Nye phishing-teknikker og geopolitisk spenning

Det er helt klart at angriperne jobber på høygir og utnytter bredden i trusselbildet.

Eskaleringen i Midtøsten og storpolitikken treffer også lokalt, og norske virksomheter må nå navigere i et landskap med forhøyet indirekte risiko.

AiTM, falsk KI og skadelig reklame

Den generelle økningen i hendelser gjenspeiles tydelig i våre observasjoner fra februar. Trusselaktørene har tilpasset seg, og vi ser spesielt tre trender som utmerker seg:

Thomas
Havdal Rydland

Thomas Havdal Rydland er leder for etterretning i Advania Cyber Defence Center. Han rapporterer månedlig til Computerworld om hva som beveger seg på sikkerhetsfronten for norske virksomheter. 

Quishing

Hva er Quishing – og hvorfor lurer det sikkerhetsfiltrene?

Quishing (en sammentrekning av "QR" og "phishing") er en teknikk der angripere skjuler ondsinnede lenker i en QR-kode. Selv om vi er vant til å skanne QR-koder for alt fra restaurantmenyer til betaling, utgjør de en voksende blindsone for bedriftens sikkerhet:

• Omgår tekniske barrierer: Tradisjonelle e-postfiltre og sikkerhetsmekanismer er eksperter på å skanne tekst og vanlige lenker. Siden en QR-kode bare er en bildefil, glir e-posten ofte rett forbi filteret og lander usett i innboksen til den ansatte.

• Flytter angrepet til mobilen: Målet med quishing er å få den ansatte til å bruke mobilkameraet sitt. Da flyttes angrepet bort fra den strengt sikrede jobb-PC-en (som gjerne har nettverksblokkering og avansert endepunktssikkerhet) og over på en smarttelefon hvor sikkerheten ofte er langt svakere.

• Skaper falsk trygghet og hastverk: Angrepene pakkes gjerne inn som noe presserende relatert til sikkerhet eller daglig drift. Et klassisk eksempel er en e-post fra "IT-avdelingen" med beskjed om at "Du må skanne denne QR-koden for å oppdatere Microsoft Authenticator før kl. 12:00, ellers mister du tilgangen".

• MFA-omgåelse via AiTM: Phishing-kampanjene blir stadig mer sofistikerte. Vi ser en økning i AiTM-angrep (Adversary-in-the-Middle) som er spesifikt designet for å omgå tradisjonell multifaktorautentisering (MFA) og la angriperne kapre aktive brukersesjoner. I kombinasjon med at generativ AI drastisk har senket den språklige terskelen for utenlandske aktører, gjør dette kampanjene svært overbevisende.
• Ondsinnede KI-utvidelser: Trenden vi advarte mot tidligere i år fortsetter for fullt. Vi identifiserte i februar en økning i saker som involverer skadelige Chrome-utvidelser. KI-verktøy er svært populære blant brukerne, noe angriperne utnytter aktivt for å få fotfeste.
• Malvertising og falske PDF-apper: Vi ser også en økning i hendelser der brukere blir omdirigert via skadelig reklame (malvertising) på nett til å laste ned og kjøre ondsinnet programvare. Flere av disse sakene har involvert nedlasting av falske PDF-applikasjoner.

En ny og urovekkende utvikling innen phishing er verktøyet «Starkiller», et avansert phishing-kit som fungerer som en proxy, eller mellomledd, mot reelle innloggingssider. Den bruker URL-maskering for å skjule den egentlige destinasjonen, samtidig som den fanger opp brukernavn, MFA-koder og sesjons‑ID-er. Starkiller representerer en betydelig utvikling innen phishing, og deteksjon av slike angrep er for øyeblikket en stor utfordring for hele sikkerhetsbransjen.

Vi har også registrert at Quishing (QR-kode-phishing) etablerer seg. Metoden går ut på å flytte angrepet fra en sikret PC til en mindre sikret smarttelefon, samtidig som den omgår tradisjonelle e-postfiltre. Vær derfor varsom med å skanne QR-koder du ikke har bekreftet som trygge. Når det er mulig, besøk heller innholdet direkte via kjente og verifiserte nettsider. 

Eskalering i Midtøsten – USA/Israel vs. Iran

Den 28. februar gjennomførte USA og Israel militære angrep mot Iran, med påfølgende iranske motangrep. Trusselnivået er i dag vurdert til HØY, noe som innebærer at minimum én aktør har intensjon, kapasitet og handlingsrom til å gjennomføre et cyberangrep.

I Iran falt internettrafikken dramatisk til kun 4 % etter at den iranske regjeringen innførte en nesten total nedstenging av internett. Flere apper og statlige nettsider ble rammet. Blant annet ble appen “BadeSaba” kompromittert og brukt til å spre meldinger rettet mot regimet.

USA og Israel ansees for å ha avanserte statlige cyberkapasiteter med integrerte militære- og etterretningsressurser, mens Iran generelt regnes som noe mindre teknologisk sofistikerte.

Hva betyr dette for norske interesser og virksomheter?

En direkte, målrettet cyberkampanje mot Norden anses på nåværende tidspunkt som usannsynlig. Risikoen ligger primært i ringvirkningene:

• Indirekte påvirkning: Nordiske interesser kan bli påvirket indirekte gjennom leverandørkjeder, eller bli opportunistiske mål for hacktivister.
• Fysisk eksponering: Rundt 30 norsktilknyttede skip befant seg i området under angrepet, og kan bli påvirket ved ytterligere eskalering. I tillegg har flere norske selskaper kontorer, operasjoner eller utstasjonerte ansatte i regionen. Disse risikerer både å bli berørt av fysiske uroligheter og av massive digitale brudd, slik som de omfattende internettutfallene vi allerede har sett i regionen.
• Aksjonsformer: Cyberaktiviteten forventes primært å ramme USA og Israel, og vil sannsynligvis være forstyrrende, opportunistisk eller innflytelsesorientert, muligens også destruktiv. Selskaper med spesiell eksponering kan bli berørt.

Hva bør du tenke på fremover?

Det er noen tiltak vi anbefaler for å klare å møte det møte både det operative og det geopolitiske trusselbildet på en god måte:

• Innføre phishing-resistent MFA: Dette anbefales sterkt som det mest effektive forsvaret mot AiTM-angrepene som stjeler brukersesjoner.
• Ta kontroll over nettleseren: Begrens hvilke nettleserutvidelser brukerne får lov til å installere for å stoppe strømmen av ondsinnede AI-verktøy.
• Bevisstgjør de ansatte: Sørg for at ansatte forstår risikoen ved å laste ned programvare fra uoffisielle kilder, spesielt når de blir omdirigert via reklamer på nett (malvertising).
• Gjennomgå leverandøravhengigheter: Dette anbefales for å redusere risikoen for indirekte påvirkning fra konflikten i Midtøsten.