FBI har utfärdat en varning för visionsattacker som sker mot anställda i amerikanska företag, på alla nivåer. Varningen läser om hackare som stjäl inloggningsuppgifterna för anställdas VPN-åtkomst till deras företagsnätverk och får förhöjda privilegier för ytterligare exploatering och spaning.
Att stjäla VPN-uppgifter via Vishing
Vishing eller röstnätfiske är en teknik där hotaktören utger sig för att vara en högre tjänsteman eller som en enhet för att locka målen att göra något. I det här fallet, som FBI varnade genom en TLP: WHITE Private Industry Notification förra veckan stjäl hackare autentiseringsuppgifter.
Hotaktörer här använder vishing-tekniker för att locka anställda att logga in på deras nätfiskewebbplatser. De attackerar anställda på alla nivåer och får mer privilegierade senare för bättre åtkomst. Här kom FBI:s varning med ett exempel där hotaktören har stulit en anställds VPN-uppgifter, som han använde för att komma åt sitt företags nätverk.
De hittar också och riktar in sig på anställda från chattrum och senare de stora fiskarna som har förmågan att ändra användarnamn och e-postadresser för andra. Genom att få åtkomst kan de utnyttja nätverken även med begränsade privilegier för att störa andra. Denna vishing-rådgivning är den andra som kommer från FBI under det senaste året, med den första i augusti 2020.
För att skydda sig från sådana attacker listade FBI därför säkerhetsrutiner som varje anställd kan följa;
- Implementera multifaktorautentisering (MFA) för att komma åt anställdas konton för att minimera chanserna för en första kompromiss.
- När nya medarbetare anställs bör nätverksåtkomst ges i en skala med minst privilegier. Regelbunden granskning av denna nätverksåtkomst för alla anställda kan avsevärt minska risken för kompromiss av sårbara och/eller svaga punkter i nätverket.
- Aktiv skanning och övervakning av obehörig åtkomst eller ändringar kan hjälpa till att upptäcka en möjlig kompromiss för att förhindra eller minimera förlust av data.
- Nätverkssegmentering bör implementeras för att dela upp ett stort nätverk i flera mindre nätverk som tillåter administratörer att kontrollera flödet av nätverkstrafik.
- Administratörer bör ges två konton: ett konto med administratörsbehörighet för att göra systemändringar och det andra kontot som används för e-post, distribution av uppdateringar och generering av rapporter.