fishing-2.jpg

Hvad er phishing og hvordan man forhindrer det?

Phishing er en metode hvormed hackere forsøger at indsamle personlige oplysninger ved hjælp af vildledende e-mails og websteder. Hvad er værd at vide om den mere og mere omfangsrige og sofistikerede form for cyberangreb.

Definition på phishing

Phishing er et cyberangreb, der bruger skjulte e-mail som våben. Målet er at narre e-mail-modtageren til at tro, at meddelelsen er noget, de ønsker eller har brug for, f.eks. en anmodning fra deres bank eller en note fra en person i deres virksomhed og derefter at klikke på et link eller downloade en vedhæftet fil.

Det, der virkelig skelner mellem phishing er den form, som meddelelsen har: Angriberne maskerer e-mails som en betroet enhed og ofte en rigtig person eller et plausibelt firma, som offeret kan gøre forretninger med. Det er en af de ældste typer cyberangreb, der går tilbage til 1990’erne og det er stadig en af de mest udbredte og skadelige. Desuden ses det, at phishing-meddelelser og teknikker bliver stadig mere sofistikerede. Gerningsmændene bliver hele tiden bedre til deres forehavende takket være velproducerede, hyldeværktøjer og skabeloner.

“Phish” udtales som ordet “fish” (fisk). Analogien er en lystfisker der smider en krog med madding ud for at fange fisk (phishing e-mail) og håber på bid. Udtrykket opstod i midten af 1990’erne blandt hackere, der sigter mod at narre AOL-brugere til at opgive deres loginoplysninger.

Hvad er et phishingværktøjet?

Tilgængeligheden af nødvendige værktøjer til phishing gør det nemt for cyberkriminelle, selv dem med minimale tekniske færdigheder, at lancere phishing-kampagner. Et phishing-værktøj samler phishing-webstedsressourcer og -værktøjer, der kun skal installeres på en server. Når det er installeret, skal angriberen bare sende e-mails til potentielle ofre. Phishing-kits samt postlister er tilgængelige på det mørke web og steder som Phishtank og OpenPhish, holder crowd-sourced lister over kendte phishing-kits. Nogle phishing-kits giver angribere mulighed for at forfalske betroede mærker, hvilket øger chancerne for, at nogen klikker på et phising-link.

Typer af phishing

Hvis der er en fællesnævner blandt phishing-angreb, er det forklædningen. Angriberne slører deres e-mailadresser, så det ser ud som om det kommer fra en anden, en falsk hjemmesider, der ligner dem offeret har tillid til og bruger udenlandske tegnsæt til at skjule web-adresser.

Der er desuden en række teknikker, der falder ind under phishings paraplyen. Der er et par forskellige måder at opdele angreb i kategorier. Den ene er med formålet med phishing-forsøget. Generelt forsøger en phishing-kampagne at få offeret til at gøre en af to ting:

  1. Udlever følsomme oplysninger. Den type meddelelser har til formål at narre brugeren til at afsløre vigtige data, herunder ofte et brugernavn og en adgangskode, som angriberen kan bruge til at bryde et system eller en konto. Den klassiske version af denne fidus indebærer at sende en e-mail skræddersyet til at ligne en besked fra en større bank og ved at spamme budskabet ud til millioner af mennesker sikrer angriberne, at i det mindste nogle af modtagerne vil være kunder i den pågældende bank. Offeret klikker på et link i meddelelsen og bliver guidede til et websted designet til at ligne bankens webside og derefter forhåbentlig indtaster deres brugernavn og adgangskode. Angriberen kan nu få adgang til ofrets konto.
  2. Download malware. Ligesom en masse spam har disse typer phishing-e-mails til formål at få offeret til at inficere deres egen computer med malware. Ofte er meddelelserne “bløde målrettet” – de kan sendes til en HR-medarbejder med en vedhæftet fil, der foregiver at være et jobsøgende CV. De vedhæftede filer er ofte .zip filer eller Microsoft Office-dokumenter med en skadelig integreret kode. Den mest almindelige form for ondsindet kode er ransomware – i 2017 blev det anslået, at 93% af phishing-e-mails indeholdt vedhæftede ransomware filer.
  3. Phishing-e-mails kan målrettes på flere forskellige måder. Som vi bemærkede, er de nogle gange slet ikke rettet mod specifikke personer, men hvor e-mails sendes til millioner af potentielle ofre for at forsøge at narre dem til at logge ind på falske versioner af meget populære websteder.

Andre gange kan angribere sende “bløde målrettede” e-mails til en person, der spiller en bestemt rolle i en organisation, selvom de ikke ved noget om dem personligt. Nogle phishing-angreb har til formål at få loginoplysninger fra eller inficere computere hos bestemte personer. Angribere dedikerer meget mere energi til at narre de ofre, der er blevet valgt, fordi de potentielle belønninger er ret høje.

Spear phishing

Når angribere forsøger at udforme en meddelelse for at appellere til en bestemt person, kaldes det spear phishing. (Billedet er af en fisker, der sigter efter en bestemt fisk, snarere end blot at kaste en krog med madding i vandet for at se, hvem der bider.) Phishere identificerer deres mål (nogle gange ved hjælp af oplysninger på websteder som LinkedIn) og bruger forfalskede adresser til at sende e-mails, der sandsynligvis kan se ud som om de kommer fra kolleger. For eksempel kan spear phisher målrette nogen i økonomiafdelingen og foregive at være ofrets manager anmoder om en stor bankoverførsel med kort varsel.

Whale phishing

Whale phishing, eller hvalfangst, er en form for spear phishing rettet mod de meget ”store fisk”, som f.eks. administrerende direktører eller andre med stor beslutningskompetence. Meget af den svindel er rettet mod virksomhedens bestyrelsesmedlemmer, der betragtes som særligt sårbare, da de har stor autoritet i en virksomhed og da de ikke er fuldtidsansatte, bruger de ofte personlige e-mail-adresser til forretningsrelateret korrespondance, som ikke har den beskyttelse virksomheden er omfattet af.

Hvorfor phishing stiger under en krise

Kriminelle er afhængige af bedrag og at skabe en følelse af, at det haster med at opnå succes med deres phishing-kampagner. Kriser som coronaviruspandemien giver disse kriminelle en stor mulighed for at lokke ofre til at tage deres phishing-agn.

Under en krise er folk særlig opmærksomme. De ønsker information og søger ofte vejledning fra deres arbejdsgivere, regeringen og andre relevante myndigheder. En e-mail der ser ud til at være fra en af disse, der lover nye oplysninger eller instruerer modtagerne om at udføre en opgave hurtigt, vil sandsynligvis modtage mindre kontrol end før krisen. Et impulsivt klik senere og ofrets enhed er inficeret eller konto er kompromitteret.

Sådan forhindres phishing

Den bedste måde at lære at spotte phishing-e-mails er at være opmærksom ved at gennemgå selv små detaljer i meddelelsen.

•                Kontroller altid stavningen af URL-adresserne i maillinks, før du klikker på eller indtaster følsomme oplysninger

•                Hold øje med URL-omdirigeringer, hvor du sendes til et andet websted med identisk design

•                Modtages en e-mail fra en kendt kilde, men noget virker mistænkeligt, skal kilden kontaktes med en ny e-mail i stedet for blot at trykke på svar

•                Send ikke personlige data, f.eks. din fødselsdag, ferieplaner eller din adresse eller dit telefonnummer, offentligt på sociale medier

Hvis du arbejder i virksomhedens it-sikkerhedsafdeling, kan du implementere proaktive foranstaltninger for at beskytte organisationen, herunder:

•                “Sandboxing” indgående e-mail, kontrollere sikkerheden for hvert link en bruger klikker

•                Inspektion og analyse af webtrafik

•                Test din organisation for at finde svage punkter og bruge resultaterne til at uddanne medarbejdere

•                Belønning af god opførsel, måske ved at fremvise en “dagens fangst”, hvis nogen opdager en phishing

Cybersikkerhed & Nyheder