UiO: Ansatte og studenter lurt til å gi fra seg passord

I en avviksmelding sendt til Datatilsynet, skriver UiO at inntrengerne først har sendt en såkalt phishing-lenke til et stort antall studenter og ansatte ved UiO. 

De som ble lurt fikk en e-post hvor de ble bedt om å oppgi brukernavn og passord. Da svindlerne hadde skaffet seg tilgang til e-postkontoene deres, brukte de tilgangen for å logge seg på felles datamaskiner og sende ut masse-epost. 

- Det er to sett med brukerkontoer som er berørt av hendelsen. Første gruppe er kontoer som har blitt kompromittert og misbrukt til å gjennomføre angrepet. Den andre gruppen er brukere som er satt som forfalskede avsendere av e-post. Brukere som er satt som forfalskede avsendere av e-post har ikke fått sine kontoer kompromittert, skriver IT-avdelingen ved universitetet i avviksmeldingen, ifølge Uniforum. 

Dataangrepet ble oppdaget 19. september og skal ha pågått fra 23. august i år. Etter at UiO ble klar over angrepet, fikk de raskt stengt tilgangen for inntrengerne. Innloggingssystemet til de felles maskinenene er dessuten endret slik at man må autentisere seg, og det er lagt inn begrensninger for hvor mange e-poster som kan sendes i løpet av et gitt tidsvindu. 

Til Uniforum skriver IT-sikkerhetssjef Espen Grøndahl at UiO ikke ønsker å gå ut med nøyaktig hvor mange e-postkontoer inntrengerne har skaffet seg tilgang til, men at det er noen titalls. 

Trolig ikke hentet data 

I avviksmeldingen skriver UiO at phishing-angrepene har vært av en type som omgår tofaktorautentisering. 

I en e-post til Uniforum, opplyser Grøndahl at det er brukt en metode hvor inntrengerne setter inn infrastruktur som står imellom brukeren og den ekte nettsiden. 

– På den måten tar de over sin sesjon når du har logget på. Disse metodene er ikke helt nye, men de har blomstret kraftig opp de siste årene fordi stadig flere legger på tofaktorautentisering, forklarer Grøndahl.

Inntrengerne skal trolig ikke ha hatt til hensikt å hente ut data.

- Foreløpige undersøkelser tilsier at målet med kampanjen var å sende ut mer phishing, ikke å hente ut data fra brukerkontoene. Dette ser vi blant annet i aktiviteten på et utvalg av de kompromitterte kontoene. Vi har ingen opplysninger som tilsier at aktørene har aksessert andre tjenester, står det i avviksmeldingen. 

Jobber med forbedringer

Grøndahl skriver videre at UiO har god IT-sikkerhet og jobber systematisk med å forbedre sikkerheten ytterligere. 

- Vi har et eget IT-sikkerhetsteam og en egen hendelseshåndteringsgruppe. Vi jobber både med løsninger og systemer som hjelper oss med å beskytte og avdekke angrep, og med mottiltak og oppfølging. Dette støttes også bla. av Riksrevisjonens gjennomgang i 2023 der de fant at «UiO i hovedsak etterlever beste praksis for de tekniske sikkerhetstiltakene som ble undersøkt, og har god systematikk i informasjonssikkerhetsarbeidet», skriver han til Uniforum. 

Han påpeker at måten angriperne går fram på har endret seg over tid.

- Der angrepene tidligere i større grad var rettet mot sårbare applikasjoner og systemer, er de nå mer rettet mot brukerne. Angriperne utnytter i større grad den menneskelige faktoren med å forsøke å lure brukerne til å oppgi passord eller lignende på falske sider. Vi jobber derfor stadig mer også med holdninger og kunnskap hos IT-brukerne på UiO.

Han henviser til en informasjonsside som UiO har laget om IT-sikkerhet, som er rettet mot brukere av IT-systemene ved UiO. Universitetet holder også kurs om IT-sikkerhet og personvern. 

- Avhengig av at folk er oppmerksomme

Personvernombud Roger Markgraf-Bye mener også at datasikkerheten ved UiO er god. 

- De har gode tiltak ved UiO. Med tofaktoreutentisering har det blitt enda tryggere, men vi er jo avhengig av at folk er oppmerksomme på mistenkelige henvendelser, sier han. 

Markgraf-Bye gjør det også klart at han støtter vurderingen UiO gjorde av risikoen knyttet til dataangrepet da de sendte avviksmeldingen til Datatilsynet.