Tillbaka till bloggen
4 min read

Spear Phishing: Vad är det och hur förhindrar du det?

Gillian Loones
By: Gillian Loones Cybersäkerhet | 26 februari

Spear phishing är farligare än vanlig phishing. Det innebär att cyberbrottslingar riktar in sig på och utger sig för att vara specifika personer i din organisation. Människor är ofta omedvetna om hur övertygande spear phishing kan vara och blir ofta lurade av det. I det här blogginlägget ska vi prata mer om vad spear phishing är och vad du kan göra i din organisation för att öka motståndskraften mot det.

Vad är spear phishing?

Vid det här laget vet de flesta av oss vad phishing är. Även bland mindre tekniskt kunniga människor finns det en ökad medvetenhet om de typiska phishing-mejlbedrägerierna där cyberbrottslingar till exempel utger sig för att vara en bank eller en nigeriansk prins som behöver din hjälp. Som ett resultat av detta använder cyberbrottslingar ännu mer oärliga metoder och lyckas lura många människor.

En sådan teknik kallas spear phishing. Konkret innebär det att cyberbrottslingar, istället för att skicka ut ett allmänt nätfiskemeddelande till slumpmässiga personer, riktar in sig på och anpassar sina nätfiskemeddelanden till specifika organisationer. Det kan handla om allt från relativt små insatser till mycket väl genomarbetade och riktade nätfiskemeddelanden.

Cyberbrottslingar utger sig för att vara personer och organisationer

I vissa fall undersöker cyberbrottslingar din organisation, dess medarbetare och de viktigaste relationerna dem emellan. Sedan använder de all information de har lärt sig och utformar sina phishingmejl så att de efterliknar din organisation, de utger sig för att vara en av dina kollegor och skickar medvetet detta bluffmejl till några utvalda personer i organisationen.

De andra, vanligare fallen av spear phishing liknar mer vanlig phishing. Ändå använder de några knep för att öka sina chanser att lura oss.

I stället för att utge sig för att vara en bank och skicka ut falska e-postmeddelanden till alla utan att veta om de är kunder, kan ett spear phishing-försök med låg ansträngning till exempel ta reda på vilka banker och leverantörer ditt företag har relationer med. Sedan kan de skicka ut ett e-postmeddelande som utger sig för att vara en av dessa banker och säger att en ny betalning till en av ditt företags leverantörer inte kom igenom. I huvudsak skulle det bara vara att nämna dessa två bekanta aspekter för många människor att inte misstänka phishing längre. Genom att skicka ett sådant e-postmeddelande till till exempel hela finansavdelningen har cyberbrottslingarna en god chans att lyckas.

Smart CTA_e-book SE

Spear phishing fungerar - det har en hög klickfrekvens

Även om många vid det här laget har hört talas om åtminstone de mycket grundläggande exemplen på nätfiske, är det fortfarande många som faller för nätfiske. Tyvärr är det ännu värre när det gäller spear phishing. Även personer som i allmänhet är medvetna om nätfiske tenderar att sänka garden när de ser ett e-postmeddelande med ett välkänt företagsmärke eller ett e-postmeddelande som skickas av en av deras medarbetare.

Att vara medveten om de klassiska varningssignalerna för phishing, till exempel språkfel, en udda e-postadress eller en mycket ovanlig begäran, är inte lika effektivt för att upptäcka mycket riktad spear phishing.

Vi vet av egen erfarenhet att spear phishing kan vara mycket farligt. Från phishing-simuleringar som vi organiserar för våra kunder, där vi skickar spear phishing-mejl till anställda som en del av ett phishing-utbildningsprogram, kan vi se att cirka 44% av människorna klickar på länkar i e-postmeddelanden som utger sig för att vara en av deras medarbetare. Klickfrekvensen sjunker till 21% för e-postmeddelanden som bara utger sig för att vara från organisationen, inte från en specifik medarbetare.

En färsk rapport från det danska centret för cybersäkerhet visade till och med att 70% av de otränade användarna tenderar att falla för spear phishing-attacker. Detta är naturligtvis betydligt högre än resultaten från våra egna simuleringar. Det kan dock förklaras av att användarna vet att de deltar i en phishing-utbildning eller att de tidigare har deltagit i en utbildning om medvetenhet, vilket resulterar i att färre användare klickar på misstänkta länkar. Trots detta är även 21% fortfarande ett betydande hot.

graf-01

CyberPilot-simulering av nätfiske: Att utge sig för att vara en organisation

 graf-02
CyberPilot-simulering av nätfiske: Utge sig för att vara en medarbetare		 graf-03Danska centret för cybersäkerhet

I praktiken kan många av dessa bluffmejl fångas upp av skräppostfiltret. Men precis som vid vanligt nätfiske kan det få katastrofala följder om bara en enda person i organisationen klickar sig vidare, vilket kan innebära allt från ekonomiska förluster till allvarliga dataintrång. Med tanke på detta är redan 21%, eller 1 av 5, en farligt hög siffra.

Spear phishing är enklare än du kanske tror

Trots de höga klicksiffrorna tror många fortfarande att de utan tvekan kan skilja falska från riktiga e-postmeddelanden när det gäller deras eget företag. Ännu bättre är att många tror att cyberbrottslingar helt enkelt inte kan efterlikna deras företag perfekt via e-post. Cyberbrottslingar kan dock förvånansvärt enkelt få tillgång till många saker. Låt oss säga att för en mycket riktad spear phishing-bedrägeri skulle du behöva:

  • Namn och funktion för någon i organisationen

  • Den personens e-postadress

  • Organisationens e-postlayout och design

Alla dessa är lätta att ta reda på. Namn och jobbtitlar finns ofta på företagets webbplats eller via sociala medier (särskilt LinkedIn). För de andra två punkterna räcker det med att skicka ett e-postmeddelande till organisationens kundsupport. Från svaret kan en cyberbrottsling undersöka e-postens layout och design och dra slutsatser om hur personalens e-postadresser är strukturerade (t.ex. firstname.lastname@company.com). Och ja, i extremt riktade fall kan även dessa företags e-postadresser förfalskas, vilket innebär att brottslingens e-postadress ser ut som en faktisk företagsadress, utan några smarta stavfel, även om de använde en annan e-postadress för att skicka bluffmeddelandet.

Cyberbrottslingar kan till och med gå längre och lära sig om specifika händelser som händer i organisationen.

Ett exempel: cyberbrottslingarna får reda på att en medarbetare snart firar 25-årsjubileum på företaget. Kriminella kan sedan använda de knep vi beskrev ovan för att skicka ett e-postmeddelande till den personen, utge sig för att vara företagets VD och erbjuda ett presentkort som kan hittas via en länk i e-postmeddelandet. Teammedlemmen kanske inte tänker två gånger om att logga in med sina företagsuppgifter, personligen känner och litar på VD i många år. Cyberbrottslingarna har nu tillgång till interna företagssystem.

Tänk nu på att detta är ett extremt riktat exempel. I verkligheten är det ofta ett större antal personer, eller helt enkelt hela organisationen, som är måltavlan. Det här exemplet illustrerar ändå de mycket verkliga farorna med spear phishing.

Slutsatsen är att mycket ansvar ligger på varje enskild person i organisationen. Du bör förbereda ALLA dina anställda för nätfiskeattacker eftersom organisationens cybersäkerhet i slutändan bara är lika stark som den svagaste länken. Vilket i det här fallet skulle vara en ovetande anställd som av misstag, utan egen förskyllan (spear phishing kan trots allt vara mycket övertygande), blir lurad av cyberbrottslingar.

Alla i organisationen måste vara medvetna om spear phishing-försök

Därför bör det vara en av de främsta prioriteringarna i alla cybersäkerhetsinitiativ att sprida denna kunskap till alla människor i organisationen. Personalen bör inte bara känna till de vanliga tecknen på nätfiske, utan helst också granska varje enskilt e-postmeddelande som innehåller en förfrågan som om det vore ett nätfiske. Att kontrollera e-postadressen och typen av förfrågan bör bli rutin för varje person i teamet.

Vid minsta misstanke ska varje enskild person i organisationen veta att de omedelbart ska meddela IT-chefen eller den person som ansvarar för IT-säkerheten. Vid misstanke om imitation är det också bäst att personligen kontakta den förmodade avsändaren av e-postmeddelandet (personligen eller via telefon) för att kontrollera om det verkligen är hen.

Personalen kan utbildas i att hantera spear phishing på många olika sätt

Att uppnå ett sådant beteende i teamet kan göras på en mängd olika sätt. Två omfattande tekniker, särskilt när de kombineras, är utbildning i medvetenhet och utbildning i nätfiske.

En utbildning i medvetenhet kan vara mycket användbar för att göra människor medvetna om alla de olika faror som är förknippade med spear phishing och teknikerna för att känna igen och undvika dem.

Som med så mycket annat är det dock övning som ger färdighet. Det bästa sättet för medarbetarna att lära sig hantera spear phishing är därför att organisera någon form av phishing-utbildning där de får tillämpa olika tekniker för att själva ta reda på om ett e-postmeddelande är legitimt eller inte.
Back to blog
Recent articles
Cybersäkerhet Vad är Barrel Phishing? Akta dig för konversationsfisket

Barrel phishing är en typ av nätfiskeattack där brottslingarna försöker inleda en konversation med dig innan de skickar den skadliga länken. Läs mer om det här.

Sarah Hofmann 5 min read - By Sarah Hofmann
Cybersäkerhet 3 Typer Av Phishing Alla Företag Bör Känna Till

Spear phishing, whaling och VD-bedrägeri är phishing som alla företag bör känna till. Få de bästa tipsen för hur du förhindrar phishing inom ditt företag.

Emma Soderlund 6 min read - By Emma Soderlund
Cybersäkerhet De 3 svåraste typerna av nätfiske att upptäcka: Vår data avslöjar de mest framgångsrika nätfiskekampanjerna

Dessa nätfiskekampanjer lurar flest människor enligt de 100 000 nätfiskemejl vi har skickat ut. Ta reda på hur utbildning kan förändra detta.

Sarah Hofmann 8 min read - By Sarah Hofmann