Like før påske ble en ansatt hos en av våre kunder utsatt for en phishing-epost. Vedkommende klikket på en lenke og havnet på en falsk Microsoft-påloggingsside. Brukernavn og passord ble tastet inn, men siden ga ingen respons. Hendelsen virket ufarlig, og ble glemt.
Men angriperne hadde allerede fått tilgang...
Kunden er en del av en landsdekkende kjede med flere titall lokale forhandlere, som over flere år har hatt et tett samarbeid med Sodvin på IT og sikkerhet. Med et stadig mer avansert trusselbilde har virksomheten bevisst valgt å styrke IT-sikkerheten betydelig de siste årene, nettopp for å håndtere denne typen hendelser.
Angrepet skjer i det stille
Senere samme natt logget hackerne seg inn på kontoen. De utnyttet tidspunktet, da ingen er aktive og ingen følger med. Deretter startet de et målrettet angrep:
- Opprettet regler i innboksen
- Merket e-poster som lest
- Skjulte og slettet meldinger
- Videresendte e-post til ekstern adresse
Målet var å operere usynlig og få full innsikt i virksomhetens kommunikasjon, før så kunne følge potensielle pengestrømmer.
Oppdaget – og stoppet
Det angriperne ikke visste, var at kunden hadde SIKKER M365 med døgnkontinuerlig overvåkning fra Sodvin Operations Center (SOC).
Systemene fanget raskt opp avviket i form av pålogging fra uvanlig geografisk lokasjon, mistenkelig aktivitet i kontoen og opprettelse av skjulte e-postregler. Varsling ble utløst, hvorpå AI-automatikk og vårt SOC-team tok umiddelbart over. Hendelsen ble klassifisert som et aktivt angrep, og tiltak ble iverksatt:
- Kontoen ble stengt
- Aktiviteten analysert
- Skadelige endringer fjernet
- Tilgangen sikret og gjenopprettet
Totalt tok det 8 minutter fra angrepet startet til det var oppdaget, varslet, stoppet – og løsningen gjenopprettet til normal tilstand.
Full kontroll – før arbeidsdagen startet
Da kunden møtte på jobb neste dag, var situasjonen allerede under kontroll. De ble møtt med en full gjennomgang av hendelsen. Hva som hadde skjedd, hvordan angrepet oppsto, og hvilke tiltak som var gjennomført for å stoppe det. All aktivitet fra angriperne var analysert, fjernet og dokumentert, og kontoen var sikret på nytt. I tillegg fikk kunden en e-post med konkret e-opplæring i hvordan lignende angrep kan unngås i fremtiden. Resultatet var at ingen data kom på avveie, og ingen videre skade oppsto.
Når minutter avgjør
Denne hendelsen viser verdien av å kombinere gode IT-løsninger med sårbarhetsmonitorering og døgnkontinuerlig overvåkning. Når brukerkontoer først er kompromittert, er det responstiden som avgjør utfallet.
Uten slik overvåkning kan phishing-angrep utvikle seg til alvorlige hendelser, med tap av data, driftsstans og i verste fall svekket tillit i markedet. Med SIKKER M365 får virksomheten kontinuerlig overvåkning, varsling og et SOC-team som reagerer når det faktisk gjelder.
Phishing og identitetstyveri er blant de mest brukte angrepsmetodene i dag. Det er ikke et spørsmål om det skjer, men når. Forskjellen ligger i hva som skjer etterpå.
Vil du vite hvordan SIKKER M365 kan beskytte din virksomhet?
Ta kontakt med oss i Sodvin for en gjennomgang av deres sikkerhetsnivå.