Definition av phishing
Phishing är en typ av cyberattack där brottslingarna använder vilseledande mejl för att få dig att lämna ut känslig information. Informationen används sedan för att komma åt viktiga konton som kan leda till identitetskapningar och stora ekonomiska förluster. Då phishing blir allt vanligare och alltmer sofistikerat är sådana attacker ett av de största säkerhetshoten för företag.
|
Innehåll
Phishingattacker blir allt vanligare
Phishing visar inga tecken på att avta. Under 2020 var phishing den vanligaste typen av IT-brottslighet och incidenterna närapå dubblades i antal från året före. Globalt utsattes 75 % av alla organisationer för någon form av phishing 2020.
Det är ingen tvekan om att pandemin har inneburit förändringar för företagen i form av osäkerhet och nya arbetssätt med exempelvis distansarbete. Tillsammans med tillgången till phishingkit bidrar detta till att det är enklare än någonsin för IT-brottslingarna att slå till, och företagen drabbas av en perfekt storm.
I detta blogginlägg reder vi ut vad phishing är, hur attacker ser ut i stora drag och vilka typer av phishing man behöver känna till. Därefter kommer vi in på vad man kan göra för att skydda sitt företag mot phishing.
Utmärkande drag i phishingmejl
De flesta vet att ett mejl från en ”nigeriansk prins” med löfte om en stor summa pengar är phishing. När IT-brottslingarna använder taktiker för att få förtroende och få en att känna att det brådskar kan även rutinerade personer bli lurade! Vi tar en titt på hur ett phishingmejl i vanliga fall ser ut: De flesta vet att ett mejl från en ”nigeriansk prins” med löfte om en stor summa pengar är phishing. När IT-brottslingarna använder taktiker för att få förtroende och få en att känna att det brådskar kan även rutinerade personer bli lurade! Vi tar en titt på hur ett phishingmejl i vanliga fall ser ut:
-
Mejlet har dålig grammatik och stavfel. Det tydligaste tecknet på phishing är att mejlet har dålig grammatik och stavfel. De flesta företag har stavningskontroll på mejl som skickas, så var observant när du får ett mejl med många fel.
-
Mejlet är mycket egendomligt. Om begäran i mejlet är extraordinär, långt ifrån normen, ska du förhålla dig skeptisk. Ett exempel kan vara att någon på IT-avdelningen mejlar dig om installation av ett program när sådant normalt görs på ett annat sätt.
-
Mejlet uppmanar dig att agera snabbt. Phishingmejl använder ofta hot eller stress för att få mottagaren att agera snabbt utan att tänka förnuftigt. Faktum är att de fem vanligaste ämnesraderna för phishingattacker 2019 innehöll något av orden brådskande, begäran, viktigt, betalning eller observera.
-
Mejlet har suspekta bilagor. phishingmejl har ofta skadliga bilagor eller hyperlänkar till webbplatser med skadlig kod. Ett impulsivt klick räcker för att ens dator ska infekteras, eller att man har lämnat ifrån sig personuppgifter, kreditkortsnummer eller lösenord till IT-brottslingen.
-
Mejlet är för bra för att vara sant. Som i exemplet med den nigerianske prinsen gäller det att om du blir uppmanad att klicka på en länk eller öppna en bilaga för att få en belöning, är det sannolikt phishing. Låter något för bra för att vara sant, så är det förmodligen så.
Phishing riktar sig ofta till anställda
IT-brottslingar tenderar att rikta in sig på företagets ”svagaste länk”, vilket är anställda som inte har fått ordentlig träning i IT-säkerhet. Nedan följer ett exempel på ett phishingmejl som är utformat för att utnyttja de anställdas förtroende och respekt för auktoriteter. Mejlet informerar de anställda om en ”ny utrymningsplan” till följd av ändrade regelverk från myndigheterna, och mottagaren får kort tid på sig att läsa och underteckna planen via den inbäddade hyperlänken.
Vad är ett phishingkit?
Ett av skälen till att phishing blir vanligare är tillgången till phishingkit. Ett phishingkit är en samling verktyg som gör det lätt för IT-brottslingar, oavsett tekniskt kunnande, att utföra phishing. Detta då man ofta får med e-postmallar, grafik och script som kan användas för att skapa trovärdiga imitationer av legitima webbplatser. Dittills phishingkit är tillgängliga på Darknet kommer angreppen sannolikt att fortsätta. Förutom phishingkit gör ny AI-teknik phishing enklare än någonsin. Vi bad till exempel ChatGPT att skriva ett phishingemejl åt oss och fick flera välskrivna e-postmallar som vi kunde skicka ut. Och cyberbrottslingar kan göra samma sak.
Berömda phishingattacker
Vissa phishingattacker skapar rubriker. Exemplen nedan visar hur även teknikföretag utsätts för phishing – men också hur angreppen kunde ha avvärjts om företagen hade varit mer proaktiva i arbetet kring phishing.
För några år sedan drabbades Facebook och Google av en phishingattack som kostade mer än 100 miljoner USD. En IT-brottsling med ett blufföretag låtsades sälja varor och tjänster till teknikjättarna och skickade phishingmejl med fakturor till deras anställda.
Ett annat exempel är Sony Pictures, där anställda mottog phishingmejl som tycktes komma från Apple. Offren uppmanades att ange sitt Apple-ID i ett blufformulär, och då kunde angriparen lista ut deras inloggningsuppgifter till Sonys nätverk. Attacken kostade företaget mer än 100 terabyte data med bland annat bokföring och kunduppgifter.
Typer av phishing
Spjutphishing, samtalsfiske, smishing – listan kan göras lång. Phishing har utvecklats till olika former. De har olika måltavlor och metoder, men de har alla det gemensamma målet att komma över känslig information. Vi tar en titt på de olika typerna av phishing:
-
Samtalsfiske
-
VD-bedrägerier
-
Spjutphishing
-
Whaling
-
Barrel phishing
Smishing - phishing med textmeddelanden
Smishing är i grund och botten phishing via sms. I likhet med phishing har sms:et något brådskande över sig, och det verkar komma från någon betrodd. Det har en länk som leder till ett phishingverktyg där man uppmanas att ange privat information. Här är ett exempel på smishing som riktar in sig på ett kreditkort.
Samtalsfiske - phishing via telefon
Har du någon gång fått ett telefonsamtal från någon som uppger sig representera Microsoft? Då har du blivit utsatt för samtalsfiske. Du kanske tänker: ”vilken vettig person skulle gå på något sådant”, men lite fiffel med uppringarens ID och övertalning räcker för att få förvånansvärt många att installera mjukvara som är skadlig. Se exempel på vanliga attacker med samtalsfiske här.
VD bedrägerier - när man utger sig för att vara företagsledare
VD-bedrägerier innebär att IT-brottslingen utger sig för att vara vd, finanschef eller någon annan direktör via e-post. Bedragaren utnyttjar förtroendet för auktoriteter, och offret luras till att göra som det står i mejlet utan att tänka en extra gång.
Spjutphishing - attacker riktade mot vissa anställda
Spjutphishing innebär riktat phishing. Istället för massutskick gör angriparen efterforskning för att skriva meddelanden till en viss individ eller grupp i en organisation. Detta kräver en större arbetsinsats av IT-brottslingen, men chansen att lyckas är större eftersom människor lättare låter sig luras av någon som känner dem.
Whaling - attacker riktade mot höga chefer
Whaling, eller valphishing, är en form av spjutphishing som inriktar sig på ”stora fiskar” som verkställande direktörer och andra högt uppsatta. IT-brottslingen utnyttjar den offentligt tillgängliga informationen om personerna när de skriver phishingmejlen. Ett whalingmejl kan till exempel komma med beskedet att företaget står inför en rättstvist eller att dess rykte är i fara till följd av någon händelse eller någon åtgärd som direktören har vidtagit. Verkliga exempel på whaling finns på denna blogg.
Barrel phishing - ett “oskyldigt” mejl skickas före phishingmejlet
Denna taktik kallas också ”double-barreling” och innebär att två separata mejl skickas, där det första är bete och det andra har den skadliga bilagan. Det första mejlet kan se ut att komma från en kollega och ha innehåll i stil med ”Tjena, är du på kontoret? Jag behöver hjälp med en sak”. Syftet med det snälla mejlet är att etablera förtroende och trovärdighet, så att offret lättare låter sig luras. Sedan kommer uppföljningsmejlet med något i stil med ”Hej igen, kan du titta på denna rapport snarast möjligt”. Det mejlet har en osäker länk till en bluffsajt.
Pharming
Pharming innebär att IT-brottslingen utan att man märker det dirigerar en till en webbplats som ser äkta ut, till exempel ens bank. Då kan IT-brottslingen komma över dina inloggningsuppgifter och logga in på ditt konto. Till skillnad från phishing som sker via elektronisk kommunikation görs pharming i webbläsaren. Hur går det till? Förenklat manipulerar IT-brottslingen domännamnssystemet (DNS) som kopplar webbläsare till webbplatser. Därför är denna sorts attack extremt sofistikerad och svår att upptäcka.
Quishing
Quishing är nätfiske med hjälp av QR-koder. Istället för länkar i e-postmeddelanden använder brottslingarna QR-koder för att få data och inloggningsuppgifter från sina offer eller för att installera skadlig kod.
Quishing-attackerna är svåra att upptäcka eftersom alla QR-koder ser likadana ut tills du håller din skanner över den, du kan inte kontrollera om länken ser ut att vara phishy.
Hur man arbetar förebyggande mot phishing
Hur gör man för att inte bli lurad? Två specifika åtgärder som bidrar till att skydda ditt företag mot phishingeattacker är att samla mejl och att göra tester med simulerade mejl. Verkligheten är emellertid att människor är målen för phishing, och därför måste människor utgöra det primära försvaret! Det handlar alltså först och främst om att skapa en medvetenhet om phishing och etablera en god säkerhetskultur i företaget för att skydda sig.
Samla inkommande e-post
”Sandboxing” är en proaktiv försvarstaktik som din IT-avdelning kan implementera. Den går ut på att kolla osäkra mejl, URL:er och bilagor i en isolerad testmiljö, innan de släpps till nätverket eller e-postservern. Tekniken ger ett extra skydd utöver den vanliga filtreringen.
Gör tester med simulerat phishing
Penetrerande testning, eller pen-testning, är en övning som testar din organisations beredskap med avseende på phishing. Ett sätt att göra detta är med simulerade phishingattacker där dina anställda kan lära sig att känna igen bluffmejl. Man kan implementera övningen på egen hand eller arbeta med en extern övningspartner, beroende på vilka mål man har. Utifrån resultaten kan man identifiera svaga punkter och utforma strategier för att vidareutbilda de anställda.
Medvetenhet om phishing
När man lär sig att känna igen tecknen på phishing kan man bättre skydda sig själv och sitt företag mot angrepp. Därför är medvetenhet om phishing nyckeln till att avvärja angrepp. Att hålla en utbildning bara en gång räcker emellertid inte; phishing fortsätter att utvecklas, och kontinuerlig träning är därför nödvändigt för att få en medveten personalstyrka. Genom att kombinera simulationer med träning får man en personal som utgör ett starkt första skydd. Träningen kan äga rum digitalt eller med klassrumsundervisning, eller med en blandning av bådadera.
Enligt en av våra studier så minskar anatalet misstag i simulerade nästfiskeattacker med 50% efter att anställda kontinuerligt deltagit i våran medvetenhetsträning och träning i phishing.
Create a good security culture
Sist men inte minst: etablera en IT-säkerhetskultur där personalen beter sig på ett säkert sätt och slår larm om något verkar lurt. Se till exempel till att det finns rutiner att följa vid en cyberattack och att de anställda vet vart de ska vända sig. Etablerandet av sådana rutiner och klargörande av roller och förväntningar är några av fördelarna med en phishingövning.
Dessutom ska de anställda alltid be om hjälp om de är tveksamma och inte vara rädda för att göra fel. På så sätt lär de sig att anmäla om de har klickat på en länk och skadan är skedd. Resultatet blir att lämpliga åtgärder kan vidtas snabbare och att skadan kan begränsas avsevärt.
Slutligen: belöna personer som anmäler phishing, kanske med att visa upp ”dagens fångst”. Hjälp också teamet att vara på alerten och bete sig säkert digitalt genom att ladda ned våra kostnadsfria cybersäkerhetsposters att fästa på kontorets väggar!
Slutord
I detta blogginlägg har vi gått igenom vad phishing är och varför det är en av de största säkerhetsriskerna för företag idag. Vi har lärt oss att phishing finns i alla former och storlekar och att vem som helst i organisationen kan utsättas. Därför har det aldrig varit viktigare än nu att hålla övningar för att öka medvetenheten om phishing. Blir människorna säkrare är organisationen betydligt bättre rustad för nästa phishingattack!