen uakseptabel kan det være på tide å gjøre tiltak. NSM mener nok det er på tide.

Som brukere må vi uansett fremdeles være forsiktige og tenke oss om før vi klikker på lenker – og nå også annonser. Ut over adresselinjen er det ofte få synlige signaler på at vi er i ferd med å bli svindlet og selv denne er i mange tilfeller til forveksling lik det vi ville forvente. Siden både Microsoft og Google oppretter sesjoner på den enheten man logger inn, er behovet for å logge inn faktisk redusert. Sitter du på en enhet hvor du vanligvis bruker disse tjenestene, bør en innloggingsside i seg selv få deg til å stoppe opp og tenke litt ekstra.  

Både Microsoft og Google har kontooversikter som gir oversikt over hvilke enheter man er logget inn på og nylig aktivitet. Det kan være en god praksis å titte innom disse en gang iblant og spesielt hvis du plutselig får en litt gnagende følelse av at noe ikke stemmer. Men gjør det før svindlerne gjør det, for de har jo akkurat de samme tilgangene som deg. 

Dagens svindlere er enormt tilpasningsdyktige og profesjonelle. Alle mottiltak fra leverandørene av innloggingstjenester og anbefalinger fra fagfolk til oss forbrukere vil møtes med nye metoder fra svindlerne og deres leverandører for å lure oss. Jo viktigere tjenestene innloggingstjenestene beskytter er, jo mer motivasjon vil også svindlerne ha for å utvikle metoder for å komme forbi våre mottiltak.

I Norden har vi lenge hatt nasjonale innloggingsløsninger som har vært under tilsvarende press fra svindlere. Nå innfører EU krav om tilsvarende løsninger i alle medlemsstatene som også skal fungere på tvers av landegrenser og på tvers av offentlige og private virksomheter. De nye EU Digital Identity Wallet løsningene vil raskt få svindlernes øyne på seg. Da er det viktig at leverandørene og de ansvarlige for disse løsningene lærer av historien, og av de som allerede kjemper på frontlinjene mot svindlerne. Her vil det ikke være rom for statiske løsninger som er bygget for et høyt sikkerhetsnivå i dagens trusselbilde. Trusselbildet forandrer seg forløpende og med økende takt etter hvert som svindelen også blir mer industrialisert. Da må innloggingsløsningene også være tilpasningsdyktige og mottiltak til endrede trusler komme raskt.

NSMs Anbefalinger til virksomheter

  • Implementer phishingresistent autentisering på Microsoft 365 og andre skyløsninger
  • Phishingresistent autentisering må påkreves som eneste autentiseringsmekanisme
  • Begrens tilgang til systemer som ikke støtter phishingresistent autentisering