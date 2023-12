De senaste månaderna har säkerhets- och nätverksspecialisten Conscia kunnat notera en kraftig ökning av en ny form av nätfiske där angriparna inte slår till med en gång när de lyckats kapa ett konto utan ligger och övervakar mejlen innan de slår till.

– Vi ser en spik av de här attackerna och det handlar inte om ett eller fem företag som drabbats utan fler. Man slutar aldrig att överraskas över hur uppfinningsrika de här aktörerna är, säger Emanuel Lipschütz, cybersäkerhetschef på Conscia.

Fångar trafik

Attacken går till så att angriparen siktar in sig på någon anställd som företrädesvis arbetar på ekonomiavdelningen genom en så kallad adversary in the middle-attack, AITM, som går ut på att fånga trafik för att få tag på sessionsinformation, kontoinformation och lösenord.

– Hotaktörerna går runt multifaktorautentisering genom att först få en användare att klicka på en länk och sedan gå in och stjäla sessionskakor och använder sig av självbetjäningsportaker för att ändra i multifaktorskyddet.

Men till skillnad från tidigare så slår de här aktörerna inte till direkt när de väl fått tillgång till en användares mejl utan siktar på att få en långsiktig tillgång under veckor eller månader. När användaren skickar ut en faktura på ett belopp som är tillräckligt stort så agerar de.

Nya kontouppgifter

Minuterna efter att fakturan går ut skickar hotaktören ett nytt uppföljande mejl med nya kontouppgifter som man uppmanar mottagaren att använda i stället – något som motiveras på olika sätt. Ibland skriver man att det helt enkelt står fel, andra gånger att man granskar den bank man använder i normala fall och därför vill att pengarna betalas till ett annat konto.

För mottagaren är allt i sin ordning – mejlet kommer från rätt avsändare. I avsändarens mejlbox städas spåren bort.

– Till sist upptäcks ju det här men med lite flyt så kan aktören lyckas få i väg två omgångar fakturor med en månads mellanrum innan dess. Om man gör en audit uppdagas det för det lämnar ju trots allt spår i hur olika konfigurationer ändrats, säger Emanuel Lipschütz.

– Men när en sådan här grupp lyckas så skryter de gärna om det på olika forum, de är inte direkt ödmjuka. Och då tar andra efter och vi ser ju också en stor ökning.

Särskilt uppmärksamma på de här nya attackerna bör företag som skickar många fakturor internationellt eftersom det då inte syns tydligt vem som faktiskt innehar ett visst bankkonto.

Öka säkerhetsmedvetande

Viktigast för att hindra attacker är, som alltid, att öka säkerhetsmedvetandet i företaget – trots allt handlar det i grunden om att någon klickat på fel länk. Så utbildning, arbete med policy, processer och rutiner är grundstenar.

Men det finns också olika lösningar för multifaktorautentisering, säkra mejllösningar och avancerade övervakningsverktyg som kan öka skyddet – speciellt om de används tillsammans.

En säker betalningsplattform för fakturor gör också att de cyberkriminella inte har möjlighet att utföra just den här typen av attack.

– Attackerna blir allt mer sofistikerade hela tiden så det gäller att aldrig slappna av, säger Emanuel Lipschütz.

