Lärdomar från Atea IRT - Kapade användarkonton
Cyberhoten blir allt mer sofistikerade, och attacker som kapar användarsessioner är ett växande problem - även för organisationer som använder multifaktorsautentisering.
Idag är det en vedertagen sanning att cyberhotaktörer inte hackar sig in i it-system - de loggar in. 2025 kunde över 40% av de incidenter som Atea Incident Response Team (IRT) hanterade härledas till kapade användarkonton och sessioner. Vi har alltså mycket att vinna på att säkra vår åtkomsthantering.
I detta webinar delar Atea IRT insikter från verkliga händelser vi hanterat under året och demonstrerar hur hotaktörer går till väga för att ta över användarsessioner, även de som är skyddade med otillräcklig flerfaktorsautentisering. Du får också konkreta rekommendationer för att minska risken att drabbas.
Vad du kommer att lära dig
- Varför hotaktörer stjäl användaruppgifter – både kortsiktiga och långsiktiga mål
- Förståelse för hur en angripare faktiskt går till väga baserat på verklig incidenthantering
- Konkreta tips och strategier för att stärka åtkomstkontroll och minska risken att drabbas
Varför delta?
Expertföreläsare: Lyssna på våra experter inom cybersäkerhet som delar sina erfarenheter och best practice. Praktiska verktyg: Få med dig praktiska metoder och verktyg att använda i din organisation.
11/12 2025, 09:00 - 09:45
10/12 2025
Kostnadsfritt
Frågor som ställdes under webinaret
Fråga: Vi har haft stora utmaningar med att implementera MFA eftersom våra anställda inte har jobbtelefoner. Hur ska vi implementera MFA som ett första steg?
Svar: Använd FIDO-nyckelar (ex Yubikeys) eller certifikatsbaserade bärare (ex smarta kort). Det finns idag också mycket bättre förutsättningar att centralt hantera FIDO-nycklar idag jämfört med för några få år sedan. Man kan också segmentera medarbetarbasen – alla behöver kanske inte logga in på alla ställen och prioritera användare med höga behörigheter.
Fråga: Hur funkar phish resistant MFA lösningar när användare nyttjar mobila enheter - t.ex. åtkomst till epost på mobil/ipad etc?
Svar: Både FIDO2/passkeys och certifikatbaserad MFA går att använda på mobila enheter. FIDO2-nycklar kan ha kontaktlösa interface (ex NFC) och fysiska kontakter (ex USB-C, USB-A eller Lightning). Detta är ett bra val om de mobila enheterna är delade mellan flera personer. En passkey genereras och lagras säkert på den mobila enheten och fungerar bra om enheten är personlig. Certifikatsbaserad MFA kräver väldigt mycket av en organisation att implementera på mobila enheter men erbjuder väldigt hög säkerhet.
Fråga: Vi har haft stora utmaningar med att implementera MFA eftersom våra anställda inte har jobbtelefoner. Hur ska vi implementera MFA som ett första steg?
Svar: Det finns flera metoder som är lämpliga om de anställda inte har jobbtelefoner. FIDO2-nycklar (ex Yubikey), certifikatsbaserad MFA (ex smarta kort) eller Windows Hello for Business.
Fråga: Har ni någon spaning för framtiden? AiTM har ju trots allt funnits ett tag…
Svar: När hotaktörerna inte kan stjäla cookien via AiTM attacker kommer deras fokus gå över till att stjäla cookien direkt från klienterna då detta kan skalas upp bra med hjälp att det finns färdig infrastruktur av infostealers. Sen kommer även social manipulation öka där hotaktörer kommer kontakta servicedesk eller användaren direkt för att få de att logga in och ge tillgång till hotaktören
Fråga: När man höjer säkerhetsnivån på den digitala identiteten, hur hanterar man "Password reset"-situationer? Är det rekommenderat att identitetsväxla från BankID, eller hur beter man sig?
Svar: Säkerhetsnivån på en digital identitet bestäms av svagaste länken: registrering, inloggning och återställning. Om “Password reset” (eller motsvarande registrering av ny MFA-metod) är tekniskt sett svagare än en normal inloggning, så blir det den riktiga dörren in för angriparen.
Alltså måste en sådan funktion kräva minst samma säkerhetsnivå som en vanlig inloggning vilket i sig ställer krav på organisationen att tänka igenom hur processen ska se ut för hur man hanterar exempelvis tappade FIDO-nycklar.
Fråga: Vi har CA-policys som gör att MFA inte triggas ifall man sitter på en betrodd enhet på ett betrott nätverk. Detta medför att användare som enbart jobbar på dessa ställen aldrig blir triggade att registera MFA, hur kan man lösa det?
Svar: Det finns systemstöd genom exempelvis Entra ID Protection att konfigurera registreringspolicyn för MFA i organisationen. Vi rekommenderar inte att man har användare som inte krävs på MFA även om man har andra kontroller på plats som ni beskriver. Dessa användare skulle vi föreslå att första alternativet kan vara att använda Windows Hello for Business eller en FIDO2-nyckel för att logga in. Alternativt i andra hand Passkey genom Microsoft Authenticator. Det gör att användaren alltid är inloggad med stark autentisering redan från början och man kan röra sig bort från lösenord helt och hållet.
Fråga: kan ni beskriva vad som menas med certifikatbaserad MFA?
Svar: Certifikatsbaserad MFA är när ett digitalt certifikat används som en av faktorerna för att bevisa en användares identitet (andra faktorer kan vara en PIN-kod eller biometri). Certifikatet kan t.ex. finnas lagrat som en fil, på ett smart kort eller hårdvarunyckel där valet av lagring/bärare också är den del av säkerheten. Certifikatet fungerar som en stark ”något du har”-faktor.
