Sikkerhetsmåneden oktober nærmer seg med stormskritt og sukkene over at ansatte igjen må få høre om hvor farlig en phishing-e-post er, sendes ut i landskapene. Raskt fulgt opp av dårlig samvittighet for å ha sukket litt dypere enn hva som er sosialt akseptabelt i koronaverden. Så hva er phishing egentlig?
Phishing er et forsøk på å skaffe seg informasjon ved å utgi seg for å være en legitim entitet man stoler på.
Vi skal ikke innom rike prinser på 90-tallet som trenger å flytte formuen sin, men heller til firmaer de fleste av oss allerede har et forhold til, som f.eks. Google, Apple, Microsoft, Facebook, Amazon, PayPal, Sparebank1, Gjensidige, eller PostNord. Den aller vanligste typen for phishing er at du får en e-post fra f.eks. Amazon som sier at ene ordren din er kansellert. Trykk på lenken og logg inn for å se hva det er. Eller det kan være en bekreftelse på at du har kjøpt noe som du i virkeligheten ikke har kjøpt. Andre klassikere er PayPal som varsler om uvanlig aktivitet på kontoen din. Klikk lenken for å komme rett til saken.
Men det finnes mange flere metoder enn e-post-angrep. Først, la oss se på hva er det en angriper prøver å oppnå med et phishingangrep?
Dette ønsker angriperne å oppnå med phishing
Hvem som står bak slike angrep kan man ikke alltid være sikker på. Phishing er en høyst effektiv metode som brukes av både organisert kriminalitet, etterretningsorganisasjoner, etterforskere, tenåringer som kjeder seg eller penetrasjonstestere.
Det de er ute etter er informasjon om deg, som brukernavn og passord, eller å infisere enheten du bruker med skadevare, eventuelt begge deler. Dersom en trusselagent får tilgang til din brukerkonto, så har de også en nøkkel inn i virksomheten. Nå som mange fortsatt sitter hjemme og ikke har noen like tilgjengelig til å bistå de med sikkerhetstiltak, er dette ekstra utfordrende. Kanskje jobber de ansatte på private enheter. Da kan ikke preinstallerte antivirus eller intrusion detection systemer fra jobben hjelpe til.
Les mer: Dystre funn i Mørketallsundersøkelsen 2020
De færreste liker å innrømme at de kunne blitt lurt av en phishing mail, men sannheten er dessverre slik at hvis angrepet er målrettet og trusselaktøren har gjort sitt etteretningsarbeid så vil de definitivt klare å få en bruker til å klikke der de ikke skal. En av årsakene er at dagens phishingangrep ikke bare kommer fra «firmaer» du kjenner, men oftere også fra mennesker du kjenner. Mennesker du har tillit til. Mennesker du jobber med. Som du forventer å få en e-post fra, og ikke bare det, men du forventer kanskje også vedlegget. I de mest ekstreme tilfellene så er hele prosessen legitim fra både avsender og mottaker, men en uønsket tredjepart har tuklet med ting i mellomtiden. Hvis en person er kompromittert vil den personens konto bli brukt videre i angrep for å kunne kompromittere flere kontoer. I verste fall noen som har privilegert tilgang til systemer eller data.
Er din virksomhet forberedt dersom dere blir utsatt for et cyberangrep? Last ned vår guide for å lære alt du bør vite om informasjonssikkerhet og phishing.
Eksempler på phishingangrep
Et phishingangrep inneholder enten overbevisende løgner som prøver å få deg til å klikke på en lenke. Hva som skjer når du klikker lenken kan variere. De mest amatørmessige tar deg til en side som gir seg ut for å være en ekte login side til tjenesten de utgir seg for å være. Nettsiden i seg selv er ikke farlig, men den er der for å lure deg til å skrive inn brukernavn og passord. Når du har gjort det så kan trusselagenten lagre din informasjon før de ruter deg til den faktiske siden, slik at du skal tro at alt er ok. Mer sofistikerte sider kan forsøke å levere skadevare til systemet ditt via sårbarheter i nettleseren du bruker.
Andre phishingangrep inneholder vedlegg som de prøver å overbevise deg om å åpne. Da disse kommer fra tilsynelatende legitime firmaer eller ukjente personer er det ofte trivielt å forstå at dette er falskt, men hvis mailen kommer fra noen du kjenner kan det bli verre.
De mest vanlige vedleggstypene er, ikke overraskende, pdf filer, word filer som doc og docx, zip filer og noen ganger exe filer. Exe filer er eksekverbare filer på Windows systemer og de hindres oftest av brannmurer eller spamfiltre. Pdf-filer er veldig populært grunnet at mange har Adobe Acrobat eller Reader på maskinene sine, og disse verktøyene har en lang historikk med sårbarheter. Word eller Excel-filer er også vanlig grunnet macrovirus. Åpner du et Office-dokument som du med en gang angrer på at du åpnet, så i hvert fall ikke gjør det verre med å trykke «Enable Content» i den gule stripen som popper opp rett etter åpning av filen. Disse filtypene er de mest populære, men langt i fra de eneste. Videofiler, lydfiler eller bildefiler kan også benyttes. Alt er avhengig av hva som er vanlig at folk har installert på maskinene sine. Andre metoder er å få deg til å installere en plugin til nettleseren, eller åpne et Google-dokument slik at du kompromitterer Drive tilgangen.
Les mer: Hvordan gjenkjenne svindelforsøk på mobil?
Trusselaktørene finner nye veier
I mange år har man forsøkt å få folk til å tenke tre ganger før de klikker lenker eller åpner dokumenter de mottar, men den kampanjen kan man kalle en fiasko. Det er ytterst få som starter de grå cellene i Holmes modus hver gang de mottar en e-post for å validere avsenders adresse, lenker eller headere. Andre metoder har kommet fra teknologene slik at uansett om meldingen er ondsinnet så skal en sandkasseløsning beskytte personen fra seg selv når de klikker. Men angripere skaffer seg hele tiden nye ess i ermet for å komme seg forbi. Og ikke tro at fordi du anser deg som liten og uinteressant så vil ikke en trusselaktør finne mening i deg (mager trøst hvis nihilismen har slått rot). Vi kjenner til små idrettsklubber med fem medlemmer som er blitt utsatt for målrettede phishingangrep. E-posten var så bra skrevet at vedkommende som leste skulle til å overføre det lille beløpet, men stusset når det sto euro istedenfor kroner.
“Korona-phishing”
Korona-phishing har vært i stor sirkulasjon de siste månedene. Angrepene har lenker til sider med kart over smittede hvor siden distribuerer skadevare til sårbare nettlesere eller nettleserplugins. Det er meldinger som lover eksklusiv tilgang til medisinsk utstyr, og folk har utgitt seg for å være helsepersonell for å ta betalt for korontesting. E-poster som skal virke feilsendt fra ledere eller HR med vedlegg som har en liste over de smittede i firmaet. Andre metoder er lenker til legitime sider med korona-informasjon som er infiserte med iFrames, som kjører skadevare mot sårbare mobil-operativsystemer.
Les mer: Slik utnytter angriperne korona-krisen til å utføre sikkerhetsangrep
Jeg skulle ønske jeg kunne avslutte dette skribleriet med å si at alt du trengte å gjøre er bare å ikke klikke lenker eller åpne vedlegg, men slik vi jobber i vår distribuerte hverdag på hjemmekontor i dokumentdelingstjenester fra skyleverandørene, med mailer til og fra både kjente og ukjente så vet jeg at det er lettere sagt enn gjort. Bare husk at hver gang du trykker tar du en risiko. Utfallet kan være at du kjører i gang et ransomware-angrep på hele butikken eller gir fremmede tilgang til dine data og dermed muligheten til å bruke andres tillit til deg for å infisere videre.
Hvordan identifisere et phishingforsøk?
Ettersom informasjonssikkerheten stadig forbedres, utvikler hackere også nye og mer avanserte former for phishing. Ta en titt på videoen for å lære hvordan du kan identifisere phishingforsøk: