0
Hopp til hovedinnhold

UiA setter opp totrinnsbekreftelse for å knekke phishing

På en god morgen sender UiAs spam-filter opp mot 25.000 tvilsomme e-poster rett i søppelbøtta – før arbeidsdagen begynner. Men noen søppel-e-poster slipper gjennom og skaper trøbbel. Ikke minst for mottakeren som får svarteper.

UiA-haien angriper med vidåpen munn med skarpe tenner, tekst: Unngå svinfel (phishing). (Illustrasjon: Thomas Andersen)

(Illustrasjon: Thomas Andersen)

Nå setter UiA opp et nytt filter for å unngå at folk går i fella. Det kalles totrinnsbekreftelse – eller to-faktor-autentisering på stammespråk. Det vil bli innført trinnvis – og starter forsiktig i slutten av oktober med enkelte avdelinger. Så blir det rullet ut for alle ansatte før jul, slik planen er nå. Etter hvert blir totrinnsbekreftelse tatt i bruk av studentene også.

I korthet betyr det at når du starter en maskin, et nettbrett eller telefonen og logger deg inn på UiA, må du gjøre det i to trinn – som de fleste er vant til fra for eksempel bankID i nettbanken. Først får du Feide-påloggingen du er vant til. Du slipper unna med den hvis du bare skal lese på Innaskjærs. Men i det du tar i bruk et Microsoft-program som ligger i Office 365-pakka, eksempelvis OneDrive - slår totrinnsbekreftelsen inn.

I praksis betyr det at du får opp et spørsmål om en engangskode. Den koden kan du få på mobilen, eller du bruker fingeravtrykket ditt på en app. Dermed er det rimelig sikkert at det er du som vil bruke apparatet. Mer om dette neste uke.

I mellomtiden kan du teste deg selv: Hvor god er du til å avsløre phishing? https://phishingquiz.withgoogle.com

Hvorfor totrinnsbekreftelse?

Som overskriften viser er UiA under konstant angrep fra phishing-e-poster. Og noen biter på kroken phisherne sender ut. Totrinnsbekreftelse er et forsterket forsvar mot slike angrep, og konsekvensene av dem.

Her følger et eksempel fra tiden rett før semesterstart i høst. Det ble håndtert raskt, noe som muliggjorde at IT-avdelingen kunne følge opp og begrense skaden.

Men episoden viser også hvor lett det er å bli lurt.

Onsdag 7. august fikk mange ansatte en phishingmelding som e-post. Meldingen gikk direkte til søppelpost-mappen hos mottakerne. Teamleder for UiAs datasenter, senioringeniør Helge Høynes, fikk beskjed, og fjernet meldingen i løpet av onsdagen fra alle mailbokser.

Så langt var alt som vanlig – det er ikke uvanlig at IT henter ut igjen phishing-e-poster som har kommet inn i UiAs system – det er det prosedyrer for.

Torsdag 8. august fikk likevel mange UiA-ansatte denne e-post-meldingen:

Slik så meldingen ut som slapp gjennom spam-filteret ut. Uheldigvis for phisheren var en av mottakerne teamleder for UiAs datasenter, Helge Høynes. Dermed startet sporings-jakten umiddelbart. (Skjermbilde)

Slik så meldingen ut som slapp gjennom spam-filteret ut. Uheldigvis for phisheren var en av mottakerne teamleder for UiAs datasenter, Helge Høynes. Dermed startet sporings-jakten umiddelbart. (Skjermbilde)

Årsaken var at en ansatt hadde automatisk videresending av e-post fra sin kontormaskin til en ekstern maskin.

- Der havnet meldingen i vanlig innboks og den UiA-ansatte ble lurt. Så ble e-post-kontoen brukt til å sende ny phishing-melding til alle UiA-ansatte på torsdag.

Altså den samme e-post-meldingen som ble stoppet i UiAs spam-filtre onsdag. Nå gikk den imidlertid gjennom, siden den kom fra en intern adresse.

- Minst 25 UiA-ansatte gikk i fella, og ga fra seg brukernavn og passord til denne meldingen, sier Høynes, som fikk en stri jobb med å spore opp disse, og gi melding om at de var spammet, og måtte skifte passord øyeblikkelig.

- Det ser ut til å ha gått relativt bra, men vi har registrert at tre av dem som gikk på svindelen har fått misbrukt e-postadressen til å sende ut nye spam-meldinger i mange-tusenvis, sier Helge Høynes.

Slik så skjermbildet ut for de som fulgte oppfordringen om å klikke seg inn på phishing-e-posten, slik de ble bedt om å gjøre. I den røde ringen står avsenderadressen - som alltid bør sjekkes før du åpner e-post. Her burde klokkene ringt både høyt og lenge for de som sjekket. 25 UiA-ansatte gjorde ikke det - og klikket seg inn. (Skjermbilde)

Slik så skjermbildet ut for de som fulgte oppfordringen om å klikke seg inn på phishing-e-posten, slik de ble bedt om å gjøre. I den røde ringen står avsenderadressen - som alltid bør sjekkes før du åpner e-post. Her burde klokkene ringt både høyt og lenge for de som sjekket. 25 UiA-ansatte gjorde ikke det - og klikket seg inn. (Skjermbilde)

Det skjer deg også! Send tvilsom e-post til spam@uia.no

- Skulle du få e-poster som du tror er forsøk på phishing eller har virus eller annet ubehagelig, skal du videresende meldingen til e-postadressen SPAM@uia.no. Der blir meldingen sjekket, og eventuelt blir spam-filteret oppdatert.

- UiA samarbeider med Universitetet i Oslo om antispam-systemer og oppdateringer av filter, sier Helge Høynes.

- Det handler faktisk om å forstå at å gå på svindel-e-poster er noe som kan skje alle. Derfor må man se på hva man skal gjøre for å hindre at det skjer. Og dessverre også hva man skal gjøre dersom en har gått på e-post-svindel. Det nytter ikke å lukke øynene eller late som det ikke har skjedd, det går faktisk ikke over av seg selv, sier UiAs informasjonssikkerhetsleder Anette Thorkildsen Osaland.

Klikk inn til to eksempler på hva som blir gjort ved spam-angrep, og hva du må gjøre for å unngå å bli et offer:

Phishing-angrep på UiA-brukere

Phiskere, virus, SPAM og crypto-locker-flom over UiA

Tusenvis av passord er avslørt

En slik blå Porsche 964 var passordet som ble hacket. Porsche 964 er den interne betegnelsen på en Porsche 911 som ble produsert mellom 1989 og 1994. (Illustrasjon: Colourbox)

En slik blå Porsche 964 var passordet som ble hacket. Porsche 964 er den interne betegnelsen på en Porsche 911 som ble produsert mellom 1989 og 1994. (Illustrasjon: Colourbox)

en_blå_porsche

Passordet som beskyttet «Hannes» private opplysninger på nettet, var Porsche964. Ingen kunne vel gjette at den luksusbilen ble kjørt av Hannes far i 2002?

Men en natt i september i fjor visste noen akkurat det.

De fleste av oss har ett til to passord som brukes om igjen flere steder.

Hva om noen vet hva passordene våre er?

Denne artikkelen er laget av Adresseavisen. Aftenposten publiserer den som en del av stoffutvekslingsavtalen mellom de to avisene. Lenken til saken er her hentet fra Fædrelandsvennen, siden mange på UiA abonnerer på denne lokalavisen. Klikk deg inn på Fædrelandsvennen.no (bak betalingsmur).

Adresseavisen har de siste månedene hatt tilgang til mer enn 1,4 milliarder e-postadresser og passordene som er knyttet til dem.

Artikkelen er trolig for en stor grad basert på passordene som var fritt vilt alt i fjor – men med oppdateringer.

Overskriften på UiAs artikkel i fjor var IT-sikkerhet: UiA - e-postadresser knyttet til passordlekkasje

I en oversikt over 1,4 milliarder e-postadresser som er hacket, finner vi 267 adresser som slutter på @uia.no. Dette er uia-adresser som er brukt i privat sammenheng i sosiale medier eller ved kjøp i nettbutikker.

I artikkelen står det blant annet hvor du kan sjekke om passordene dine er lekket ut.

Si-ifra-siden og andre tips

På UiAs Si-ifra-side er det en egen side om informasjonssikkerhet, med tips, råd og kontakter.

Sikresiden.no er spesiallaget for sikkerhet i universitets- og høyskolesektoren. Her ligger opplegg for hva en bør gjøre om en situasjon oppstår – fra datainnbrudd til terroranslag. Det er to hovedsider: Akuttsiden (Når noe skjer) og forebyggende. Les om dem her: Det er klokt å sjekke begge nå – før en hendelse oppstår.

Andre gode nettsteder for trygghet på nettet:

NorSiS driver Slettmeg.no - med gratis råd– og veiledningstjeneste for deg som føler deg krenket på nett.

Nettvett.no - Informasjon, råd og veiledning om sikrere bruk av Internett og sosiale medier. Gir også veiledning om å sikre mobil og datamaskiner mm.

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og er det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.​