IMAP er under angrep, og tofaktorautentisering beskytter IKKE!
Jeg kom over følgende artikkel i dag, og den beskriver en skremmende måte å bryte seg inn i folks nettkontoer på. Mer konkret handler det om relativt målrettede angrep mot de som bruker Microsoft Office 365 og Google GSuite som plattform, hvilket inkluderer de fleste av oss. Det spesielle med angrepet er at det rammer mange, går under radaren til sikkerhetsverktøyene, og ikke lar seg affisere av at du har aktivert tofaktorautentisering på kontoen din.
Løsningen
Løsningen, for å ta den først, er som følger:
- Deaktivér IMAP (og andre eldre protokoller, som f.eks POP3) på mailserveren. (-Og, ergo; bruk e-postklienter som ikke kobler seg til serveren via IMAP eller POP3…)
- Dersom deaktivering av IMAP ikke er mulig (fordi du av ymse grunner er avhengig av det), sørg iallefall for å ha et sterkt og unikt passord på e-postkontoen! Du er ikke helt trygg, men det er litt mindre sjanse for å bli hacket…
- Ha spesiell fokus på delte kontoer (som gjerne aksesseres fra helpdesk, skrivere og lignende). Også disse trenger dette sterke og unike passordet!
Problemet
Enkelt forklart er det den aldrende e-postprotokollen IMAP som er under angrep.(For de som husker så langt tilbake så var IMAP et stort skritt fremover i forhold til POP3, som var standarmetoden å hente e-post på til langt ut på 2000-tallet.)
IMAP gjør det mulig å ha e-postene sine lagret på ett sted (altså på e-postserveren), og å aksessere denne via flere eksterne klienter installert på andre enheter. På denne måten hadde man samme innhold i innboksen på telefonen som man hadde på pc’en på kontoret og på pc’en hjemme.
Problemet er todelt:
- IMAP støtter ikke tofaktorautentisering
- IMAP-tilgang er aktivert som standard på både Office 365 og GSuite (og Gmail generelt for den saks skyld, kanskje også på Outlook.com).
Passord-spraying i stedet for brute force
Den vanligste metoden til ondsinnede hackere er ved å angripe målet gang på gang, med samme brukernavn, men med nytt passord hver gang, også kjent som brute force-angrep. Gjøres dette ofte nok finnes til slutt den riktige kombinasjonen av brukernavn (e-postadresse) og passord. Dette har de aller fleste netttjenester beskyttelse mot. De kjenner igjen typen angrep, og sperrer angriperen ute.
I dette tilfellet gjøres det imidlertid motsatt: De angriper en stor base med kontoer om gangen, og tester det samme passordet mot alle. For maskinene som står som brannmur ser dette bare ut som et isolert tilfelle av en feilet innlogging. Dermed går heller ikke alarmen.
Kontoene og passordene de benytter seg av er gjerne hentet fra lekkede lister fra hackede nettsteder.
Derfor: Deaktiver IMAP og andre eldre protokoller på serveren, og fortsett den fine vanen med å ha unike passord på alle steder du logger deg inn på på Internett…