*Nettavisen* Økonomi.

Prøver å svindle skoleelever: Teams og Office under angrep

VI BRYTE SEG INN I PC-EN DIN: Det ser ut som en uskyldig oppdatering av Teams, men skjemaet er hentet fra et autentisk phishingforsøk. Angrepene er rettet særlig mot skoleelever og kommuneansatte, melder Norsis.

VI BRYTE SEG INN I PC-EN DIN: Det ser ut som en uskyldig oppdatering av Teams, men skjemaet er hentet fra et autentisk phishingforsøk. Angrepene er rettet særlig mot skoleelever og kommuneansatte, melder Norsis. Foto: Skjermdumper / Microsoft

En ny form for svindelangrep er rettet direkte mot skoleelever og kommunalt ansatte.

Angrepet er rettet mot Office365, en skytjeneste fra Microsoft som benyttes av veldig mange skoler og mange læresteder i Norge. Det er særlig kommunalt ansatte og skoleelever som i det siste har mottatt en svindel-e-post som ser ut til å være en oppdatering av Office365, melder Norsis (Norsk System for Informasjonssikring).

Blant annet er phishing-angrepet rettet mot studenter ved NTNU:

“En aktør forsøker å hente ut personinformasjon, antagelig med identitetstyveri og tilgang til NTNUs IT-ressurser som motiv”, meldte nylig IT-avdelingen på universitetet. Kommunenes sentralforbund (KS) bekrefter trusselen:

- Vi er kjent med at det er kommuner som er blitt rammet av dette, skriver Asbjørn Finstad, avdelingsdirektør for strategisk IKT og digitalisering i KS, i en epost til Nettavisen.

Les også: Hjemmekontoret blir svindelfelle: Slik utnytter de kriminelle koronakrisen

Mer hjemmearbeid gir økte trusler

Bruken av Teams og Office 365 har økt under korona-krisen, og særlig har video- og samarbeidsprogrammet Teams blir mer utbredt. KS har ikke en nasjonal oversikt over digitale løsninger som brukes av hver enkelt kommune.

- Men vårt inntrykk er at en betydelig andel skoler bruker programvare fra Microsoft, og at bruken av ulike løsninger har økt under koronakrisen, sier Finstad.

Informasjonssikkerhet og personvern i skolesektoren er prioritert høyt på den nasjonale agendaen om digitalisering i utdanningen, forsikrer Finstad.

- KS kommer sammen med medlemmene, uavhengig av denne trusselen, til å styrke innsatsen på dette området og jobber for å få på plass nasjonale tiltak, sier han.

Fordi de fleste sitter på hjemmekontor, og derfor ikke er beskyttet av virksomhetens brannmur, er de mer utsatt for denne typen svindelen enn ellers, melder Norsis (Norsk System for informasjonssikring).

Les også: Oppsving av porno-svindel

Bruker ekte epost-adresse

Svindelen skjer ved at mottakeren får en e-post som ser ut til å være et varsel om oppdatering av «Outlook Web App 2020» eller lignende.

E-posten er sendt fra en kompromittert e-postkonto i virksomheten. Det betyr at svindlerne har sendt svindel-e-posten fra en ekte e-postkonto i samme virksomhet eller i en virksomhet tilknyttet mottagerens arbeidssted.

I eksemplene er sett så langt går lenken man blir bedt om å klikke på til en side som:

  • ikke ligner på noen sider i Office365 eller virksomheten mottageren jobber i
  • ikke har noen navn som er knyttet til Office365 eller virksomheten mottakeren jobber i

Klikk på bildet for å forstørre. FALSKE MELDINGER: Slik kan de falske meldingene og epostene se ut, ifølge Norsis.

FALSKE MELDINGER: Slik kan de falske meldingene og epostene se ut, ifølge Norsis. Foto: Norsis


Vil ta kontroll

Klikker du på epost-lenken, vil angriperen forsøke å ta over kontrollen over Microsoft-systemet på din maskin, og med det få tilgang på alt innhold i programmet. Svindelen har sannsynligvis pågått en godt stund, ifølge ekspertene.

Les også: Eksplosjon av ny type bedrageri: Kraftig advarsel fra politiet og DNB

Senior-rådgiver Trude Talberg Furulund i Norsis angir tre aktuelle scenarier for hvordan svindelen foregår. Forutsetningen er da at den som angripes ikke har satt og to-trinnsbekreftelse for tilgang til programmene:

1. Svindlerne får tilgang til e-postkontoen til den som «går på» svindelen.

2. Svindlerne får tilgang til brukerkontoen til den som «går på» svindelen. Det vil si at de overtar brukerens tilgang til de skytjenestene virksomheten har aktivert. For eksempel Teams og Sharepoint i tillegg til e-post.

3. Skulle svindlerne få tilgang til en admin-konto, har de tilgang til alle systemene som styres av Office365. Det betyr at de kan administrere tilganger, som hvilke tjenester som er tilgjengelig for hvem i virksomheten og sette opp videresending av e-post for eksempel eller, i andre tilfeller, kan de kan ta over hele datanettverket i active directory authentication. Da kan de logge seg på nettverk, de ansattes maskiner og servere.

Les også: Skatteparadis-debatt mellom Kaski og Hansson kan bli ny megahit

Totrinns sikring må aktiveres!

- Å skru på totrinnsbekreftelse er derfor et svært viktig råd, poengterer Trude Talberg Furulund.

Dette gir nemlig et ekstra lag med sikkerhet mot at noen tar over en brukerkonto. Her finner du en veileder om dette.

Norsis kjenner ikke til hvordan epostkontoen er kompromittert. En teori er at vedkommende skaffer seg flere kontoer i en virksomhet etter hvert, via en hacket konto.

Svindel-e-posten ber om at mottageren klikker på en lenke og oppgir opplysninger i forbindelse med oppdateringen knyttet til Office365. Landingssiden du kommer til når du klikker på lenken ber som regel om brukernavn, e-post og passord. I noen tilfeller ber den om at passordet oppdateres.

Nettavisen ønsker en åpen og levende debatt.

Her kan du enkelt bidra med din mening.

Annonsebilag