🎣 Phishing
Av · · 5 min lesing

Phishing som omgår 2FA: når SMS-koden også blir stjålet

En ansatt mottar en e-post fra «Microsoft». De legger inn brukernavn, passord og SMS-koden. Alt ser riktig ut. Men i løpet av sekunder har angriperen overtatt kontoen, med aktiv 2FA. Slik fungerer moderne phishing.

Phishing som omgår 2FA: når SMS-koden også blir stjålet
Illustrasjon: Moderne phishing omgår tradisjonell 2FA ved å fange begge faktorer i sanntid.

Hvordan kan phishing omgå 2FA?

Tradisjonell phishing stjal bare passord. Du tastet inn legitimasjonen din på en falsk side, angriperen kopierte den, ferdig. Tofaktorautentisering stoppet dette, selv om de hadde passordet ditt, mangler de SMS-koden.

AiTM-phishing (Adversary-in-the-Middle) løser dette ved å sitte mellom deg og den ekte tjenesten. Når du taster inn brukernavn, passord og engangskode, videresender angriperen alt til den virkelige innloggingssiden i sanntid. Microsoft eller Google godkjenner innloggingen. Angriperen kopierer økten din, session cookie, og logger seg inn som deg. De trenger ikke passordet eller SMS-koden en gang til. De er deg, så lenge økten varer.

Verktøy som Evilginx, Modlishka og Muraena automatiserer hele prosessen. En angriper uten programmeringskunnskaper kan sette opp en kampanje på timer. Domenet ser ekte ut: login-microsoft-verify[.]com eller office365-update[.]net. SSL-sertifikatet er gyldig. Nettleseren viser ingen advarsel.

Hva gjør angriperen etter innlogging?

Første stoppet er ofte e-postregler. De oppretter en skjult regel som videresender alle innkommende meldinger til en ekstern adresse, eller som sletter varslinger fra IT-avdelingen. Deretter eksfiltrerer de fakturaer, kontrakter, passordlister fra e-post eller OneDrive.

Neste trinn er BEC, Business Email Compromise. De sender e-post internt som deg, ber om hasteoverføringer, endrer bankkontonummer på fakturaer, eller ber andre ansatte om legitimasjon «for en systemtest». Fordi avsender-adressen er ekte og e-posten kommer fra din virkelige konto, passerer den alle spam-filtre.

Enkelte angrep går rett på økonomisk vinning. I januar 2024 sendte en kompromittert CFO-konto i en britisk SMB en betalingsordre på £48.000 til en konto i Romania. Mottaker var registrert som «IT-konsulent». Bedriften oppdaget først svindelen 11 dager senere.

Hvorfor fungerer ikke SMS-koder lenger?

SMS-basert 2FA har tre fundamentale svakheter mot AiTM:

  • Videresendes i sanntid: Når du taster inn koden på phishing-siden, sender angriperen den videre til ekte tjeneste i samme sekund. Microsoft ser en gyldig kode fra en gyldig IP (din), og godkjenner.
  • Session hijacking: Angriperen trenger ikke koden igjen. De kopierer session cookie og kan nå bruke kontoen i timer eller dager uten å logge inn på nytt.
  • SS7-angrep: Mer sofistikerte aktører kan avlytte SMS-trafikk direkte via sårbarheter i telekominfrastruktur, men dette er sjeldent mot SMB.

Autentiseringsapper som Microsoft Authenticator eller Google Authenticator er bedre enn SMS, men kan fortsatt omgås av AiTM hvis brukeren godkjenner push-varselet eller taster inn TOT-koden på en falsk side. Angriperen er ikke ute etter koden, de er ute etter økten.

FIDO2 og passkeys: det eneste som virkelig stopper AiTM

FIDO2 (Fast Identity Online) og passkeys fungerer fundamentalt annerledes. I stedet for å sende en kode, bruker enheten din kryptografisk signatur som bekrefter både identiteten din og at du er på riktig domene. Signaturen kan ikke brukes på et annet domene.

Hvis du prøver å logge inn på login-microsoft-verify[.]com med en FIDO2-sikkerhetsnøkkel registrert for login.microsoftonline.com, nekter nøkkelen å signere. Det er ikke mulig å videresende signaturen, den er matematisk bundet til det ekte domenet.

Implementering i SMB:

  • YubiKey eller liknende: USB-sikkerhetsnøkler. Ansatte plugger den inn eller holder den mot NFC-sensor på telefon. Koster 300-800 kr pr. enhet.
  • Windows Hello / Face ID: Biometri på laptop eller mobil. Fungerer som passkey uten ekstra maskinvare. Krever Windows 10 (1903+) eller nyere Mac/iPhone.
  • Passkeys i nettleser: Chrome, Safari og Edge støtter passkeys. Brukeren registrerer fingeravtrykk eller PIN, logges inn uten passord. Synkroniseres trygt via iCloud Keychain eller Google Password Manager.

Microsoft Entra ID (tidligere Azure AD) støtter FIDO2 fullt ut. Google Workspace likeså. Implementering tar 1, 2 timer for en IT-ansvarlig.

Conditional Access: det nest beste

Hvis FIDO2 ikke er mulig på kort sikt, konfigurer Conditional Access-policyer i Microsoft 365 eller tilsvarende i Google Workspace. Dette stopper ikke AiTM-angrepet i seg selv, men begrenser skaden:

  • Tillatte lokasjoner: Blokker innlogginger fra land dere aldri opererer i. Hvis ansatte jobber fra Norge, hvorfor skal Singapore eller Brasil ha tilgang?
  • Managed devices only: Krev at enheten er registrert i Intune eller tilsvarende MDM. Angriperen i Singapore har ikke tilgang til bedriftens MDM-sertifikat.
  • Risk-basert policy: Microsoft Entra ID Identity Protection gir risiko-score basert på innloggingsmønster, IP-omdømme, velocity (flere pålogginger på kort tid). Blokker høyrisiko-innlogginger automatisk.

En SMB-leder med 40 ansatte fortalte i mars 2024 at Conditional Access stoppet et pågående angrep. Angriperen hadde stjålet session cookie, men ble blokkert fordi IP-adressen kom fra Vietnam og enheten ikke var Intune-registrert. Varselet ble sendt til IT umiddelbart.

Hva kan du gjøre i dag?

Tre konkrete tiltak, prioritert:

1. Sjekk om bedriftens e-poster er i lekkasjer
Før du fikser 2FA, finn ut om ansatte allerede har kompromitterte passord. Sentinel sine daglige e-post-lekkasjesjekker overvåker alle bedrifts-e-postadresser mot Have I Been Pwned og varsler deg innen én time etter ny lekkasje publiseres. Start med et engangs-skann på /sentinel/#/tools/mailscan for å se status nå.

2. Aktiver FIDO2 for privilegerte kontoer
Start med administratorer, IT-ansatte, CFO, HR-ledelse. Kjøp YubiKey 5 NFC (ca. 500 kr) til disse rollene. Konfigurer FIDO2 i Microsoft Entra ID under Authentication methods > Policies > FIDO2 Security Key. Test på én bruker før utrulling.

3. Sett opp Conditional Access i Microsoft 365
Gå til Entra admin center > Protection > Conditional Access. Opprett policy: Block sign-ins from countries outside Norway/Sweden/Denmark (velg etter behov). Apply to all users. Aktiverer umiddelbart. Tar 5 minutter.

En fjerde handling, ofte oversett: Tren ansatte til å sjekke URL før de taster inn noe som helst. Ikke login-microsoft, men login.microsoftonline.com. Ikke office365-portal, men portal.office.com. Lag en enkel regel: Hvis du er i tvil om lenken er ekte, gå til tjenesten manuelt via bokmerke eller google-søk. Aldri klikk lenker i e-post som ber om pålogging.

Konklusjon

SMS-koder og autentiseringsapper beskytter mot tradisjonell phishing. Men AiTM-angrep omgår dem fullstendig ved å stjele selve økten din i sanntid. FIDO2 og passkeys er det eneste som matematisk sikrer at du logger inn på riktig domene. Conditional Access begrenser skaden hvis et angrep likevel lykkes.

Kostnadene ved kontokapring er langt høyere enn 500 kroner for en sikkerhetsnøkkel. Start med de ansatte som har tilgang til økonomi, kundedata eller administrative systemer. Resten kan vente til neste kvartal. Men start.

Relaterte artikler

📊
Analyse
Bare 8 % av ledere ser cyberangrep som en samfunnsrisiko
🎣
Phishing
Phishing omgår SMS-koden din: slik fungerer AiTM-angrep
🕵️
Tips
Stealer-logger: angrepet du sannsynligvis ikke har hørt om
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn