Phishing omgår SMS-koden din: slik fungerer AiTM-angrep
Du skriver inn passord og SMS-kode på det som ser ut som Microsoft-innlogging. Én time senere er innboksen din tom. AiTM-phishing stjeler både legitimasjon og engangskode i sanntid, og tradisjonell tofaktorautentisering stopper det ikke.
Hvordan AiTM-phishing fungerer i praksis
Tradisjonell phishing prøver å lure deg til å skrive inn passord på en falsk side. Angriperen kopierer innloggingssiden til Microsoft, Google eller banken din, og når du skriver inn brukernavn og passord, lagrer de det og prøver å logge inn med det senere.
Men hvis du har tofaktorautentisering aktivert, stopper det der. Passordet alene er ikke nok.
AiTM-phishing løser dette problemet på en enkel måte: i stedet for å bare kopiere innloggingssiden, setter angriperen opp en proxy mellom deg og den ekte tjenesten. Når du skriver inn passordet ditt, sender proxyen det videre til ekte Microsoft. Microsoft sender tilbake forespørsel om SMS-kode. Du får koden på telefonen, skriver den inn på phishing-siden. Proxyen sender den videre til Microsoft. Microsoft godkjenner innloggingen og sender tilbake en session cookie.
Nå har angriperen session cookien din. Den fungerer som en digital nøkkel som sier «denne brukeren er allerede autentisert». De trenger ikke passordet eller SMS-koden igjen. De logger inn direkte med cookien, og Microsoft ser det som en helt vanlig, godkjent økt.
Verktøy som Evilginx gjør det enkelt
For ti år siden krevde denne typen angrep avansert teknisk kompetanse. I dag finnes ferdige phishing-kits som Evilginx, Modlishka og Muraena som automatiserer hele prosessen. En angriper uten programmeringskunnskap kan sette opp en AiTM-proxy på tjue minutter. Kitene kommer med ferdige maler for Microsoft 365, Google Workspace, Dropbox, banker og andre populære tjenester.
Resultatet: phishing-kampanjer som tidligere ville blitt stoppet av tofaktorautentisering, går nå rett gjennom.
Hvorfor tradisjonell MFA ikke lenger er nok
SMS-koder, autentiserings-apper som Google Authenticator og e-post-baserte engangskoder har ett kritisk problem: de er ikke bundet til nettstedet du logger inn på. Koden fungerer like godt på ekte Microsoft.com som på den falske proxyen. Systemet kan ikke skille mellom dem.
I tillegg har session cookies lang levetid. Selv om du endrer passordet fem minutter etter at du ble phishet, kan angriperen fortsatt bruke cookien i timer eller dager, avhengig av hvordan tjenesten er konfigurert.
For små og mellomstore bedrifter er dette ekstra risikabelt fordi mange fortsatt bruker SMS som eneste ekstra sikkerhetslag. I vårt interne review av 25 bedrifts-e-postadresser fant vi at 10 av dem hadde kjente passordlekkasjer i databaser som HIBP, og kun halvparten av disse hadde byttet passord etterpå. Hvis bare én av disse e-postadressene blir phishet med AiTM-teknikk, kan angriperen få full tilgang selv med tofaktorautentisering aktivert.
Det eneste forsvaret som faktisk fungerer
AiTM-phishing kan stoppes, men det krever moderne autentiseringsmetoder som faktisk bekrefter at du logger inn på riktig nettsted.
FIDO2 og passkeys
FIDO2-nøkler (fysiske sikkerhetsnøkler som YubiKey, eller innebygde biometriske nøkler i telefon/PC) er designet for å motstå proxy-angrep. Når du logger inn med en FIDO2-nøkkel, signerer enheten en kryptografisk utfordring som inkluderer domenenavnet du besøker. Hvis du er på en phishing-side, vil signaturen ikke matche det ekte domenet, og innloggingen feiler.
Passkeys fungerer på samme måte, men uten fysisk enhet. De bruker biometri (ansiktsgjenkjenning, fingeravtrykk) eller PIN-kode lagret i operativsystemet. Apple, Google og Microsoft støtter nå passkeys på tvers av enheter.
Conditional Access og session-overvåkning
Selv med FIDO2 bør bedrifter implementere conditional access-regler som begrenser hvor session cookies kan brukes. Eksempler:
- Krev ny autentisering hvis IP-adresse endres plutselig (f.eks. fra Norge til Nigeria på ti minutter)
- Blokker innlogging fra kjente VPN-tjenester eller Tor-noder
- Sett maksimal levetid på session cookies til 8-12 timer
- Varsle brukeren ved innlogging fra ny enhet eller ukjent lokasjon
Microsoft 365 og Google Workspace tilbyr disse funksjonene i sine admin-paneler, men de er ofte skrudd av som standard.
Hva du kan gjøre i dag
Som bedriftsleder trenger du ikke forstå alle tekniske detaljer om Evilginx-proxyer for å beskytte organisasjonen. Start med disse tre tiltakene:
1. Sjekk om e-postadressene deres er lekket. Bruk Sentinels e-post-lekkasje-skanner for å se om ansattes e-poster finnes i kjente databaser. Hvis passordet er lekket og aldri byttet, er det bare et tidsspørsmål før noen prøver seg.
2. Bytt fra SMS til FIDO2 eller passkeys. Microsoft 365 og Google Workspace støtter begge. Det er en engangsinvestering på 200-400 kroner per ansatt for fysiske nøkler, eller gratis hvis dere bruker passkeys via telefon eller PC.
3. Aktiver conditional access. Gå inn i admin-panelet og sett opp regler for tillatte lokasjoner, enheter og IP-adresser. Hvis bedriften kun opererer i Norge, blokker innlogginger fra utlandet med mindre de er forhåndsgodkjente.
Hvis dere har PLUSS-abonnement hos Sentinel, får dere også daglig overvåkning av e-postadresser mot nye lekkasjer, slik at dere varsles umiddelbart når legitimasjon dukker opp i databaser.
AiTM er ikke science fiction
Da Kristine ble phishet, tok det angriperen mindre enn ti minutter fra hun klikket lenken til hele innboksen var kompromittert. IT-avdelingen fant ut at phishing-e-posten var sendt til 140 ansatte samme dag. Kristine var den eneste som klikket. Men én er nok.
Tradisjonell tofaktorautentisering var et fremskritt for ti år siden. I dag er det en falsk trygghet. AiTM-phishing beviser at SMS-koder og autentiserings-apper ikke lenger holder mål mot profesjonelle angripere.
Overgangen til FIDO2 og conditional access er ikke et spørsmål om teknisk perfeksjonisme. Det er et spørsmål om å bruke autentiseringsmetoder som faktisk matcher trusselbildet i 2025.