I sikkerhetsmåneden oktober er det mange selskaper som setter ønsker å minne sine ansatte på viktigheten av sikkerhet. Ofte i form av en e-post som minner dem på å være forsiktige med å klikke på e-poster fra ukjente avsendere.
En god phishing kampanje fra et sikkerhetsfirma er en av de mest effektive læringsprosessene. Mye bedre enn en et elektronisk kurs som kommer i form av en lenke som du oppfordres til å klikke på, for så å klikke deg gjennom nesten like mye tekst som jeg har klart å kaste ut av meg her.
Jeg forstår tankegangen. Det er etisk ekkelt å utsette sine medarbeidere for en slik phishing kampanje, men det å stå i den kjipe følelsen kan potensielt spare firmaet ditt for ganske mye penger. For å kunne sikre seg mot phishing-angrep må man være kjent med de ulike metodene angriperne bruker for å få tilgang til dine data. Her lister jeg opp noen av de vanligste metodene for phishing angrep:
Phishing via tekstmelding
Phishing angrep kan være en tekstmelding over SMS, eller i en av de tusen meldingsappene du har på telefonen din, med et vedlegg du kan åpne eller en lenke til en side. Slike angrep utnytter sårbarheter i din telefon sitt operativsystemets meldingstjeneste eller i appen. Alvorlighetsgraden er avhengig av hvilken kontekst tjenesten kjører i og hvor sofistikert skadevaren er. Det vanligste er at meldingskontoen blir tatt over i den grad at den kan sende phishing-meldingene videre til alle som ligger i kontaktlisten din.
Les mer: Hva er egentlig phishing?
Phishing via epost
Det de fleste forbinder med phishing er e-poster med “luremailer” som prøver å få deg til å oppgi sensitiv informasjon som brukernavn og passord til en tjeneste eller side. I dag gjøres det som oftest ved at de legger inn en lenke til en nettside som ser ut til å være noe du kjenner til, eller at de oppfordrer til å åpne et vedlegg fra en person eller et firma du kjenner. Med tiden har det utviklet seg flere sofistikerte typer angrepskoder. Som for eksempel at du åpner vedlegget med skadevaren, men din enhet er ikke sårbar. Skadevaren har derimot flere steg og etter at den er åpnet så skanner den alle andre enheter den finner på samme nettverket som din enhet i håp å finne et sårbart mål.
Hvordan identifisere et phishingforsøk på e-post? Sjekk ut denne artikkelen.
Phishing via telefon
Denne metoden har blomstret i Koronatiden. Her ringer en frekkas deg opp for å informere om at du har vært i nærheten av en person som er smittet. Du må derfor testes. Det koster 50 kroner og kan du vennligst oppgi kontonummer. Ingen jeg kjenner til har gått på slike svindelforsøk og klapp på skuldra til alle som har informert om svindelkampanjen i sosiale medier. En annen klassiker er Microsoft Support Center i India som har oppdaget virus på maskinen din og de trenger at du lar de logge på maskinen din for å fjerne dette veldig fæle viruset.
Er din virksomhet forberedt dersom dere blir utsatt for et cyberangrep? Last ned vår guide for å lære alt du bør vite om informasjonssikkerhet og phishing.
Mer sofistikerte trusselagenter utfører social-engineering angrep ved å ringe virksomheten for å for eksempel informere om at en person fra kaffeleverandøren skal komme innom å ha service på kaffemaskinen, en servicearbeider skal bytte teppene eller at det er skadedyrkontrollen som kommer. Disse samtalene kan virke harmløse på jobb ettersom vedkommende ikke spør om noe sensitiv informasjon, men målet deres er at noen som ikke tilhører kontoret skal få kommet seg inn i bygget. Her vil trusselaktøren kunne bli sluppet inn og de ansatte tror at det er en reell grunn til at aktøren vandrer rundt. Dette er ekstra utfordrende der det er flere virksomheter i samme bygg. I koronatiden er det enda flere fordeler for trusselaktøren med tanke på at du ikke vil stille spørsmål med at de dekker ansiktet med et munnbind og du ønsker å holde litt avstand.
Phsihing via sosiale medier
De fleste av oss har vel sett en eller annen venn som har tagget oss på Facebook hvor de prøver å overbevise oss om å ta del i et åpenbart pyramidespill. “Det funker!! Jeg lover!!”
Trusselaktører lager innhold som de prøver å få til å gå viralt i sosiale nettverk. Dette kan være reklame i form av innlegg som blir delt eller innlegg som fører til ondsinnede sider. Andre teknikker er kompromitterte kontoer som trusselaktørene bruker for å lure venner av offeret. Det kan fort være enkelt å få familiemedlemmer eller nære venner til å overføre penger til en venn i nød.
Phishing via nettsider
Dette handler om nettsider som utgir seg for å være andre kjente sider. De ser helt like ut og har ved første øyekast samme funksjonalitet. De har selvfølgelig login-sider hvor du kan oppgi ditt helligste. Lenker i meldinger og e-poster fører ofte til slike sider. Disse er noen ganger så bra at URL og til og med IP Adresser kan virke ekte.
Phishing via apps
App-verdenen er en perfekt plass for å få installert skadevare på mobilen eller nettbrettet ditt. Mobile enheter skjuler hvordan ting fungerer mye bedre enn en laptop eller en arbeidsstasjon gjør, og det er få som fyrer opp en proxy og sniffer packets for å se hva appen faktisk gjør. Ettersom listen for å utvikle ganske spreke apps og spill senkes i kost og tid så har trusselaktører funnet ut at de kan utvikle og promotere legitime apps som i tillegg har en skadevarefunksjon godt gjemt under panseret. Dette gjelder spesielt spill og «nye» sosiale plattformer.
Phishing via reklame
På lugubre nettsider eller i sosiale medier (som også er ganske lugubert) oppdager man fort reklamer som ser ut som de kommer fra 90-tallet eller fra et firma som aldri ansatte en designer. Her kan du få et gavekort på 1000 kroner hos Ikea hvis du bare deltar i lotteriet for 50 kr, du kan registrere deg for å vinne en splitter ny iPhone, du kan finne ut hvordan Kristoffer Hivju klarte å bli mangemillionær på børsen eller få tilsendt en lekker kandidat av din prefererte type. Alt her er enten bare teit eller for godt til å være sant (allikevel kjenner jeg til veldig mange som prøver å få seg det gavekortet på Ikea på denne måten). Alt dette gjøres for å eposten din til å sende spam, få deg til å kaste penger på noe hvor du aldri får noe tilbake, gi i fra deg brukerkontoer eller få skadevare inn på maskinen din.
Så hvordan kan du beskytte deg mot angrep som disse? Jo ved å utvikle din kunnskap om informasjonssikkerhet!