Spear-phishing er farligere enn vanlig phishing. Her går nettkriminelle etterligne og utgi seg for å være bestemte personer i organisasjonen din. Folk er ofte ikke klar over hvor overbevisende spear phishing kan være, og lar seg ofte lure av det. I dette blogginnlegget skal vi snakke mer om hva spear phishing er, og hva du kan gjøre i organisasjonen din for å øke motstandsdyktigheten mot det.
Hva er spear phishing?
Nå vet de fleste av oss hva phishing er. Selv blant mindre teknologikyndige er det blitt større bevissthet rundt de typiske phishing-svindelforsøkene der nettkriminelle utgir seg for å være for eksempel en bank eller en nigeriansk prins som trenger din hjelp. Resultatet er at nettkriminelle tar i bruk enda mer utspekulerte metoder og lykkes med å lure mange mennesker.
En slik teknikk kalles spear phishing. Konkret betyr dette at i stedet for å sende ut en generell phishing-melding til tilfeldige personer, målretter og tilpasser nettkriminelle phishing-meldingene sine til spesifikke organisasjoner. Dette kan variere fra relativt lite krevende til svært godt undersøkte og målrettede phishing-e-poster.
Nettkriminelle utgir seg for å være personer og organisasjoner
I noen tilfeller undersøker nettkriminelle organisasjonen din, dens ansatte og de viktigste relasjonene mellom dem. Deretter utformer de phishing-e-postene sine slik at de etterligner organisasjonen din, de utgir seg for å være en av kollegene dine, og de sender svindel-e-posten bevisst til noen utvalgte personer i organisasjonen.
De andre, mer vanlige tilfellene av spear-phishing ligner mer på vanlig phishing. De bruker likevel noen triks for å øke sjansene for å lure oss.
I stedet for å utgi seg for å være en bank og sende ut falske e-poster til alle uten å vite om de er kunder, kan et spear phishing-forsøk med lav innsats for eksempel finne ut hvilke banker og leverandører bedriften din har relasjoner til. Deretter kan de sende ut en e-post der de utgir seg for å være en av disse bankene og sier at en nylig betaling til en av bedriftens leverandører ikke har gått gjennom. Bare det å nevne disse to kjente aspektene vil være nok til at mange ikke lenger mistenker phishing. Ved å sende en slik e-post til for eksempel hele økonomiavdelingen har de nettkriminelle gode sjanser til å lykkes.
Spear phishing fungerer - det har en høy klikkfrekvens
Selv om mange nå har hørt om i det minste de mest grunnleggende phishing-eksemplene, er det fortsatt mange som faller for phishing. Dessverre er det enda verre med spear-phishing. Selv folk som generelt er oppmerksomme på phishing, har en tendens til å senke guarden når de ser en e-post med en kjent bedriftsmerkevare, eller en e-post som er sendt av en av deres kolleger.
Selv om man er oppmerksom på de klassiske faresignalene for phishing, som språkfeil, en merkelig e-postadresse eller en svært uvanlig forespørsel, er det ikke like effektivt å oppdage svært målrettet spear phishing.
Vi vet av egen erfaring at spear phishing kan være svært farlig. Fra phishing-simuleringer som vi organiserer for kundene våre, der vi sender spear phishing-e-poster til ansatte som en del av et phishing-opplæringsprogram, kan vi se at rundt 44 % av de ansatte klikker på lenker i e-poster som utgir seg for å være en av medarbeiderne deres. Denne klikkraten synker til 21 % for e-poster som bare utgir seg for å være fra organisasjonen, ikke en spesifikk medarbeider.
En fersk rapport fra det danske Center for Cybersikkerhed viste til og med at 70 % av utrente brukere har en tendens til å falle for spear phishing-angrep. Dette er selvsagt betydelig høyere enn resultatene fra våre egne simuleringer. Det kan imidlertid forklares med at brukerne vet at de deltar i et phishing-kurs, eller at de tidligere har deltatt i bevissthetstrening, noe som fører til at færre brukere klikker på mistenkelige lenker. Likevel er selv 21 % fortsatt en betydelig trussel.
I praksis kan mange av disse svindelmailene bli fanget opp av spamfilteret. Men som med vanlig phishing kan det få katastrofale konsekvenser, alt fra økonomiske tap til alvorlige datainnbrudd, hvis bare én person i organisasjonen klikker seg videre. Med tanke på dette er selv bare 21 %, eller 1 av 5, et farlig høyt tall.
Spear phishing er enklere enn du kanskje tror
Til tross for de høye klikktallene er det fortsatt mange som tror at de utvilsomt kan skille falske fra ekte e-poster når det gjelder deres egen bedrift. Mange tror også at nettkriminelle ikke kan utgi seg for å være bedriften deres via e-post. Men nettkriminelle kan overraskende enkelt få tilgang til mange ting. La oss si at for en svært målrettet spear phishing-svindel trenger du:
-
Navnet og funksjonen til en person i organisasjonen
-
E-postadressen til denne personen
-
Organisasjonens e-postoppsett og -design
Alt dette er lett å finne ut av. Navn og stillingstittel finner du ofte på selskapets nettside eller gjennom sosiale medier (spesielt LinkedIn). Når det gjelder de to andre punktene, er det bare å sende en e-post til organisasjonens kundesupport. Ut fra svaret kan en nettkriminell undersøke e-postens layout og design, og trekke ut hvordan de ansattes e-postadresser er strukturert (f.eks. firstname.lastname@company.com). Og ja, i ekstremt målrettede tilfeller kan til og med disse bedriftsadressene forfalskes, noe som betyr at den kriminelles e-postadresse ser ut som en faktisk bedriftsadresse, uten noen smarte skrivefeil, selv om de har brukt en annen e-postadresse til å sende svindelmeldingen.
De nettkriminelle kan til og med gå enda lenger og lære om spesifikke hendelser som skjer i organisasjonen.
Et eksempel: De nettkriminelle får vite at et teammedlem snart har 25-årsjubileum i selskapet. De kriminelle kan da bruke triksene vi beskrev ovenfor til å sende en e-post til vedkommende, utgi seg for å være selskapets administrerende direktør og tilby et gavekort som kan hentes via en lenke i e-posten. Medarbeideren tenker seg kanskje ikke om to ganger før han eller hun logger seg på med bedriftens brukernavn og passord, siden vedkommende har kjent og stolt på den administrerende direktøren i mange år. De nettkriminelle har nå tilgang til bedriftens interne systemer.
Husk at dette er et ekstremt målrettet eksempel. I virkeligheten er det ofte et bredere spekter av personer, eller rett og slett hele organisasjonen, som er målet. Likevel illustrerer dette eksemplet de reelle farene ved spear phishing.
Konklusjonen er at mye av ansvaret ligger hos hver enkelt person i organisasjonen. Du bør forberede ALLE dine ansatte på spear phishing-angrep , for til syvende og sist er organisasjonens cybersikkerhet bare så sterk som det svakeste leddet. I dette tilfellet er det en uvitende ansatt som uforskyldt (spear phishing kan tross alt være svært overbevisende) blir lurt av nettkriminelle.
Alle i organisasjonen må være oppmerksomme på spear phishing-forsøk
Derfor bør det være førsteprioritet i ethvert cybersikkerhetsinitiativ å spre denne kunnskapen til alle i organisasjonen. De ansatte bør ikke bare være oppmerksomme på de vanlige tegnene på phishing, men ideelt sett bør de undersøke hver eneste e-post som inneholder en forespørsel, som om det var en phishing-e-post. Det bør bli rutine for alle i teamet å sjekke e-postadressen og hva forespørselen gjelder.
Ved den minste mistanke bør alle i organisasjonen vite at de umiddelbart skal varsle IT-sjefen eller den som er ansvarlig for IT-sikkerheten. Ved mistanke om etterligning er det også best å ta personlig kontakt med den antatte avsenderen av e-posten (personlig eller via telefon) for å sjekke om det virkelig er vedkommende.
Det finnes mange måter å lære opp ansatte til å håndtere spear phishing på
Det finnes flere måter å oppnå en slik atferd på i teamet. To omfattende teknikker, spesielt når de kombineres, er bevisstgjøringstrening og phishing-opplæring.
Et bevisstgjøringsprogram kan vise seg å være svært nyttig når det gjelder å gjøre folk oppmerksomme på alle de ulike farene som er forbundet med spear phishing, og teknikker for å gjenkjenne og unngå dem.
Men som med så mye annet, er det øvelse som gjør mester. Den beste måten å lære medarbeiderne å håndtere spear phishing på, er derfor å organisere en form for phishing-opplæring der de kan bruke de ulike teknikkene for selv å finne ut om en e-post er legitim eller ikke.
