Advarer mot ny bølge av e-postangrep mot det offentlige

I løpet av de siste fire månedene har mer enn 30 norske kommuner blir rammet av e-postangrep.

Nå advarer Kommunens CSIRT mot en bølge av angrep. Sammen med NorSIS oppfordrer de norske virksomheter til å gi sine ansatte kunnskap til å avsløre ondsinnede e-poster.

– Vi er inne i en bølge av e-postangrep mot offentlige virksomheter nå, og må forvente at flere kommuner og andre offentlige etater vil bli rammet i dagene og ukene som kommer, mener leder for Kommunenes CSIRT, Bjørn Tveiten i en melding.

Store konsekvenser

Forrige uke ble ti norske kommuner rammet av et e-postangrep som påvirket arbeidshverdagen til mer enn 10.000 ansatte.

– Det er sendt ut titusenvis av e-poster med skadevare til en rekke norske offentlige virksomheter fra disse kommunene. Mange av virusene er også innstilt slik at de sover i perioder rett etter et angrep, for så å bli reaktivert. Dette vil høyst sannsynlig blusse opp i bølger, slik vi også så i forrige bølge like før sommeren. Det ser vi tegn på allerede nå, sier Tveiten.

Kommune-CSIRT er et ressurssenter for å gi råd og veiledning i forbindelse med cyberangrep og andre digitale utfordringer i kommunesektoren.

Viruset som angrep de ti kommunene kalles ifølge Tveiten Emotet og tillater angriper en viss fjernstyring av PC-en, mens angrepet før sommerferien var dominert av lekket/stjålet login-informasjon og påfølgende misbruk av kontoene.

Nasjonalt cybersikkerhetssenter har også varslet om at en pågående Emotet-kampanje er observert i Norge.

Kan avsløre forsøkene

Cybersikkerhetsekspert i NorSIS, Vidar Sandland, mener dataangrepene mot Stortinget og de ti kommunene bør være en vekker for mange, både i offentlig og privat sektor.

Begge angrepene skjedde blant annet ved bruk av ondsinnet e-post.

– Det er den vanligste angrepsvektoren mot norske virksomheter. Det er nok at en klikker og laster ned den ondsinnede koden, men heldigvis kan observante ansatte med kunnskap avsløre forsøkene.

Et typisk angrep starter med at en ansatt blir fralurt brukernavn og passord til e-post-kontoen sin.

Deretter benyttes den ansattes e-poster til å gjenoppta kommunikasjonen med de ansatte eller eksterne kontakter, men denne gangen med ondsinnede hensikter.

Da er det enkelt å spre ondsinnet programvare, sende ut falske fakturaer eller forandre kontonummer.

1 av 4 åpner e-postvedlegg

Ifølge en representativ undersøkelse NorSIS har fått utført oppgir hele 1 av 4 nordmenn at de aldri eller bare av og til sjekker om en lenke eller et vedlegg i en e-post er trygt før de åpner det.

– Selv om det finnes flere tekniske løsninger som kan stoppe denne typen angrep, er det til syvende og sist den enkelte arbeidstakers kompetanse og sikkerbevissthet som avgjør om angrepet blir vellykket eller ikke, sier leder for Kommunenes CSIRT, Bjørn Tveiten.

Han poengterer at man verken skal klikke på lenker eller akseptere «aktivering av innhold» i vedlegg. Sistnevnte handling er i praksis å tillate kjøring av ondsinnet kode.

Slik kan de kriminelle avsløres

Ifølge cybersikkerhetsekspert i NorSIS, Vidar Sandland, kan kunnskapen som opplæringen gir den enkelte ansatte bedre virksomhetens digitale sikkerhet betydelig.

– I tilfellet med de ti Innlandskommunene har de spilt på tillit ved å svare på en «pågående» samtale på e-post, brukt ekte navn, men endret e-postadressen, samt lagt ved et ondsinnet vedlegg.

– Den falske avsenderen kan du avsløre om du ser på det som står bak navnet (Ola Norman @hacker.no>). Da ser du at dette ikke er en e-post fra din virksomhet/kollega, men en ekstern adresse som benyttes for å hindre at dine kollegaer eller kontakter avdekker angrepet, sier den erfarne seniorrådgiveren i NorSIS.