Menu

Skadliga OneDrive-länkar i mailen – så skyddar du dig

Den senaste tiden har vi sett en kraftig ökning av sofistikerade nätfiskeförsök (phishing) som använder sig av legitima OneDrive- och SharePoint-länkar bland våra kunder. Det som ser ut som en vanlig delningslänk till en fil eller mapp är i själva verket en fälla designad för att lura användare att lämna ifrån sig sina inloggningsuppgifter. Attacken är särskilt farlig eftersom länken faktiskt leder till en riktig fil eller mapp, vilket gör det nästan omöjligt att upptäcka att det rör sig om ett bedrägeri.

Hur går hackningsförsöket till, och hur skyddar man sig mot det?

Skadlig OneDrive-länk – så fungerar attacken

Attacken utnyttjar förtroendet för Microsofts system och människors naturliga vilja att klicka på länkar de känner igen – från personer de känner till. Processen sker i flera steg:

  1. Första kontakten: Ett mail skickas till en anställd med en länk som påstås leda till ett viktigt dokument eller en delad mapp. Länken är äkta och ser ut att komma från en betrodd part – en kollega, kund, leverantör eller någon annan som du nyligen haft korrespondens med.
  2. Datainsamling: När användaren klickar på länken hamnar de på en sida (ofta maskerad som en OneNote-sida eller en PDF) där de ombeds fylla i sina inloggningsuppgifter. För att få tillgång till filen ombeds du först att skriva in användarnamn och lösenord, och ibland även en kod för tvåfaktorsautentisering (2FA).
  3. Intrånget: Dessa uppgifter skickas direkt till angriparen istället för till Microsoft. Ofta står det att sidan laddas för att angriparen ska tjäna tid. 2FA-koder brukar gälla i 3-5 minuter – om angriparen är snabb kan han nu logga in på kontot.
  4. Spridning: Från det kapade kontot skickas omedelbart identiska bedrägerimail till alla den drabbade personens kontakter. Eftersom mailet kommer från en betrodd källa ökar chansen att fler klickar och att attacken sprider sig.

Målet med attacken är att infektera så många konton som möjligt för att slutligen nå ett konto med administratörsrättigheter och därmed få tillgång till känslig företagsdata.

Förebygga och säkra upp Microsoft 365

Våra analyser visar att dessa attacker ofta lyckas på grund av otillräckliga säkerhetsinställningar i Microsoft 365-miljön. Som standard ger Microsoft relativt breda behörigheter till alla användare, vilket gör att en angripare lätt kan sprida sig när ett konto har kapats. Om en vanlig användare således klickar på en skadlig länk, så är det relativt enkelt för angriparen att sedan sprida attacken vidare. 

Här är de säkerhetsåtgärder varje SMB måste implementera omedelbart:

Aktivera Security Defaults
Det första och viktigaste steget är att aktivera Security Defaults för hela organisationen. Security Defaults är en uppsättning grundläggande säkerhetsregler som hjälper till att motverka intrång genom att automatiskt blockera misstänkta inloggningsförsök. Till exempel: Om ert företag enbart har kontor i Sverige, men ett inloggningsförsök sker klockan 03:00 på natten från Kina, blockeras detta försök automatiskt. Detta är en obligatorisk miniminivå av skydd.

Tvingande tvåfaktorsautentisering (2FA)

Ni måste säkerställa att Tvåfaktorsautentisering (2FA) är obligatorisk för alla användare. I Microsoft 365 kan ni tvinga användarna att använda Microsoft Authenticator-appen för att logga in. Detta innebär att även om en angripare lyckas få tag på både lösenordet och en 2FA-kod via nätfiske, krävs det även fysisk tillgång till användarens telefon. Därmed blir det i praktiken omöjligt för hackaren att logga in.

Vad gör jag om attacken lyckas?

Om du eller någon av dina kollegor skulle bli hackade – kontakta en IT-konsult direkt. Se framför allt till att byta lösenord på det drabbade kontot omedelbart. Återkalla alla inloggningssessioner och återställ 2FA-inställningarna – på så sätt kan ni stoppa blödningen. 

Efter att ”blödningen är stoppad”, gäller det att göra en grundlig undersökning vad som har hänt. Det är viktigt att ta reda på vilken information angriparen har kommit över och att kolla om det fortfarande ligger en aktiv attack i bakgrunden (köade mail, pågående script, nyskapade användare).

Vill du ha hjälp att säkra upp din Microsoft 365-miljö, eller göra en säkerhetskontroll över eran nuvarande och framtida IT-miljö? Kontakta oss på Straznet, så hjälper vi dig att säkra upp er IT och sova tryggt om natten!

0300-30 780
info@straznet.se

Related Posts

Daisy Chain-setup med två skärmar och en laptop

Skaffa flexibla arbetsplatser med Daisy Chain

Som IT-konsulter spenderar vi på Straznet en hel del tid framför datorskärmen. Förutom att vi själva gör våra dagliga sysslor i form av programmering och administration, så testar vi ständigt nya produkter. Dels av intresse och nöje – men även för att känna till vilka produkter vi vill rekommendera till våra kunder. Generellt har vi […]

anställda som genomfört it-revision innan semestern

IT-avbrott under semestern: Är er verksamhet förberedd?

Sommaren har slagit till på riktigt och med det har majoriteten av oss tagit semester från arbetet. Men även om du själv har tagit semester, så brukar företaget ändå vara igång på ett eller annat sätt. Om inte aktivt genom den faktiska verksamheten, så är såväl digitala kanaler som servrar och nätverk igång hela sommaren. […]

Hackare som sitter i ett datorlaboratorium och skriver skadlig kod

Rekordstor lösenordsläcka – vad gör jag om jag är drabbad?

Förra veckan rapporterade Forbes att en av de största lösenordsläckorna hittills har upptäckts. Säkerhetsforskare fann att över 16 miljarder unika autentiseringsuppgifter från tusentals onlinetjänster – däribland LinkedIn, X och Dropbox – fanns på Darkweb. Dataläckan kommer från så kallade infostealers – skadlig kod från olika hemsidor som stjäl inloggningsuppgifter direkt från användares datorer. Detta är […]