Contact us: +45 32 67 26 26
Dansk
Tilbage til blog
4 min read

Spear Phishing: Hvad er det, og hvordan forebygger man det?

Gillian Loones
By: Gillian Loones IT-sikkerhed | 19 januar

Spear phishing er farligere end almindelig phishing. Her går cyberkriminelle målrettet efter og udgiver sig for at være specifikke personer i din organisation. Folk er ofte ikke klar over, hvor overbevisende spear phishing kan være, og lader sig ofte narre af det. I dette blogindlæg vil vi tale mere om, hvad spear phishing er, og hvad du kan gøre i din organisation for at øge din modstandskraft mod det.

Hvad er spear phishing?

Nu ved de fleste af os, hvad phishing er. Selv blandt mindre teknologikyndige mennesker er der større bevidsthed om de typiske phishing-mails, hvor cyberkriminelle f.eks. udgiver sig for at være en bank eller en nigeriansk prins, der har brug for din hjælp. Som følge heraf anvender cyberkriminelle endnu mere skumle metoder og har held til at narre mange mennesker.

En af disse teknikker kaldes spear phishing. Konkret betyder det, at i stedet for at sende en generel phishing-besked til tilfældige mennesker, målretter og tilpasser de cyberkriminelle deres phishing-beskeder til specifikke organisationer. Dette kan variere fra en relativt lille indsats til meget velundersøgte og målrettede phishing-mails.

Cyberkriminelle udgiver sig for at være personer og organisationer

I nogle tilfælde undersøger cyberkriminelle din organisation, dens medarbejdere og de vigtigste relationer mellem dem. Så bruger de alle de oplysninger, de har fået, til at designe deres phishing-mails, så de ligner din organisation, de udgiver sig for at være en af dine kolleger, og de sender bevidst denne svindelmail til nogle udvalgte personer i organisationen.

De andre, mere almindelige tilfælde af spear phishing minder mere om almindelig phishing. Alligevel bruger de nogle tricks for at øge deres chancer for at narre os.

I stedet for at udgive sig for at være en bank og sende falske e-mails til alle uden at vide, om de er kunder, kan et spear phishing-forsøg med lav indsats f.eks. finde ud af, hvilke banker og leverandører din virksomhed har relationer til. Derefter kan de sende en e-mail, der udgiver sig for at være fra en af disse banker, og som fortæller, at en nylig betaling til en af din virksomheds leverandører ikke er gået igennem. Bare det at nævne disse to velkendte aspekter vil være nok til, at mange mennesker ikke længere har mistanke om phishing. Ved at sende en sådan e-mail til f.eks. hele økonomiafdelingen har de cyberkriminelle en god chance for at få succes.

Smart CTA_e-book DK

Spear phishing virker - det har en høj klikrate

Selv om mange efterhånden har hørt om i hvert fald de helt basale phishing-eksempler, er der stadig mange, der falder for phishing. Desværre er det endnu værre med spear-phishing. Selv folk, der generelt er opmærksomme på phishing, har en tendens til at sænke paraderne, når de ser en e-mail med velkendt virksomhedsbranding eller en, der er sendt af en af deres kolleger.

Atvære opmærksom på de klassiske phishing-advarselssignaler, såsom sprogfejl, en mærkelig e-mailadresse eller en meget usædvanlig anmodning, er ikke så effektivt til at opdage meget målrettet spear phishing.

Vi ved af egen erfaring, at spear phishing kan være meget farligt. Fra phishing-simuleringer, som vi organiserer for vores kunder, hvor vi sender spear phishing-mails til medarbejderne som en del af et phishing-træningsprogram, kan vi se, at omkring 44% af folk klikker på links i e-mails, der udgiver sig for at være fra en af deres kolleger. Denne klikrate falder til 21 % for e-mails, der kun udgiver sig for at være fra organisationen og ikke en specifik medarbejder.

En nylig rapport fra Center for Cybersikkerhed viste endda , at 70 % af utrænede brugere har tendens til at falde for spear phishing-angreb. Det er selvfølgelig betydeligt højere end resultaterne fra vores egne simuleringer. Det kan dog forklares med, at brugerne ved, at de deltager i en phishing-træning, eller fordi de tidligere har deltaget i awareness-træning, hvilket resulterer i, at færre brugere klikker på mistænkelige links. Ikke desto mindre er selv 21 % stadig en betydelig trussel.

graf-01

CyberPilot phishing-simulering: Udgiver sig for at være en organisation

 graf-02
CyberPilot phishing-simulering: Udgiver sig for at være en kollega		 graf-03Dansk Center for Cybersikkerhed

I praksis vil mange af disse svindelmails måske blive fanget af spamfilteret. Men som med almindelig phishing kan det få katastrofale konsekvenser, hvis bare én person i organisationen klikker sig videre, lige fra økonomiske tab til alvorlige brud på datasikkerheden. I betragtning af dette er selv bare 21 %, eller 1 ud af 5, et farligt højt tal.

Spear phishing er nemmere, end du måske tror

På trods af det høje antal klik tror mange stadig, at de uden tvivl kan skelne mellem falske og ægte e-mails, når det drejer sig om deres egen virksomhed. Endnu bedre er det, at mange tror, at cyberkriminelle simpelthen ikke kan udgive sig for at være deres virksomhed via e-mail. Men cyberkriminelle kan overraskende nemt få adgang til mange ting.Lad os sige, at du har brug for en meget målrettet spear phishing-svindel:

  • Navn og funktion på en person i organisationen

  • Denne persons e-mailadresse

  • Organisationens e-mail-layout og -design

Alt dette er nemt at finde ud af. Navne og stillingsbetegnelser findes ofte på virksomhedens hjemmeside eller via sociale medier (især LinkedIn). Hvad angår de to andre punkter, er det nok at sende en e-mail til organisationens kundesupport. Ud fra svaret kan en cyberkriminel undersøge e-mailens layout og design og udlede, hvordan medarbejdernes e-mailadresser er struktureret (f.eks. firstname.lastname@company.com). Og ja, i ekstremt målrettede tilfælde kan selv disse virksomheds-e-mailadresser spoofes, hvilket betyder, at den kriminelles e-mailadresse fremstår som en faktisk virksomheds-e-mailadresse uden smarte tastefejl, selv om de har brugt en anden e-mailadresse til at sende svindelmeddelelsen.

Cyberkriminelle kan endda gå videre og lære om specifikke begivenheder, der sker i organisationen.

Et eksempel: Cyberkriminelle finder ud af, at et teammedlem snart har 25-års jubilæum i virksomheden. De kriminelle kan så bruge de tricks, vi beskrev ovenfor, til at sende en e-mail til personen, hvor de udgiver sig for at være virksomhedens CEO og tilbyder et gavekort, som kan findes via et link i e-mailen. Teammedlemmet tænker måske ikke to gange over at logge ind med sine virksomhedsoplysninger og har personligt kendt og stolet på den administrerende direktør i mange år. De cyberkriminelle har nu adgang til virksomhedens interne systemer.

Husk nu, at dette er et ekstremt målrettet eksempel. Realistisk set er det ofte en bredere vifte af personer eller simpelthen hele organisationen, der er målet. Alligevel illustrerer dette eksempel de meget reelle farer ved spear phishing.

Konklusionen er, at en stor del af ansvaret ligger hos hver enkelt person i organisationen. Du bør forberede ALLE dine medarbejdere på phishing-angreb , for i sidste ende er din organisations cybersikkerhed kun så stærk som det svageste led. Hvilket i dette tilfælde ville være en uvidende medarbejder, der ved et uheld, uden egen skyld (spear phishing kan trods alt være meget overbevisende), bliver narret af cyberkriminelle.

Alle i organisationen skal være opmærksomme på spear phishing-forsøg

Derfor bør det være en topprioritet i ethvert cybersikkerhedsinitiativ at udbrede denne viden til alle i organisationen. Medarbejderne bør ikke kun være opmærksomme på de sædvanlige tegn på phishing; ideelt set bør de undersøge hver eneste e-mail, der indeholder en anmodning, som om det var en phishing-e-mail. At tjekke e-mailadressen og anmodningens art bør blive en rutine for alle i teamet.

I tilfælde af selv den mindste mistanke skal alle i organisationen vide, at de straks skal underrette it-chefen eller den ansvarlige for it-sikkerheden. Ved mistanke om efterligning er det også bedst personligt at kontakte den formodede afsender af e-mailen (personligt eller telefonisk) for at tjekke, om det virkelig er dem.

Personalet kan trænes i at håndtere spear phishing på mange måder

At opnå en sådan adfærd i teamet kan gøres på mange forskellige måder. To omfattende teknikker, især når de kombineres, er awareness-træning og phishing-træning.

Et bevidstgørelsestræningsprogram kan vise sig at være meget nyttigt til at gøre folk opmærksomme på alle de forskellige farer, der er forbundet med spear phishing, og teknikkerne til at genkende og undgå dem.

Men som med mange andre ting er det øvelse, der gør mester. Det betyder, at en form for phishing-træning, hvor dit team kan anvende de forskellige teknikker til selv at finde ud af, om en e-mail er legitim eller ej, er den bedste måde for dem at lære at håndtere spear phishing på.
Back to blog
Recent articles
IT-sikkerhed Forvent Phishing-Angreb | Vurdering Fra Center For CyberSikkerhed

CFCS har lavet en ny trusselvurdering. Der er mange phishing mails i omløb, og vi kan forvente endnu flere cyberangreb med phishing i.

Anders Bryde Thornild 5 min read - By Anders Bryde Thornild
IT-sikkerhed 3 Typer af Phishing angreb alle Virksomheder Skal Vide Noget Omkring

Spear phishing, whaling og CEO-fraud er 3 typer af phishing, som enhver virksomhed bør kende til. Træn dine medarbejdere og forhindr, at de sker.

Stine Erna Nielsen 6 min read - By Stine Erna Nielsen
IT-sikkerhed Hvad er Phishing? Sådan Beskytter Du Din Virksomhed

Phishing er den mest udbredte form for IT-sikkerhedsangreb. Der findes dog mange forskellige former for phishing. Læs om dem alle, og hvordan du kan undgå dem.

Sara Ismar 9 min read - By Sara Ismar