Insecure in Security – ”Låg vetskap leder till kapade e-postservrar”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Låg vetskap leder till kapade e-postservrar
Skräppost eller spam är en lika självklar del av internet som oönskade pop-upfönster och vanligtvis reflekterar vi inte ens över dem då de vackert placerar sig själva i skräppost-korgen. Det är dock extremt problematiskt om ditt företags mailserver börjar utnyttjas för att skicka spam – inte bara för att det avsevärt ökar belastningen utan framför allt för att all e-post från verksamheten kan klassificeras som spam till följd av detta. Helt plötsligt börjar all din legitima e-post till kunder och kollegor hamna i skräpkorgar.

Under januari och februari månad ökade mängden spam i Sverige med över 10 procent och webbhotellet Loopia meddelade att de hade sett en ökning från 5-10 meddelanden i sekunden till 160 meddelanden i sekunden.

Nyligen genomfördes en något oinspirerad phishing-attack i Sverige där ett till synes Google-översatt mail meddelade anställda på företag att deras webbmail-kvot överskridits och att de ska besöka en länk för att återaktivera e-posten igen. Även om de allra flesta vet att de inte ska klicka på länkar från okända avsändare där bruten svenska används så räcker det att en person från ett företag gör det.  En liten andel av användarna klickade på länken och delade med sig av sina inloggningsuppgifter, varpå angriparna använde dessa stulna inloggningsuppgifter för att skicka spam via företagens webbmailkonton. Även om inte själva attacken var sofistikerad, verkar det som att relativt avancerade skript användes för att skicka skräppost.

Det är vanligt att dessa riktade attacker erbjuder dig något du behöver för att utföra ditt arbete –  som din e-post - eller så försöker de göra dig nyfiken på annat sätt. Och det finns gott om exempel på att människor är mer lättlurade än de tror.

En notorisk phishing-attack som just appellerade till personers nyfikenhet avslöjades förra året. Attacken riktades mot diplomater och politiska beslutsfattare som deltog i ett G20-möte i Paris. I mailet utlovades nakenbilder på Nicolas Sarkozys fru Carla Bruni-Sarkozy. Attacken var pinsamt nog väldigt framgångsrik och i det här fallet installerades en trojan när de besökte länken.

Men åter till phishing-attacken i Sverige. Över en halv miljon spammail skickades som resultat av attacken och flera företags utgående mail blev spärrad och placerade på spamlistor. Att plockas bort från spamlistor kan vara komplicerat och framförallt tidsödande. Hur kostsamma den här typen av störningar är för en verksamhet vill jag inte spekulera i – men det är enkelt att förstå att det var många som hade problem att utföra sitt arbete.

I det här fallet hade företagen tur i oturen då attacken endast riktades in sig på att kapa mailservrar för att distribuera skräppost – det hade kunnat vara avsevärt mycket värre. Uppgifterna kunde ha används för att få en djupare access i verksamhetens nätverk eller för att skada system och stjäla företags-och kunddata.

Spam är något som kommer vara en del av vår vardag så länge som internet är det – sista kvartalet 2013 skickades mer än 5 biljoner spammail och över 200 000 nya phishing-URL:er identifierades. Enligt Allen Paller vid SANS Institute är 95% av alla attacker mot företagsnätverk resultatet av lyckade phishing-attacker. Men det finns sätt att hantera det här på – för att försäkra sig att det inte händer i den egna verksamheten.

Det är omöjligt att helt och hållet borträkna den mänskliga faktorn men det finns några enkla steg företag kan ta, som att införa tvåvägsautentisering och etablera bättre e-postfiltrerings funktioner. Det viktigaste av allt är dock för IT-avdelningen att kommunicera ut verksamhetens säkerhetspolicy och speciellt eventuella hot till de anställda. Det kan också verka enkelt men jag ser allt oftare exempel på motsatsen – att IT-avdelningen uppmärksammar en attack men missar att meddela verksamheten om det. Kommunikation är ett av de starkaste säkerhetsverktyg vi har och jag uppmanar alla säkerhetstekniker att skicka ett mail till samtliga inom verksamheten om ett nytt försök av phishing mot den egna verksamheten upptäckts. För det första så kan detta minimera antalet personer som klickar på länken, för det andra så kan man snabbt få in rapporter på om någon faktiskt råkat klicka på länken.

Ju mer IT-avdelningen känner till – desto snabbare kan de hantera hoten.