Nye angrepsmetoder inntar arbeidshverdagen

Med stadig mer avanserte cyberangrep, dukker nye trusler opp som krever ekstra årvåkenhet og robuste forsvarsmekanismer. En av disse er Adversary in the Middle (AiTM)-angrep, en form for cyberangrep der angripere posisjonerer seg mellom to parter for å kapre kommunikasjon, data eller tilgang uten å vekke mistanke.

AiTM-angrep er spesielt farlige fordi de kan omgå sikkerhetstiltak som multifaktorautentisering og dermed gi angriperen full kontroll over en konto. Dette gjør dem til en alvorlig trussel mot både enkeltpersoner og organisasjoner. La oss fortelle deg hva et AiTM-angrep er og konkrete tiltak for å beskytte deg og bedriften din mot slike metoder.

Hva er AiTM-angrep?

Adversary in the Middle (AiTM) er en videreutvikling av det velkjente «Man in the Middle»-angrepet. Mens tradisjonelle angrep av denne typen stjeler data ved å overvåke kommunikasjon mellom to parter, går AiTM enda lenger. I stedet for å bare avlytte, oppretter angriperen en falsk versjon av en nettside eller tjeneste, og dirigerer offeret til denne.

Dette gjør at angriperen kan:

  • Kapre innloggingsdetaljer, som brukernavn og passord.
  • Omgå multifaktorautentisering (MFA) ved å videresende data fra offeret til den ekte tjenesten i sanntid.
  • Utføre ondsinnede handlinger i bakgrunnen uten at offeret er klar over det.

Hvordan fungerer AiTM-angrep?

Et typisk AiTM-angrep starter med at angriperen sender en phishing-e-post som lurer offeret til å klikke på en lenke som leder til en falsk nettside. Denne nettsiden fungerer som en proxy (fungerer som en mellommann) og videresender forespørslene til den ekte nettsiden, slik at den virker legitim. Når offeret skriver inn brukernavn, passord og eventuelle MFA-koder på den falske siden, fanges disse opp av angriperen.

Samtidig gis angriperen tilgang til den ekte tjenesten uten at offeret merker noe. Med denne tilgangen kan angriperen deretter logge seg inn på offerets konto og utføre ondsinnede handlinger, som å stjele data, sende ut flere phishing-angrep, eller f.eks. foreta finansielle transaksjoner. Denne angrepsmetoden kan altså gjøre stor, stor skade.

Hvem er målet for slike angrep?

Hackerne er i utgangspunktet ikke kritiske til hvem de kompromitterer. De er på en slags ondskapsfull fisketur for å se hva som fester seg i snøret. Når du eller noen andre fester dere i snøret fordi alt så legitimt ut, så jakter de inngang både for å kunne bruke kontoen, men også for å kartlegge hvilken verdi du eller tilgangen din kan gi dem. 

De benytter ofte en kompromittert konto til å sende ut e-post til alle kontaktene denne har kommunisert med. Så hvis de ikke gjør skade på din konto, så kan den brukes på andre måter. Hva de gjør med tilgangen de har skaffet seg kommer rett og slett an på kontoen din og «makten» du besitter i din organisasjon.

Alle kan altså bli et offer for angrep som denne. En hacker eller en organisasjon som jobber på denne måten kan ha alle slags motivasjoner bak å gjøre det. Men det er selvsagt mer sannsynlig at de vil gjøre skade eller forårsake noe i en eller annen form hvis de har fått tak i:

  • Bedrifter og organisasjoner: For å kompromittere sensitive data eller systemer.
  • Finansinstitusjoner: For å utføre bedrageri eller stjele penger.
  • Daglig leder eller mennesker i ledelse: Fordi de ofte har ekstra tilganger utover andre ansatte og i tillegg har beslutningsautoritet.
  • IT-administratorer: Fordi tilgang til deres kontoer kan gi angriperen kontroll over hele infrastrukturen.

Slik beskytter du deg mot denne typen angrep

Selv om AiTM-angrep er sofistikerte, finnes det effektive tiltak for å redusere risikoen.

Vi anbefaler å se på følgende:

  1. Onboarding av utstyr og samsvarskrav: Ved å sperre innlogging fra andre enn godkjente enheter, sikrer man at angripere ikke får mulighet til å logge seg på dersom man er uheldig. Dette gjør også at man sikrer at utstyret deres holdes på et anbefalt sikkerhetsnivå. 
  2. Ta i bruk phishing resistente to-faktor metoder: Vurder å ta i bruk sikkerhetsløsninger som er motstandsdyktige mot phishing-angrep. F.eks. FIDO2 hardware tokens, Windows Hello for Business, eller Passkeys.
  3. Ha riktig lisens: Microsoft 365 Business Premium eller E5 inneholder flere beskyttende mekanismer som Defender for Office og Defender for Endpoint. Disse gir sikring av linker og vedlegg, og samtidig bedre logging. 
  4. Øk bevisstheten blant ansatte: Gjennomfør regelmessige opplæringer i cybersikkerhet for å lære ansatte å identifisere og rapportere mistenkelige e-poster og lenker. 
  5. Begrens tilgangen til sensitive data: Implementer strenge tilgangskontroller slik at kun autorisert og nødvendig personell har tilgang til kritisk informasjon. 

Har du ikke muligheten til å gjøre dette på egenhånd? La oss hjelpe deg! Send «forebygge AiTM-angrep» til salg@braathe.no, så tar vi kontakt!