Phishing er hackersjargong for å fiske etter konfidensiell informasjon som passord, kredittkortnumre og sensitive bedriftsdata. Målet kan også være identitetstyveri. Dette er en form for elektronisk svindel som stadig øker i omfang. En vanlig teknikk er å forfalske eller imitere avsenderen i phishing-e-posten, så kilden ser pålitelig ut. Mottakeren lures på den måten til å klikke på en kobling og oppgi påloggingsopplysninger, laste ned skadelig programvare eller svare på en melding med følsomt innhold. Brukeropplæring kan naturligvis hjelpe noe. Samtidig er angrepene blitt så sofistikerte at du bør ta i bruk all tilgjengelig teknologi for å beskytte deg. Det omfatter innebygde mekanismer i Office 365, autentiseringsprotokoller for e-post og funksjoner i Office 365 Advanced Threat Protection.
Nettfiske foregår over hele skalaen. Tyvene kan være ute etter å belaste debetkortet ditt, tappe bankkontoen din eller søke om kreditt i ditt navn. Sensitive bedriftsdata på avveie benyttes til innsidehandel og andre aktiviteter til skade for virksomheten. Selv brede angrep kan være av høy kvalitet, men kjennetegnes ofte ved denne type varseltegn: Du blir bedt om å oppgi personlige opplysninger til ukjente, bekrefte konto-opplysningene dine med en trussel om at kontoen vil bli sperret, selge gjenstander med løfte om betaling som er mye høyere enn de er verdt, eller gjøre direkte pengedonasjoner. Relativt sikre signaler er upersonlig tiltale, et ubehjelpelig språk som tyder på maskinoversettelse, og en oppfordring til å handle raskt.
Spydfiske, klonefisking og hvalfangst
Vanskeligere er det å avdekke målrettede svindelforsøk. Ved spydfiske foretas det direkte angrep mot utvalgte personer i virksomheten med tilgang til følsomme data eller myndighet til å overføre større pengesummer. Svindleren har gjerne samlet inn informasjon på forhånd – for eksempel om ansatte, kundeforhold og samarbeidspartnere. Ved å referere til interne forhold og navn som er kjent for mottaker, bygges det opp tillit. Språkføringen i svindel-e-posten er som regel god og tilpasset målgruppen. Henvendelsen virker tilforlatelig. Avsenderen ser legitim ut, men er falsk.
Klonefisking fanger opp en gyldig melding som allerede er levert. En kopi eller klone sendes på nytt til samme person fra tilsynelatende samme avsender. Men nå inneholder e-posten skadelige koblinger eller vedlegg, som offeret antakelig stoler på som følge av den tidligere kommunikasjonen. Hvalfangst går etter «de store fiskene» i sentrale posisjoner, som direktører, økonomisjefer og avdelingsledere.
Avverge phishing-angrep
Felles for de fleste phishing-e-postene er at det opereres med falske eller etterlignede avsendere. Ved å hindre at disse kommer inn i vår Office 365-organisasjon kan vi drastisk redusere faren for å bli offer for nettfiske-angrep. Det får vi til ved å konfigurere tre protokoller for e-postautentisering, sette opp anti-phishing-policyer i Office 365 Advanced Threat Protection og ta i bruk forfalsknings-vernet Microsoft har rullet ut til ATP-brukere. I tillegg har vi standardfunksjonene i Office 365.
Innebygd beskyttelse mot nettfiske i Office 365
Søppelpostfilteret i Exchange Online Protection klarer å avsløre standard phishing-e-post, som forsøk på å stjele påloggingsopplysninger for eBay og PayPal. Microsoft bruker poengsumsystemer, algoritmer, maskinlærling og andre avanserte teknologier til å oppdage signaler. Indikasjoner kan være fingert avsender, kvaliteten på teksten, nøkkelordene og domenene de peker mot. Men filteret kommer til kort overfor mer avanserte svindelforsøk.
Modulene i sikkerhets- og samsvarssenteret
Du konfigurerer de enkelte tjenestene i portalen for sikkerhet og samsvar. Det gjelder Beskyttelse mot søppelpost, DKIM og ATP-anti-phishing. I tillegg må du legge til DNS-oppføringer.
Tre autentiseringsprotokoller for e-post
Det har etablert seg tre standardprotokoller på Internett som samlet sikrer at avsenderadressen er dét den utgir seg for. Om disse er konfigurert riktig hos deg, vil svindlere som forsøker å benytte domenet ditt som avsender, blir avvist. Protokollene settes opp som TXT-poster i DNS-sonen for din organisasjon; for DKIM må du i tillegg aktivere funksjonen i Office 365:
- Sender Policy Framework (SPF) – rammeverk for avsenderpolicy – angir hvem som får lov til å sende meldinger på dine vegne. I Office 365 er dette IP-adressene for alle servere som håndterer utgående e-post, pluss eventuelt andre applikasjoner og tjenester.
- DomainKeys Identified Mail (DKIM) – e-post identifisert ved domenenøkler – bruker en kombinasjon av offentlige og private nøkler for å sikre avsenderen. Microsoft forenkler oppsettet ved å levere et nøkkelpar for hver Office 365-leier.
- Domain-based Message Authentication, Reporting and Conformance (DMARC) – domene-basert meldingsautentisering, rapportering og overensstemmelse – forutsetter at SPF og DKIM er på plass, og retter på vesentlige svakheter ved disse.
Ikke noe av dette er obligatorisk, men anbefalt. Verken SPF eller DKIM sier noe om hva mottakende e-postserver skal gjøre med meldinger som feiler i kontrollen. I praksis plasserer stadig flere dem i karantene eller sletter dem. DMARC lar deg sette opp en policy for hva som skal skje med denne type meldinger, og sørger for sterk beskyttelse mot forfalskning av e-postadresser og domener. Eksemplene benytter et testdomene for å gi et bevis på konseptene. I produksjon kan konfigurasjonen være mer komplisert. Det er lagt vekt på å holde forklaringene så enkle som mulig.
Rammeverk for avsenderpolicy (SPF)
SPF-oppføringen – «v=spf1 include:spf.protection.outlook.com -all» – angir at det bare er Office 365 som har lov til å sende på vegne av domenet sildeviga.no. Include-setningen henviser til Office 365, -all betyr forbudt for alle andre. Dermed feiler nettfiskeren i SPF-kontrollen.
E-post identifisert ved domenenøkler (DKIM)
DKIM er implementert ved en digital signatur i meldingshodet. Som standard signerer Exchange Online all utgående e-post, men med navnet på Office 365-leieren din. For sildeviga.no er dette ayla.onmicrosoft.com. For domenet ditt henviser du til nøkkelparet for leieren i DNS. Når du har lagt til oppføringene, aktiverer du DKIM i sikkerhets- og samsvarssenteret. Mottakende e-postserver foretar et DNS-oppslag for å hente din offentlige nøkkel, som bekrefter din private.
Domene-basert meldingsautentisering (DMARC)
DMARC sørger for å autentisere meldinger, rapporterer tilbake om avvist e-post og krever samsvar mellom faktisk avsender og avsenderadressen mottaker ser i e-postklienten. En policy angir hva som skal skje med ikke-autentiserte meldinger – overvåke dem, sette dem i karantene eller avvise dem. Utgangspunktet for DMARC er at hver e-post inneholder to typer avsendere i meldingshodet:
Den reelle avsenderen vises ikke i e-postklienten (MailFrom), mens avsenderadressen mottaker ser (From), kan virke legitim nok. Dette utnytter nettfiskerne. MailFrom til venstre kan fint passere både SPF og DKIM om de er satt opp for phishingcrooks.biz. Disse protokollene forholder seg som regel til den skjulte avsenderadressen. Men den vil feile ved en DMARC-kontroll, for her kreves det at de to avsenderne er på linje med hverandre. Meldingen til høyre er dermed ok. DMARC konfigureres ved hjelp av en TXT-post i DNS-sonen din. Posten vår – _dmarc.sildeviga.no – ser sånn ut:
Policyen er avvis alle meldinger som feiler (p=reject) i 100 prosent av tilfellene (pct=100). Send rapporter til dmarc@sildeviga.no. Dermed er vi beskyttet mot at svindlere kan foreta et forfalskningsangrep med våre e-postadresser.
DMARC i praksis
En kjapp test viser at vi er i mål. Meldingen er kommet inn utenfra med falsk avsender og er satt i karantene. Exchange Online oppfatter alle meldinger som feiler i DMARC-kontrollen – uavhengig av om policyen er karantene eller avvis – som søppelpost med høy klarering (SCL 9). Om du ikke har satt opp DMARC ennå, bør du først konfigurerer den til bare å overvåke og følge med på rapporteringen. Kravet til samsvar kan skape vanskeligheter for enkelte e-postlister brukerne dine måtte abonnere på, og automatisert videresending meldinger. Begge problemer lar seg riktignok løse.
Forfalskning og etterlikning
Det er viktig å forstå at DMARC og ATP-anti-phishing-policyer gjør to forskjellige ting:
- DMARC beskytter mot forfalskning (eng. spoofing) av domener og e-postadresser.
- ATP-anti-phishing-policyer hindrer etterlikning (eng. impersonation). Microsoft omtaler dette også som falsk representasjon.
Etterlikninger av sildeviga.no er eksempelvis śildeviga.no eller sildviga.no. Denne likheten kan man lett la seg lure av og er noe nettfiskere utnytter.
Konfigurere en ATP-anti-phishing-policy
Utvid Trusselhåndtering i sikkerhets- og samsvarssenteret og velg Policy. Klikk på ATP-anti-phishing. Vi skal redigere standardpolicyen. Den gjelder for hele domenet.
Kontoen for Sikkerhet er lagt til for å beskyttes mot etterlikning. Organisasjonen må absolutt kunne stole på meldinger fra denne avsenderen. Du kan legge til både interne og eksterne brukere. Det er ikke nødvendigvis alle dine brukere som skal stå oppført her, noe som lett kan misforstås.
Det er naturlig å ta med domener vi eier for å beskytte dem også. Her er ingen egendefinerte, så som partnere eller andre vi er bekymret for kan utnyttes til phishing-angrep.
For demonstrasjonens skyld – se nedenfor – flytter vi meldinger til mottakernes søppelpostmapper. I produksjon er det mer naturlig å sette meldingen i karantene eller slette den før den blir levert. Andre alternativer er å omdirigere meldingen til andre e-postadresser; levere den og legge til andre adresser i blindkopifeltet; eller ikke gjøre noe med den. Sikkerhetstips er slått på for å vise en advarsel hos mottaker hvis det oppdages at meldingen er et representasjonsangrep. Tipsene angår representerte brukere, etterlignede domener og uvanlige tegn.
Intelligente postboksfunksjoner analyserer mønstre i e-postflyten til brukerne dine for å finne ut hvilke kontakter du kommuniserer med ofte. Dermed blir det enklere å identifisere når en e-post kan være fra en angriper som utgir seg for å være en av disse kontaktene.
Her kan du sette opp unntaksregler, hviteliste eller klarere avsendere og domener. Til slutt lagrer du policyen.
Simulere et representasjonsangrep
Avsenderen er imitert ved å droppe en ‘i’ i domenenavnet. Meldingen er sendt utenfra inn i vår organisasjon. Office 365 Advanced Threat Protection har plukket den opp, plassert den i søppelpostmappen og tilføyet et sikkerhetstips for falsk representasjon.
Nye funksjoner for ATP-brukere
Kombinasjonen av SPF, DKIM og DMARC sørger for at domener som microsoft.com og sildeviga.no er godt beskyttet mot forfalskningsangrep. Problemet er at DMARC fortsatt ikke er særlig utbredt. Derfor har Microsoft utviklet en rekke ekstensjoner til standardprotokollene for e-postautentisering. Disse er samlet i funksjonen forfalskningsvern eller anti-spoof protection, som bare er tilgjengelig for brukere av Office 365 ATP. Her legges det til kriterier som avsenderens rykte og kommunikasjonsmønstre. Vernet ser særlig på forholdet mellom From-adressen – avsenderen mottakeren ser – og SPF og DKIM. På den måten foretar Office 365 en implisitt autentisering av meldinger fra domener som ikke er beskyttet med DMARC. Samtidig er Microsofts generelle anbefaling til alle som sender e-post til Office 365, å sette opp DMARC med sterk godkjenning. Hensikten er at mottakere må kunne stole på e-posten de får. Teknologien er der. Det gjelder å ta den i bruk. I modulen for ATP-anti-phishing kan du deaktivere funksjonen (ikke anbefalt). Du kan kontrollere hvor aggressiv Office 365 skal være i håndteringen av mulig phishing-e-post.
Forfalskningsanalyse
Gå til Innstillinger for beskyttelse mot søppelpost og velg Forfalskningsanalyse. Her ser du en oversikt over avsendere som forfalsker domenet ditt. Vi ser vår gamle kjenning sikkerhet@sildeviga.no som forsøkte å lure mottakere til å oppgi brukernavn og passord. Gode grunner til å «tillate forfalskning» – en noe pussig ordbruk for unntak – av både egne og eksterne domener er:
- Tredjeparts avsender bruker ditt domene til å foreta masseutsendelser til dine ansatte.
- Et eksternt firma foretar markedsføring på dine vegne.
- Avsenderen står på en diskusjonsliste, og e-postlisten videresender meldinger fra den opprinnelige avsenderen – et typisk problem for DMARC, som løses her.
- Et eksternt firma sender e-post på vegne av et annet selskap, som en automatisert rapport.
Mens du er i søppelpostfilteret, bør du kontrollere om du har aktivert kontrollene for SPF-post og Betinget filtrering av avsender-ID. Disse må være slått av når du bruker forfalskningsvernet i ATP, ellers genererer du for mange falske positiver.
Rapportering
Man blir for alvor bortskjemt av rapporteringsfunksjonene i Office 365. Her ser vi ett forsøk på forfalsking og to på å etterlikne e-postadressen (falsk representasjon) – og alle er avverget!
Konklusjon
Office 365 sammen med Office 365 Advanced Threat Protection gir en omfattende beskyttelse mot nettfisking. Ikke skyld på brukerne om de blir lurt; det er å forveksle årsak med virkning. Som systemansvarlig bør du snarest konfigurere DMARC, så du er gardert mot at svindlere forfalsker domenene dine. Du bør i tillegg investere i lisenser for Office 365 ATP om de ikke inngår i abonnementet ditt. Det skjermer deg mot representasjonsangrep og gir et ytterligere vern mot forfalskning. I tillegg beskyttes du mot farlige koblinger og nulldagstrusler i form av skadelige vedlegg og delte dokumenter i skyen – alt sammen strategier nettfiskerne benytter seg av.
Et effektivt forsvar er lagdelt. Sørg for at filtrene for antivirus og søppelpost er konfigurert optimalt. I Office 365-universet lærer de enkelte lagene av hverandre. De kriminelle er også ute etter brukeridentitetene dine. Totrinnsbekreftelse er en selvfølge i dag. Det kan være smart å investere i en tjeneste som Azure Information Protection, som for skykontoer flagger mistenkelige pålogginger for å hindre og oppdage identitetstyveri. En kompromittert konto er det beste utgangspunktet for vellykkede angrep. Vi i Lillevik IT hjelper deg gjerne med å sette opp den mest effektive beskyttelsen mot phishing-e-post i Office 365.
