Kommunes mail-system kompromitteret og brugt til udsendelse af phishing-mails
Flere phishing-mails med et ondsindet link er blevet udsendt via Frederikssund Kommunes mail-system. En læser, der selv har modtaget tre phishing-mails fra kommunen, har tippet Version2 om sagen. Læseren er ikke selv borger i kommunen.
Den umiddelbart eneste sammenhæng mellem kommunen og læseren er, at læseren fik tilsendt en mail tilbage i 2017, hvor Frederikssund Kommune optrådte i et cc-felt.
Læseren har sendt de modtagne phishing-mails med headere til Version2. Ordlyden i to af de tre mails er identisk, mens den tredje har et lidt andet emnefelt og indhold.
Det overordnede budskab er dog det samme: Brugeren skal klikke på et link, hvor der skal afgives login-oplysninger, hvis mail-kontoen fortsat skal fungere.
Alle mails er skrevet på rimeligt dansk, og kommateringen ser også ud til at være på plads.
Linket, som de tre mails indeholder, fører til samme url.
Headeren i de mails, som vores læser har modtaget, viser, at det ondsindede indhold umiddelbart er sendt ud via kommunes mail-server.
Udover at der står afsender@frederikssund.dk i fra-feltet, så har alle mails også klaret et såkaldt SPF-tjek.
Som nogen ved, angiver en SPF-record de servere, der har lov at sende på vegne af et domæne, her frederikssund.dk - kommunens officielle domæne.
Og da de ondsindede mails i den forbindelse har klaret SPF-tjekket indikerer det, at de faktisk er sendt via kommunens officielle systemer.
Et vellykket SPF-tjek kan også gøre det lettere for mails at komme udenom et spam-filter. Læseren oplyser, at den første mail gik uden om spamfilteret (Googles), de øvrige mails røg i spam. Muligvis fordi læseren manuelt havde markeret den første mail som spam.
Phishing-angreb
Af en mail fra IT- og Digitaliseringschef i Frederikssund Kommune Britt Christensen fremgår det, at der er sket en kompromittering af kommunens systemer ved at en medarbejder har modtaget en phishing-mail, og medarbejderen har i den forbindelse afgivet sine login-oplysninger.
Ifølge Britt Christensen bliver kommunen jævnligt udsat for phishing-forsøg fra it-kriminelle, uden det går galt.
»Langt hovedparten af disse forsøg bliver stoppet af kommunens it-sikkerhedssystemer. Phishing-mails optræder dog i stadig nye former og bliver stadig sværere at gennemskue. Derfor kan det ske, at en medarbejder får aktiveret et link i en phishing-mail, og videregiver brugernavn og adgangskode. Derved er der mulighed for, at den pågældende medarbejders mailkonto bliver forsøgt benyttet til at sprede phishing yderligere,« oplyser Britt Christensen i en mail.
Den 25. januar 15:50 blokerede en sikkerhedsløsning hos kommunen for mails, der blev forsøgt udsendt via den kompromitterede konto. Britt Christensen forklarer, at Frederikssund Kommunes sikkerhedsløsning automatisk blokerer for udsendelse af mails efter bestemte kriterier, som for eksempel forsøg på at sende et antal enslydende mails fra samme brugerkonto.
Den 26. januar klokken 01:30 blev mailkontoen, som var formodet hacket, manuelt lukket ned af en it-medarbejder som følge af det, der beskrives som »unormal trafik« fra en medarbejders mailkonto. I den forbindelse blev adgangskoden på mailkontoen skiftet, og domænet i det ondsindede link i phishing-mailen blev blacklistet i kommunens sikkerhedsløsning.
Her kunne man måske tro, sagen var lukket ned. Sådan er det dog ikke.
De eksempler på phishing-mails fra Frederikssund Kommune, som Version2 har set, går nemlig frem til starten af februar. Phishing-eksemplerne ser desuden ud til at være sendt fra tre forskellige mailkonti hos kommunen. Det første eksempel er sendt 25. januar, mens det sidste er fra 4. februar.
Yderligere fem medarbejdere
Forklaringen er, at phishing-angrebet nåede at sprede sig til andre mail-konti hos kommunen.
»I løbet af uge 5 har yderligere fem medarbejdere aktiveret linket i en phishing-mail sendt fra den oprindeligt benyttede mailkonto. Også disse mailkonti er lukket ned og har fået skiftet adgangskode,« oplyser Britt Christensen.
Hun forklarer videre, at Frederikssund Kommune har modtaget henvendelser fra fire borgere og fire andre kommuner i forbindelse med phishing-angrebet. Derudover har Frederikssund Kommune i skrivende stund ikke noget overblik over, hvem der har modtaget de ondsindede mails sendt via kommunens systemer.
»Frederikssund Kommune er i dialog med leverandøren af sikkerhedsløsningen om, hvorvidt det er muligt at lave et udtræk af, hvilke eksterne modtagere, der kan have været. Pt. kan kommunen kun se antallet af mails, der er forsøgt sendt. Kommunen har rådgivet de fire borgere og fire kommuner, som har henvendt sig, om at slette den pågældende mail og ikke aktivere linket i denne,« lyder det i det skriftlige svar fra Britt Christensen.
Har Frederikssund Kommune kontaktet Center for Cybersikkerhed, Datatilsynet og/eller andre myndigheder i forbindelse med hændelsen?
»Kommunen har været i kontakt med Center for Cybersikkerhed, som bekræftede at de tiltag, som vi havde gjort, var helt efter forskriften. Derudover er hændelsen drøftet med kommunens Databeskyttelsesrådgiver og endelig er sagen anmeldt til Datatilsynet,« fortæller Britt Christensen.
Hvad vil Frederikssund Kommune gøre for at sikre sig, at noget lignende ikke gentager sig?
»Frederikssund Kommune vurderer jævnligt markedet af it-sikkerhedsløsninger med henblik på at sikre den mest optimale beskyttelse af kommunens it-systemer. Derudover er kommunen i dialog med sine eksisterende sikkerhedsleverandører om nye tekniske muligheder i de løsninger, som vi allerede har. Endelig uddanner kommunen både nuværende og nye medarbejdere i awareness, som bl.a. handler om at lære at gennemskue phishing-forsøg og aldrig at videregive brugernavn og adgangskode. Derudover informeres medarbejderne om, hvordan de skal forholde sig, hvis uheldet alligevel er ude.«
Tilbageværende spørgsmål
Men kommunens awareness-uddannelse af både nuværende og nye medarbejdere, som ifølge Britt Christensens svar indebærer en formaning om aldrig at videregive brugernavn og adgangskode, har altså ikke hjulpet i det konkrete tilfælde.
På samme måde har den blacklisting, kommunen har foretaget af phishing-domænet 26. januar heller ikke forhindret, at flere medarbejdere har klikket på det ondsindede link med det resultat, at flere phishing-mails er blevet sendt ud via kommunens officielle systemer helt ind i februar.
Det kan selvfølgeligt være, der har været brugt flere forskellige domæner i phishing-kampagnen, og at det kun er et af disse domæner, der er blevet blacklistet i den unavngivne sikkerhedsløsning, kommunen henviser til. De mails, Version2 har set, fører dog alle til samme domæne.
En anden forklaring kan være, at blacklisting i dette tilfælde ikke dækker over en løsning, der faktisk forhindrer medarbejdere i at tilgå domænet. I stedet kan det tænkes, blacklisting her alene dækker over, at indkomne mails med det ondsindede link fremadrettet er blevet bortfiltreret.
På den måde kan de medarbejdere, der har klikket på de ondsindede links i princippet have modtaget de pågældende mails i deres indbakker før blacklistingen fandt sted. Og herefter har medarbejderne - trods blacklistingen - stadig kunne klikke på linket og afgive deres login-oplysninger.
Grundet ferie har det ikke været muligt at få et uddybende svar fra Frederikssund Kommune i forhold til, hvorfor den såkaldte blacklisting 26. januar ikke har forhindret angrebet i at fortsætte. Vi vender tilbage, såfremt der er nævneværdigt nyt at berette desangående.
Frederikssund Kommune oplyser, at man ikke ved, hvad formålet har været med phishing-angrebet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
