28/02/2020
Det er nå en angrepskampanje i gang , jeg tenkte jeg skulle dele hvordan dette ser ut slik at man kan bedre forstå hvordan dette ser ut. I dette tilfellet var det en forbindelse av kunden som har fått det initiale angrepet, forbindelsen sender da ut en helt «legitim» forespørsel/invitasjon om å samarbeide på et dokument via E-post.
Her kan man være så mistenksom som overhodet mulig uten at dette hjelper, forespørselen er ekte, den kommer fra Sharepoint-området til forbindelsen med rett avsender etc.
Hvis man holder musepekeren over filen vil hele koblingen til filen vises, i dette tilfellet ser da koblingen 100% legitim ut, den kommer også fra en kjent forbindelse. For å få tilgang til dokumentet må man logge på med sin Microsoft konto, dette er også etter boka, men i dette tilfellet er filen infisert, og utsenderen av invitasjonen er ikke klar over at dette skjer. Mottar du slike forespørsler, også fra folk du kjenner, bør man vurdere om det kan være mistenkelig. Det er ofte bedre å sende et dokument som vedlegg enn å invitere på denne måten, selv om dette er en utbredt praksis for å sikre at dokumenter ikke kommer i feil hender etc.
Hvis du har trykket på koblingen og legitimerer deg må du snarest bytte passord på Microsoft kontoen din eller får hjelp til dette.
Det vil også være lurt å ta en kjapp sikkerhetsgjennomgang:
• Er jeg administrator i løsningen min, og trenger jeg å være det?
• Har jeg aktivert to-faktorsikring?
• Har jeg registrert evt gjennopprettingsinformasjon på min konto? F.eks. et tilknyttet telefonnummer?
• Har jeg backup av Office 365-porteføljen min?
