Kompromitteret mailsystem: Frederikssund Kommune døjer med phishing-problem

Illustration: REDPIXEL.PL/Bigstock
Siden januar er vellignende phishing-mails blevet sendt ud af kommunens systemer.

Trods sikkerhedsløsninger og blacklisting er det tilsyneladende endnu ikke lykkedes Frederikssund Kommune at sætte en stopper for de phishing-mails, der er strømmet ud af kommunens mailsystem siden januar.

Eksempel på phishing-mail med Frederikssund Kommune som afsender. Illustration: Jakob Møllerhøj screenshot

Som Version2 tidligere har fortalt, er det lykkedes angribere via phishing-mails at få fat i logins til mailkonti tilhørende flere af kommunens medarbejdere.

Denne adgang er blevet brugt til at udsende yderligere phishing-mails, nu med kommunen som afsender.

En Version2-læser, der også modtog phishing-mails i januar, har således fået tilsendt endnu en phishing-mail den 19. februar.

Denne mail ser som de foregående mails ud til at være sendt via kommunens mailsystem.

Læseren er ikke selv borger i kommunen. Den umiddelbart eneste sammenhæng mellem kommunen og læseren er, at læseren fik tilsendt en mail tilbage i 2017, hvor Frederikssund Kommune optrådte i et cc-felt.

Mailen fra 19. februar lægger sig i kølvandet af flere andre mails, som læseren har modtaget fra kommunen i januar og frem til starten af februar.

Det er mails på rimeligt dansk, der forsøger at lokke offeret til at klikke på et link.

I de foregående mails er brugeren efter et klik på linket blevet præsenteret for en web-formular, hvor login-oplysninger til mailkontoen har skullet indtastes, hvorved angriberen har fået fat i oplysningerne.

Linket i mailen fra 19. februar var dødt, da Version2 undersøgte det.

Version2 har spurgt Frederikssund Kommune, om man er bekendt med den seneste phishing-mail, og hvordan det kan være, at man ikke kan få stoppet problemet.

»Ja, vi er bekendt med denne og er i dialog med vores sikkerhedsleverandør om, hvilke eventuelle yderligere tiltag der kan gøres,« lyder det i et skriftligt svar fra it- og digitaliseringschef i Frederikssund Kommune Britt Christensen.

Det seneste phishing-eksempel har emnet ‘SV: IT HelpDesk’ og giver sig ud for at være fra ‘Computer teknisk support’.

Blacklisting

Kommunen har tidligere forklaret, at der i forbindelse med angrebet, der første gang blev registreret 25. januar, blev foretaget en såkaldt blacklisting i kommunens sikkerhedsløsning i forhold til det domæne, der har været brugt i forbindelse med phishing-forsøget.

Ifølge en tidligere forklaring fra Britt Christensen fandt blacklistingen sted 26. januar, men det forhindrede ikke efterfølgende flere phishing-mails med et link til samme fup-formular i at forlade kommunens systemer og nå frem til Version2’s læser.

»Ved en fejl blev blacklisting ikke foretaget på alle domæner i første omgang, men først på et sidste domæne den 29. januar,« skriver Britt Christensen i en mail.

Det forklarer dog ikke umiddelbart en phishing-mail fra 4. februar, som Version2 har set, og som indeholder et link til samme domæne som mailen fra 25. januar.

Vi har sendt et opfølgende spørgsmål om dette til Frederikssund Kommune, og vi vender tilbage, såfremt der kommer nævneværdigt nyt at fortælle desangående.

Som udgangspunkt ingen fortrolige data

Når uvedkommende får adgang til mail-logins i kommunen, så giver det ikke bare adgang til at udsende eksempelvis phishing-mails på vegne af kommunens medarbejdere. Hackerne kan også få adgang til de mails, der hører under de kompromitterede mail-konti.

Fri adgang til en kommunal indbakke kan måske lyde lidt uhyggeligt set fra et privacy-perspektiv. Men her skulle der - i udgangspunktet - ikke være grund til privatlivs-panik.

»De brugere, som har aktiveret linket, behandler som udgangspunkt ikke følsomme eller fortrolige data i deres mailsystem. Derfor vurderes risikoen herfor at være lav,« oplyser Britt Christensen via mail.

I forhold til sagsbehandling vedrørende borgere efter forvaltningsloven og offentlighedsloven så gælder der regler om journaliseringspligt. Det vil sige, at der ikke sagsbehandles i indbakken i et mailsystem, oplyser it-sikkerhedsspecialist ved Datatilsynet Allan Frank.

»Udgangspunktet er, at man flytter det over til det sted, hvor man faktisk behandler sagen, og hvor man har den fornødne sikkerhed. Det er bare med at få det derover så hurtigt som muligt og så få det ud af sit mailsystem,« siger Frank.

Frederikssund Kommune har, da Version2 omtalte sagen i første omgang, oplyst, at episoden er anmeldt til Datatilsynet, ligesom kommunen har været i kontakt med it-sikkerhedsmyndigheden Center for Cybersikkerhed.

Kigger på 2-faktor autentifikation

En af de teknologier, der kan gøre det mindre ligetil for en angriber at få adgang til et mailsystem, er to-faktor-autentifikation (2FA).

Som nogle vil vide, vil 2FA sige, at brugernavn og adgangskode ikke i sig selv er nok til at tilgå en konto. Eksempler på 2FA kan være papkortet i NemID eller en engangskode sendt som SMS.

Hackere kan også omgå 2FA, men angrebet bliver alt andet lige noget mere kompliceret end blot at narre brugernavn og adgangskode fra et offer via en web-formular.

»Frederikssund Kommune er i gang med analyse af mulighederne for to-faktor-autentifikation til mail-system, men har endnu ikke truffet beslutning herom,« oplyser Britt Christensen i mailen.

Derudover overvejer kommunen at implementere DMARC, som kan være med til at beskytte mod phishing-mails.

»Ja, også det overvejede vi allerede inden angrebet. Desværre tilbyder vores leverandør af sikkerhedsløsning endnu ikke dette. Overvejelserne går derfor også på, hvorvidt der skal skiftes til anden sikkerhedsløsning,« oplyser Britt Christensen via mail.

Det skal her bemærkes, at DMARC ikke stopper udgående phishing-mails fra Frederikssunds Kommunens mailsystem som følge af en kompromittering af mailserveren, da disse mails set fra et DMARC-teknisk perspektiv er legitime.

Til gengæld kan DMARC-validering på mailserveren beskytte mod udefrakommende svindelmails, ligesom teknologien kan beskytte mod, at angribere uden adgang til mailsystemet i kommunen kan sende mails, der ser ud til at komme fra @frederikssund.dk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lasse Mølgaard

Der er flere ting, som man kan gøre for at sikre sin mail server mod kompromittering.

Det rette spørgsmål er vel nok nærmere at spørge hvor meget af deres netværk er kompromitteret til at begynde med?

Fordi man kan sagtens installere en VPN klient på samtlige af kommunens maskiner og kræve at man logger på via VPN, hvis man vil sende mails.

... men hvis en eller flere af disse klienter er kompromitteret, så er man lige vidt.

Og hvad med kommunens firewall? Umiddelbart kan jeg ikke se grunde til at tillade andet trafik inbound end til VPN server og mail server.

Det forhindre så ikke i at en klient har malware installeret, som kan oprette en tunnel i udgående retning, som kan bruges til at få trafik ind i netværket af bagvejen.

... eller at nogen har placeret en IoT enhed i netværket, som laver denne forbindelse ved at kontakte en server ude på Internettet

Jeg bruger selv et lignende trick for at komme kontakt med mit netværk udefra, når jeg skal banke igennem en Carrier Grade Nat.

Uanset hvad der er kompromitteret, så er der nogle It-folk, som kommer på overarbejde, fordi de har ikke vist rettidigt omhu...

Sidsel Jensen Blogger

Udfra frederikssund.dk's MX records ser det ud til at de er hosted hos FuseMail? Mit gæt er en hosted Exchange løsning eller tilsvarende.

Burde kritikken ikke rettes mod kommunens leverandør - der tilsyneladne ikke har en god nok anti-phishing løsning på plads? Der findes efterhånden en del "on-time-of-click" anti-phishing løsninger, der checker links når brugeren klikker på dem, fordi phishing links lægges online og tages offline i løbet af timer.

Skal man bare checke et enkelt link kan https://isitphishing.ai/ med fordel bruges.

Der er med garanti blevet inficeret en pc, der står på kommunens netværk dvs. mailloggen bør gennemgås med en tættekam for at finde hvilken maskine/enhed de blev sendt fra og pc'en bør derefter re-installeres. Artiklen nævner ikke kommunens procedurer i tilfælde af et sikkerhedsbrud et eneste sted...

"stands ulykken" gælder også indenfor IT så kan DMARC og 2FA være nok så ligemeget indtil da.

Simon Mikkelsen

Ja, det lyder nærmest som om at man prøver at genere så få medarbejdere som muligt og dermed får man ikke lukket for problemet.

Jeg er bekendt med et lignende tilfælde hvor man lukkede alt mail helt ned, lavede uddannelse af alle medarbejdere, nulstillede alle passwords og tilføjede 2fa (når man loggede på udenfor det interne netværk) før mailserveren overhovedet blev tændt. Det er sådan man stopper den slags. Det var nogle rigtig trælse dage, men det er da katastrofalt at man ikke kan holde angribere ude af éns mailsystem.

Claus Haulund

Der bliver vist rodet med det :) i Frederikssund. Jeg synes der er ting som tyder på, at de har en leverandør som ikke rådgiver dem godt nok. Stadig DNS fejl og standarder som ikke er opfyldt godt nok f.eks . Feks er der softfail på SPF (bør være hardfail) og postmaster@frederikss... findes ikke. At der ikke er DKIM og DMARC skyldes nok, at der ikke er mange mailservere som understøtter det endnu. Så skal man på Ironport, Office 365 eller lign i øjeblikket. Til Exchange kan man dog få en gratis og velfungerende plugin. Uanset alle de tekniske tiltag hjælper det nemlig ikke en pind hvis brugerne klikker løs på links. Så ja, uddannelse straks hvor hverken SPF,DKIM eller DMARC skal løse problemet 100%.
Jeg vil også mene , men det kendskab der er fra pressen at alle password bør nulstilles straks. (det er ikke så svært som det lyder)

David Mc Nally

Når de får skiftet password på den kompromitterede bruger, skal de måske se på om Sendgrid bør optræde i deres SPF-record på domænet.

Så længe det gør det, og de ikke implementerer DMARC, tænker jeg det er svært at undgå, at e-mails kan sendes i kommunens navn af udenforstående.

Niels C Nielsen

Medmindre mailheaders i de phishingmails er tjekket, så kan enhver have sendt en falsk mail hvorsomhelst fra. I så fald er det ikke sikkert, at de kommer fra kommunens mailsystem.

frederikssund.dk's SPF-record er pt fejlbehæftet og ugyldig "v=spf1 include:spf.mainanyone.net include:composite.net ÔÇôall". Den burde snarere være "v=spf1 include:spf.mailanyone.net include:composite.net ~all".

frederikssund.dk's navneservere ligger hos KMD, der mærkværdigvis heller ikke har DMARC. Det må give et troværdighedsproblem for KMD, hvis de skal levere sikker drift for deres kunder, herunder implementere DMARC.

Frederikssund benytter vist MailChimp til nyhedsbreve. Uanset hvad, så har Frederikssund ikke autentificeret sin konto hos nyhedsbrevsudbyderen og publiceret en tilhørende DKIM record.

Log ind eller Opret konto for at kommentere