Kommunes mail-system kompromitteret og brugt til udsendelse af phishing-mails

Frederikssund Kommune er blevet ramt af phishing-angreb, hvor uvedkommende har fået fat i login-oplysninger til et mailsystem.

Flere phishing-mails med et ondsindet link er blevet udsendt via Frederikssund Kommunes mail-system. En læser, der selv har modtaget tre phishing-mails fra kommunen, har tippet Version2 om sagen. Læseren er ikke selv borger i kommunen.

Indholdet af en af de tre phishing-mails, som en Version2-læser har modtaget fra Frederikssund Kommunes mail-system. Illustration: screenshot

Den umiddelbart eneste sammenhæng mellem kommunen og læseren er, at læseren fik tilsendt en mail tilbage i 2017, hvor Frederikssund Kommune optrådte i et cc-felt.

Læseren har sendt de modtagne phishing-mails med headere til Version2. Ordlyden i to af de tre mails er identisk, mens den tredje har et lidt andet emnefelt og indhold.

Det overordnede budskab er dog det samme: Brugeren skal klikke på et link, hvor der skal afgives login-oplysninger, hvis mail-kontoen fortsat skal fungere.

Alle mails er skrevet på rimeligt dansk, og kommateringen ser også ud til at være på plads.

Linket, som de tre mails indeholder, fører til samme url.

Et andet eksempel på en af de phishing-mails, en Version2-læser har modtaget fra Frederikssund Kommunes mail-system. Illustration: screenshot

Headeren i de mails, som vores læser har modtaget, viser, at det ondsindede indhold umiddelbart er sendt ud via kommunes mail-server.

Udover at der står afsender@frederikssund.dk i fra-feltet, så har alle mails også klaret et såkaldt SPF-tjek.

Som nogen ved, angiver en SPF-record de servere, der har lov at sende på vegne af et domæne, her frederikssund.dk - kommunens officielle domæne.

Og da de ondsindede mails i den forbindelse har klaret SPF-tjekket indikerer det, at de faktisk er sendt via kommunens officielle systemer.

Et vellykket SPF-tjek kan også gøre det lettere for mails at komme udenom et spam-filter. Læseren oplyser, at den første mail gik uden om spamfilteret (Googles), de øvrige mails røg i spam. Muligvis fordi læseren manuelt havde markeret den første mail som spam.

Phishing-angreb

Af en mail fra IT- og Digitaliseringschef i Frederikssund Kommune Britt Christensen fremgår det, at der er sket en kompromittering af kommunens systemer ved at en medarbejder har modtaget en phishing-mail, og medarbejderen har i den forbindelse afgivet sine login-oplysninger.

Ifølge Britt Christensen bliver kommunen jævnligt udsat for phishing-forsøg fra it-kriminelle, uden det går galt.

»Langt hovedparten af disse forsøg bliver stoppet af kommunens it-sikkerhedssystemer. Phishing-mails optræder dog i stadig nye former og bliver stadig sværere at gennemskue. Derfor kan det ske, at en medarbejder får aktiveret et link i en phishing-mail, og videregiver brugernavn og adgangskode. Derved er der mulighed for, at den pågældende medarbejders mailkonto bliver forsøgt benyttet til at sprede phishing yderligere,« oplyser Britt Christensen i en mail.

Den 25. januar 15:50 blokerede en sikkerhedsløsning hos kommunen for mails, der blev forsøgt udsendt via den kompromitterede konto. Britt Christensen forklarer, at Frederikssund Kommunes sikkerhedsløsning automatisk blokerer for udsendelse af mails efter bestemte kriterier, som for eksempel forsøg på at sende et antal enslydende mails fra samme brugerkonto.

Den 26. januar klokken 01:30 blev mailkontoen, som var formodet hacket, manuelt lukket ned af en it-medarbejder som følge af det, der beskrives som »unormal trafik« fra en medarbejders mailkonto. I den forbindelse blev adgangskoden på mailkontoen skiftet, og domænet i det ondsindede link i phishing-mailen blev blacklistet i kommunens sikkerhedsløsning.

Her kunne man måske tro, sagen var lukket ned. Sådan er det dog ikke.

De eksempler på phishing-mails fra Frederikssund Kommune, som Version2 har set, går nemlig frem til starten af februar. Phishing-eksemplerne ser desuden ud til at være sendt fra tre forskellige mailkonti hos kommunen. Det første eksempel er sendt 25. januar, mens det sidste er fra 4. februar.

Yderligere fem medarbejdere

Forklaringen er, at phishing-angrebet nåede at sprede sig til andre mail-konti hos kommunen.

»I løbet af uge 5 har yderligere fem medarbejdere aktiveret linket i en phishing-mail sendt fra den oprindeligt benyttede mailkonto. Også disse mailkonti er lukket ned og har fået skiftet adgangskode,« oplyser Britt Christensen.

Hun forklarer videre, at Frederikssund Kommune har modtaget henvendelser fra fire borgere og fire andre kommuner i forbindelse med phishing-angrebet. Derudover har Frederikssund Kommune i skrivende stund ikke noget overblik over, hvem der har modtaget de ondsindede mails sendt via kommunens systemer.

»Frederikssund Kommune er i dialog med leverandøren af sikkerhedsløsningen om, hvorvidt det er muligt at lave et udtræk af, hvilke eksterne modtagere, der kan have været. Pt. kan kommunen kun se antallet af mails, der er forsøgt sendt. Kommunen har rådgivet de fire borgere og fire kommuner, som har henvendt sig, om at slette den pågældende mail og ikke aktivere linket i denne,« lyder det i det skriftlige svar fra Britt Christensen.

Har Frederikssund Kommune kontaktet Center for Cybersikkerhed, Datatilsynet og/eller andre myndigheder i forbindelse med hændelsen?

»Kommunen har været i kontakt med Center for Cybersikkerhed, som bekræftede at de tiltag, som vi havde gjort, var helt efter forskriften. Derudover er hændelsen drøftet med kommunens Databeskyttelsesrådgiver og endelig er sagen anmeldt til Datatilsynet,« fortæller Britt Christensen.

Hvad vil Frederikssund Kommune gøre for at sikre sig, at noget lignende ikke gentager sig?

»Frederikssund Kommune vurderer jævnligt markedet af it-sikkerhedsløsninger med henblik på at sikre den mest optimale beskyttelse af kommunens it-systemer. Derudover er kommunen i dialog med sine eksisterende sikkerhedsleverandører om nye tekniske muligheder i de løsninger, som vi allerede har. Endelig uddanner kommunen både nuværende og nye medarbejdere i awareness, som bl.a. handler om at lære at gennemskue phishing-forsøg og aldrig at videregive brugernavn og adgangskode. Derudover informeres medarbejderne om, hvordan de skal forholde sig, hvis uheldet alligevel er ude.«

Tilbageværende spørgsmål

Men kommunens awareness-uddannelse af både nuværende og nye medarbejdere, som ifølge Britt Christensens svar indebærer en formaning om aldrig at videregive brugernavn og adgangskode, har altså ikke hjulpet i det konkrete tilfælde.

På samme måde har den blacklisting, kommunen har foretaget af phishing-domænet 26. januar heller ikke forhindret, at flere medarbejdere har klikket på det ondsindede link med det resultat, at flere phishing-mails er blevet sendt ud via kommunens officielle systemer helt ind i februar.

Det kan selvfølgeligt være, der har været brugt flere forskellige domæner i phishing-kampagnen, og at det kun er et af disse domæner, der er blevet blacklistet i den unavngivne sikkerhedsløsning, kommunen henviser til. De mails, Version2 har set, fører dog alle til samme domæne.

En anden forklaring kan være, at blacklisting i dette tilfælde ikke dækker over en løsning, der faktisk forhindrer medarbejdere i at tilgå domænet. I stedet kan det tænkes, blacklisting her alene dækker over, at indkomne mails med det ondsindede link fremadrettet er blevet bortfiltreret.

På den måde kan de medarbejdere, der har klikket på de ondsindede links i princippet have modtaget de pågældende mails i deres indbakker før blacklistingen fandt sted. Og herefter har medarbejderne - trods blacklistingen - stadig kunne klikke på linket og afgive deres login-oplysninger.

Grundet ferie har det ikke været muligt at få et uddybende svar fra Frederikssund Kommune i forhold til, hvorfor den såkaldte blacklisting 26. januar ikke har forhindret angrebet i at fortsætte. Vi vender tilbage, såfremt der er nævneværdigt nyt at berette desangående.

Frederikssund Kommune oplyser, at man ikke ved, hvad formålet har været med phishing-angrebet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Beltofte

Hvorfor har Frederikssund Kommune ikke 2FA på adgangen til deres e-mail og andre systemer?

Jeg er helt med på at det ikke løser problemet til fulde, men det havde trods alt gjort at "hackerne" ikke ville kunne få adgang til e-mailkontoen, hvis medarbejderne kun udleverer e-mail og kodeord.

  • 4
  • 0
Claus Bobjerg Juul

Lad os antage at kommunen havde SSL inspection på deres firewalls, altså dekryptering af SSL/TLS trafik, ville det så være OK at kommunen kontrollerede udgående trafik om det indeholdt passwords der bliver anvendt internt?
Jeg tænker det kunne ske ved at tage hver inputfelt fra webformularer og beregne hashværdien for hvert felt og kontrollere denne hashværdi op imod de passwords der anvendes internt. NTLM for AD,SHA1 for andre systemer osv.

  • 0
  • 1
Uffe R. B. Andersen

Endelig uddanner kommunen både nuværende og nye medarbejdere i awareness, som bl.a. handler om at lære at gennemskue phishing-forsøg

Som Henrik også skriver, så er domænet ikke sikret med de midler der rent faktisk er til rådighed. Så længe det er sådan fat, så må det være et ledelsesproblem og ikke et medarbejder-awareness-problem.

  • 3
  • 0
Uffe R. B. Andersen

Headeren i de mails, som vores læser har modtaget, viser, at det ondsindede indhold umiddelbart er sendt ud via kommunes mail-server.

Udover at der står afsender@frederikssund.dk i fra-feltet, så har alle mails også klaret et såkaldt SPF-tjek.

Som nogen ved, angiver en SPF-record de servere, der har lov at sende på vegne af et domæne, her frederikssund.dk - kommunens officielle domæne.

Og da de ondsindede mails i den forbindelse har klaret SPF-tjekket indikerer det, at de faktisk er sendt via kommunens officielle systemer.

Hvis man har de originale mail headers til rådighed, hvordan kan man så være i tvivl om, om mailen er sendt via officielle systemer? Alle valide afsender-IP-adresser fremgår af SPF-recorden:
https://dmarcian.com/spf-survey/?domain=frederikssund.dk

Er afsender-adressen med? I øvrigt anvender Frederikssund softfail på deres SPF ("~all"), så mails der fejler SPF bliver ikke nødvendigvis afvist.

  • 0
  • 1
Ulrik Andreassen

Det er selvfølgelig rigtig fint, men hvad så hvis klient-computeren befinder sig uden for netværkets sikre firewall? Man kan selvfølgelig kræve at al internet-trafik kun er muligt med VPN via firewallen. Og så kan man begynde at kigge på seamless VPN løsninger....

  • 0
  • 0
Gert G. Larsen

Pyt med om der er udsendt lidt snydeemails fra kommunens medarbejderes konti...
MEN hvad med det data pågældende medarbejdere har adgang til?
Det må vel forventes at det data er kompromitteret, enten stjålet eller ændret.

  • 6
  • 0
Uffe R. B. Andersen

Det er selvfølgelig rigtig fint, men hvad så hvis klient-computeren befinder sig uden for netværkets sikre firewall? Man kan selvfølgelig kræve at al internet-trafik kun er muligt med VPN via firewallen.

Hvis en medarbejder har en bærbar og tager den med udenfor huset, så bør den kun kunne tilgå internettet via virksomhedens VPN. Det gælder for alle brancher, i min optik. Alternativt kan man anvende en Citrix- eller tilsvarende løsning - med MFA, naturligvis.

  • 6
  • 0
Martin Lauritzen

Jeg er enig med Gert i at Version2 bør se nærmere på aspektet omkring hvilke data der har været tilgængelig for "hackerne" på de kompromitterede mailkonti - det kan da sagtens tænkes at der nu ligger alskens dejlige personfølsomme borger-oplysninger til rådighed for højstbydende.

  • 5
  • 0
Kurt Mielke

Det er jo lidt svagt, at kommunen kun anvender SPF med softfail og ej heller DKIM. Men problemet er at én udefra kan sende mails fra.mailserveren.
Der kunne nemt ske ved at mat mailserveren f.eks. er sat til at køre med ASMTP. Har man et par mailadresser fra kommunen har man et par bud på brugernavne og så er det bare at gætte. Der er jo nok mindst én som har brugt fido1234 eller noget andet mindre sikkert som password. Så kan man sende mails som Frederikssund.dk, faktisk ville korrekt DMARC bare fået mailen til at se mere legitim ud.
Gætter jeg rigtigt, har man ikke fået adgang til data, kun til at sende mail.
Skal medarbejdere arbejde hjemmefra, må det ske via VPN, mindst med client certificate, men helst også 2 factor authentication.

  • 3
  • 0
Maciej Szeliga

Det koster kun 1 DNS opslag at konstatere medarbejderne hos Frederikssund kommune er potentielt nemme ofre for phishing.

https://dmarcian.com/domain-checker/?domain=frederikssund.dk

Den slags hændelser er vel prisen man må betale når man offentligt reklamerer med dårlig sikkerhed.


Du er klar over du præcis har sparket dig selv over skinnebenet ?

Værktøj som skal verificere sikkerhed afslører alle som tilfældigvis ikke implementerer løsningen!
Fin overskrift til Ekstra Bladet.

Det minder lidt om "Do Not Track" indstillingen som kan bruges til at tracke...

Hvad med at dmarcian indførte lidt kontrol med hvem der bruger den ??

...og hvordan hjælper dmarc, hvis mailen rent faktisk er sendt fra en server med gyldig dmarc ?

  • 0
  • 3
Henrik Schack

På samme måde kan man sige at det er naivt at tro at man ikke kan mibruge en maildomæne som har dmarc.
Det kræver jo ikke andet end en kompromiteret klient.


Det har jeg vist heller ikke påstået, vi har jo lige set det demonstreret i Frederikssund kommune.
Mit budskab er at når man via DNS "reklamerer" med dårlig sikkerhed, så kan det vel ikke overraske at man bliver angrebet ?

  • 1
  • 0
Uffe R. B. Andersen

Det kræver jo ikke andet end en kompromiteret klient.

Idéen med DMARC er til gengæld at gøre det sværere at phishe de credentials der fører til en kompromitteret klient. Så havde DMARC været på plads var skaden måske ikke sket. Og man skal i hvert fald ikke fedte den af på medarbejderne(s awareness), når ledelsen ikke har gjort deres.

  • 4
  • 0
Lasse Mølgaard

På samme måde kan man sige at det er naivt at tro at man ikke kan mibruge en maildomæne som har dmarc.
Det kræver jo ikke andet end en kompromiteret klient.

Er det overhovet nødvendigt at kompromittere Frederikssunds mailserver?

Hvis man læser linket fra Dmarcian: "32 netblocks are authorized, 160.808 individual IPv4 addresses".

Softfail eller ej: Det burde ikke være så svært at finde en host, som har lov til at sende mails på vegne af Frederikssund kommune, når man skal fiske iblandt så mange forskellige ip-adresser.

Nok kan der være travlt på en offentlig institution, men når poolen af gyldige ip-adresser er 3-4 gange større end antallet af borgere i kommunen, så er der noget galt. :-)

  • 1
  • 0
Log ind eller Opret konto for at kommentere