Tofaktorautentisering (2FA) holder ikke lenger - dette må du gjøre nå | Session Hijacking

Skrevet av Guest User
Mann holder foredrag om tofaktorautentisering

I 2023 har viktige sikkerhetsrapporter fra Telenor, Kripos, Nasjonal sikkerhetsmyndighet (NSM) og Verizon konkludert med det samme: Digitale cybertrusler blir stadig skumlere. Vi oppdatere oss, og det kjapt.


Derfor må vi nå gjøre dere oppmerksomme på en ny angrepsform. I det siste ser vi stadig flere tilfeller av session hijacking eller session stealing våre kunder i Cyberon Security. Vi ser også andre sikkerhetseksperter som rapporterer om lignende. Session hijacking er en moderne, avansert og ikke minst overbevisende form for phishingangrep.

Hvorfor er session hijacking så farlig? To grunner: Den kan lett gjennomføres, og vil fungere selv om du benytter standard tofaktorautentisering når du logger deg på.


Her lærer du hva session hijacking er, hvordan det fungerer, og hva du må gjøre for å håndtere trusselen allerede idag.


Hva er session hijacking?

Et session hijacking-angrep er et digitalt angrep hvor målet er å kommer seg inn på dine kontoer og systemer. Der ønsker angriperne å finne, kopiere, stjele eller kryptere dine digitale eiendeler: Viktige filer og dokumenter, eposter, personopplysninger, detaljer o.l. Denne informasjonen og disse filene kan de benytte til å skade bedriften din, utnytte nettverket ditt, ødelegget ryktet ditt. I rundt 83% av angrepene har de en økonomisk motivasjon. I svært mange tilfeller er målet deres at du skal gi dem penger for å gi deg tilbake eiendelene dine.


Slik fungerer session hijacking-angrep

Session hijacking starter slik de fleste cyberangrep gjør i dag: Via en godt skrevet phishingepost.

innloggingsskjerm

Ville du logget inn via en lenke sjefen din sendte deg?

I denne eposten utgir en ondsinnet kriminell seg for å være din leder, kollega, samarbeidspartner, tjenesteleverandør eller bekjent. De sender deg en lenke eller en knapp hvor du må logge inn med ditt brukernavn, passord og tofaktorautentisering.

I e-posten skriver de kanskje at du må utføre oppgaven umiddelbart, at en viktig kunde venter, eller at du må godkjenne noe. I din travle arbeidshverdag vil du være effektiv, så kanskje du trykker, logger kjapt inn og fikser det de ber deg om. Du har jo loggen inn på egen bruker, så det er vel trygt?

Dessverre ikke. Lite vet du at den kriminelle har fulgt med på det du har skrevet, tatt en kopi - og nå er klar for å bruke det.

Hva gjør angriperne?

Tidligere har vi sett at kunder har mottatt e-post av det som faktisk ser ut til å være Microsoft. I e-posten ber de tilsynelatende kunden om å logge inn på OneDrive for å oppdatere passordet sitt, sjekke mistenkelig aktivitet, eller aktivere en oppdatering.

Trykker du på lenken for å logge deg inn, sitter en “mellommann” og lytter på trafikken. Slik fanger de opp brukernavnet ditt, passord og din session cookie, også kalt informasjonskapsel. En session cookie er noe nettleseren din trenger for at den skal holde deg innlogget selv om du trykker rundt på nettsiden. Er du innlogget på Sharepoint eller Facebook, er du innlogget med en session cookie. Denne varer en viss periode, og noen nettsteder lar innloggingen vare i ukesvis. Slik skal brukerne slippe å logge inn på brukeren sin hele tiden.

Angriperen laster ned session cookien din hos seg selv, og kommer rett inn på din konto - helt uten å måtte oppgi passord på nytt. Nå har angriperne ubegrenset tilgang på brukeren din, og kanskje også bedriftens systemer.

Hva kan de så gjøre? For eksempel kan de legge til flere påloggingsmetoder, sette opp automatisk videresending av eposter, og hente ut all informasjon de ønsker om deg, din bedrift og dine kunder. Mulighetene er mange, og de vil utnytte dem til sin fordel.

Så hvordan beskytter du deg?

De siste årene har du garantert hørt om tofaktorautentisering (2FA). Tofaktorautentisering har gradvis blitt innført, ofte som et sikkerhetskrav, for at ikke hvem som helst skal kunne logge seg inn på brukeren din, selv om de har både brukernavn og passord. Under en session hijacking kommer angriperne seg derimot forbi tofaktorautentiseringen.

Hva er tofaktorautentisering?

Tofaktorautentisering er en form for digital autentisering der du må bekrefte identiteten din på to forskjellige måter når du skal logge på. Slik forhindrer du at uvedkommende kommer seg inn på brukeren din, selv om de har skaffet seg passordet ditt.

Tofaktorautentisering gir høyere sikkerhet enn å kun bruke passord, fordi det kreves at du har tilgang til to av tre faktorer:

  1. Noe du vet (et passord/en kode)

  2. Noe du har/får (for eksempel kodegenerator eller tilsendt engangskoder på e-post eller tekstmelding),

  3. Noe du er (for eksempel ansiktsgjenkjenning, fingeravtrykk eller irisscann)

Tofaktorautentisering har lenge blitt ansett som et godt sikkerhetstiltak. Men når angripere tar i bruk ny, sofistikert teknologi, vil de lure deg til å oppgi både passord og tofaktoren - uten at du vet det.

Hvordan kommer angriperne seg forbi tofaktorautentiseringen?

Dersom du trykker på lenken fra eksempelet over, logger du selv inn med brukernavn, passord og tofaktorautentisering (2FA). Dermed bekrefter du at du er den du er til nettstedet/programmet du logger inn på. Da får du tilgang til brukeren og systemene brukeren er en del av. Laster angriperne ned din session cookie, registrerer nettsiden at angriperne er deg. Da gir de dem tilgang.

Et session hijacking angrep kan utføres ved hjelp av open source verktøy. Open source verktøy er programvare eller verktøy som er utviklet med åpen kildekode: Det betyr at kildekoden er tilgjengelig for alle og kan endres og distribueres fritt. Altså kan “hvem som helst” bruke verktøyet for å utføre angrep.

I denne YouTube-videoen viser John Hammond hvordan han utførte et angrep - uhyggelig enkelt.

"I Stole a Microsoft 365 Account. Here's how."

Du kan selv se hvor enkelt og effektivt dette er å sette opp. Derfor regner vi med å se dette som en standard i phishingeposter fremover. Trenden er økende, og stadig flere benytter muligheten.

Hvordan beskytter jeg meg mot session hijacking?

Det finnes heldigvis sikrere metoder for autentisering. De gir deg også muligheten til å nekte tilgang til din konto fra andre lokasjoner, slik at fremmede som sitter i andre land og byer blir sperret fra å logge seg inn. Kommer session hijacking-angrepet for eksempel fra London, vil innloggingen bli sperret, uansett om de stjeler både brukernavn, passord og tofaktorautentisering.

Microsoft har også en lengre artikkel hvor de går i dybden på slike angrep og metoder for å beskytte seg: Les den her.

Hva anbefaler vi mot session hijacking?

Du kan forbedre din egen og bedriftens sikkerhet med disse enkle grepene:

  • Benytt fysisk tofaktorautentisering. For eksempel USB-nøkler som er kompatible med FIDO2-standarden, eller sertifikatbasert autentisering.

  • Kombiner tofaktorautentisering med flere betingelser for pålogging. For eksempel IP-adresse, enhet, app o.l. Microsoft har en egen liste med bruksanvisning. (PS Krever P1/Business Premium lisens):

  • Benytt en tredjeparts sikkerhetsløsning som låser din konto og sesjon til spesifikke brukere eller systemer. Her har vi flere alternativer vi gjerne hjelper deg med.

Kan session hijacking skje meg?

Vi møter mange som tenker de ikke er utsatte for digitale angrep. Mange tenker at kun stor bedrifter og konserner blir angrepet. Flere tar også for gitt at sikkerhetsløsningene de har på jobb beskytter dem uansett.

Dette stemmer ikke.

Med kunstig intelligens utvikler digitale kriminelle stadig sine metoder, verktøy og taktikker. Sikkerhetsverktøyene er verdiløse om ansatte og ikke har gode vaner og rutiner for sikkerhet, og holder seg oppdatert.

I snitt koster et gjennomført digitalt angrep 44 millioner kroner for den som blir angrepet. Du vil ikke betale den summen.

Sett én fot inn i fremtidens sikkerhetsverden ved å sikre dine brukere gjennom knappen under.

Guest User
Forrige

Patching - sikkerhetsrutinen som beskytter mot katastrofale digitale angrep
Neste

Høydepunkter Sikkerhetsfestivalen 2023 - dette må du få med deg