Cyberattack via leverantör: Så kringgår hackare MFA och stjäl åtkomst
Vad är en supply chain-attack via mejl? En supply chain-attack via mejl innebär att angripare först hackar en leverantör eller samarbetspartner, sedan använder deras konto för att skicka fildelningar som lurar anställda att logga in på falska sidor. Attacken kringgår ofta MFA genom en teknik som kallas AiTM (Adversary-in-the-Middle).
Hur går en supply chain-attack via mejl till?
Attacken börjar alltså hos en extern part. Det kan vara er redovisningskonsult, marknadsföringsbyrå eller annan leverantör som har tillgång till dokument eller annan delad kommunikation.
När det externa kontot är hackat används det för att dela filer via tex SharePoint, OneDrive, Dropbox eller liknande. Det som gör angreppssättet så effektiv är att aviseringarna ofta är äkta och kommer från legitima avsändare. Dokumentet är ofta anpassade med filnamn som ”Uppdaterat avtal” eller ”Projektplan”. En medarbetare blir ombedd att logga in för att se filen och ger på detta sätt åtkomst även med MFA aktiverat.
"När kriminella kombinerar automatisering med moderna AI-verktyg kan de utföra attacker som tidigare skulle krävt många timmars manuellt arbete. Nu analyserar de mejlhistorik, förstår relationer och genererar trovärdiga filer och filnamn på sekunder. Med dessa verktyg attackerar de allt och alla, hela tiden." Säger Gaute Meland, Seniorkonsult IT-drift, Nordlo Bergen
Varför MFA inte alltid räcker
När användaren loggar in för att se filen sker det kritiska ögonblicket: angriparen kopierar sessionsinformationen i realtid. För den anställde ser inloggningen helt normal ut, även med tvåfaktorsautentisering aktiverad. Angriparen tar över en giltig session och får samma åtkomst som användaren.
"AiTM undergräver inte MFA i sig, det utnyttjar att användaren litar på ett inloggningsfönster som ser helt äkta ut. Så länge vi måste kunna logga in någonstans kommer det alltid finnas en väg in för angripare. Därför måste tekniska åtgärder kombineras med utbildning." fortsätter Gaute Meland.
Konsekvenser av en lyckad supply chain-attack
När angripare har en giltig session kan de läsa och skicka mejl i användarens namn, sätta upp dolda vidarebefordringsregler, ändra betalningsinformation i pågående affärer och använda kontot för att sprida attacken vidare, både internt och till era kunder och partners.
Att aktiviteten liknar ofta legitim användning, gör också att det kan ta veckor innan någon upptäcker intrånget. Ju längre tid angriparen har tillgång, desto större blir skadan.
Så skyddar du företaget mot supply chain-attacker
Försvaret måste vara tudelat, både mänskligt och tekniskt.
Utbildning och medvetenhet:
På den mänskliga sidan handlar det om att skapa en kultur där anställda vågar ifrågasätta vad de ser framför sig på skärmen. Detta kräver utbildning och högt i tak. Visa konkreta exempel på hur attacker kan se ut och hur de kan verifiera oväntade delningar vid misstanke om intrångsförsök.
Tekniska åtgärder:
På den tekniska sidan finns flera lager som tillsammans skapar ett starkare skydd.
- Riskbaserat kontoskydd. Reagerar automatiskt på avvikande inloggningar från oväntade platser, okända enheter eller vid ovanliga tidpunkter.
- Stäng av legacy authentication. Gamla inloggningsmetoder saknar ofta stöd för MFA och är en vanlig väg in för angripare.
- Begränsa extern delning. Kräv extra godkännande för känsliga filer och säkerställ att anställda bara har åtkomst till det de behöver.
- Löpande övervakning. Övervaka mejlregler, kontobeteende och inloggningsaktivitet, och ha en fungerande incidenthantering på plats.
"Många verksamheter sitter redan på säkerhetsfunktionalitet de inte utnyttjar fullt ut. När bra tekniska åtgärder kombineras med anställda som vet vad de ska titta efter står man betydligt starkare mot den här typen av attacker.” avslutar Gaute Meland
Vi hjälper er att säkra leverantörskedjan
Nordlo kan göra en kartläggning av era sårbarheter och leverera en prioriterad handlingsplan, från teknisk uppsättning till löpande övervakning och utbildning av anställda.
5 vanliga frågor och svar om cyberattacker vi leverantör
- Vad är en supply chain-attack?
En supply chain-attack innebär att angripare tar sig in i er organisation genom att först kompromissa en av era leverantörer, partners eller annan betrodd extern part. - Vad betyder AiTM (Adversary-in-the-Middle)?
AiTM är en attackteknik där angriparen placerar sig mellan användaren och tjänsten för att fånga upp inloggningsuppgifter och sessionsinformation i realtid, även när MFA är aktiverat. - Varför skyddar inte MFA mot AiTM-attacker?
MFA skyddar mot stulna lösenord, men AiTM fångar upp hela sessionen efter att användaren loggat in. Angriparen får därmed en giltig session utan att behöva lösenord eller engångskod. - Hur vet jag om vårt företag har drabbats?
Vanliga tecken är oväntade vidarebefordringar i mejlkorgen, inloggningar från ovanliga platser eller att kontakter rapporterar konstiga mejl från er. Löpande övervakning är avgörande för tidig upptäckt. - Vad är det viktigaste vi kan göra för att skydda oss?
Kombinera tekniska åtgärder, tex riskbaserat kontoskydd, begränsad extern delning och övervakning med regelbunden utbildning som visar konkreta exempel på hur attackerna ser ut.
Cyberattack via leverantör: Så kringgår hackare MFA och stjäl åtkomst
Ladda ner intervju
