Hvordan at spotte et phishing angreb

Phishing er en af de største trusler, som individuelle personer og organisationer står overfor, men ved du, hvad de er, hvordan de ser ud og hvor du skal holde udkig efter dem?

Bredt sagt er phishing ethvert forsøg på at optræde som en tilforladelig kilde for at få folk til at overdrage personlige oplysninger. Phishing antager sædvanligvis form af masse-e-mails, som sendes til hundredvis eller tusindvis af mennesker, kriminelle kan bruge andre former for kommunikation og skabe mere nuancerede angreb.

Vi har lavet en liste over de mest normale angrebsformer her sammen med eksempler til at hjælpe dig med at spotte disse angreb.

E-mail phishing

De fleste mennesker er vagt klar over, hvordan e-mail phishing angreb ser ud. Det er de dårligt skrevne og uventede beskeder, som prøver på at skræmme dig til at tro, at der er gået noget galt. For eksempel kan sådanne beskeder påstå, at din konto er blevet hacket og du er nødt til at bekræfte en betaling med kort eller at din bankkonto er blevet indefrossen.

Ligegyldigt hvilken form beskederne kommer i, indeholder de altid en anmodning om information, et vedhæng der skal åbnes (tit en .zip fil) eller et link at klikke på.

Hvis en e-mail ikke er addresseret til dig personligt, indeholder mistænkelige vedhæng eller links sendt fra en falsk e-mailadresse, så er den nok phishing bedrag.

Spyd phishing

Der er to andre, mere sofistikerede slags phishing med mail. Den første, spyd phishing, beskriver ondsindede e-mails sendt til en bestemt person. Kriminelle, som gør det, vil altid være i besiddelse af en eller flere af følgende: ofrets navn, arbejdsplads, stillingstitel, e-mailadresse og specifikke informationer om deres job.

De fleste berømte brud på datasikkerheden i nyere tid, hackningen af US demokraternes nationale komite, blev udført ved hjælp af spyd phishing. Det første angreb sendte e-mails med ondsindede vedhæng til flere end 1.000 e-mailadresser. Dets succes førte til endnu en kampagne, som narrede medlemmer af komiteen til at dele deres kodeord.

Whaling

Whaling angreb er endnu mere målrettede og går efter ledende medarbejdere. Selvom det endelige mål for whaling er det samme som alle andre former for phishing angreb, er teknikken mest noget mere raffineret. Tricks såsom falske links og ondsindede URL’s er ikke brugbare i dette tilfælde, da de kriminelle prøver på at skræmme ledende medarbejdere.

Bedragsforsøg i form af falske selvangivelser er i stigende grad en normal variant af whaling. Selvangivelser er i høj kurs hos kriminelle, fordi de indeholder en lang række brugbare informationer: navne, adresser, socialsikringsnumre og bankkontoinformationer.

Smishing og vishing

Ved både smishing og vishing erstattes e-mails af telefoner som kommunikationsmetode. Smishing er, at kriminelle sender tekstbeskeder (indholdet er meget det samme som i e-mail phishing), og vhishing er en telefonsamtale.

Et alment vishing bedragsforsøg er en kriminel, der udgiver sig for at være en falsk efterforsker (enten fra betalingskortfirmaet eller banken) og fortæller ofret, at deres konto er blevet kompromitteret. Den kriminelle beder så ofret om at give informationer om deres betalingskort for at verificere deres identitet eller til at overføre penge til en “sikker” konto – hvormed de mener den kriminelles konto.

Phishing på sociale medier

Et relativ nyt angrebsområde er sociale medier, som giver kriminelle en række måder at narre folk på. Falske URLs; klonede hjemmesider, posts og tweets; og øjeblikkelige beskeder (som stort set er det samme som smishing) kan alle bruges til at overtale folk til at afsløre følsomme informationer eller downloade malware.

Eller som et alternativ kan kriminelle bruge den information, som folk frivilligt har postet på sociale medier for at skabe meget målrettede angreb.

I 2016 fik tusinder af Facebook brugere beskeder om, at de var blevet nævnt i en post. Beskeden var blevet startet af kriminelle og udløste et to-trins angreb. Det første trin downloadede en trojaner, som indeholdte en ondsindet Chrome browser udvidelse, til brugerens computer.

Når brugeren næste gang loggede ind på Facebook med den kompromitterede browser, kunne de kriminelle hijacke brugerens konto. De var i stand til at ændre indstillingerne for privatssfære, stjæle data og sprede infektionen igennem ofrets Facebook venner.

Dine medarbejdere er din sidste forsvarslinje

Organisationer kan mindske risikoen for phishing med teknologiske midler såsom spamfiltre, men de har gennemgående vist sig ikke at være pålidelige. Ondsindede e-mails kommer stadigvæk igennem regelmæssigt og når det sker, er det kun dine medarbejderes evne til at genkende deres bedrageriske natur og reagere tilsvarende, der beskytter din organisation fra et brud på sikkerheden.

Vores Phishing medarbejderbevidsthed kursus hjælper medarbejdere med at gøre netop det samt at forklare, hvad der sker, når folk bliver ofre for det og hvordan de kan mindske truslen fra et angreb.

Hvis du kombinerer dette kursus med vores simulerede phishing angreb, kan d se, hvor megen information dine medarbejdere huskede. Vi sender et phishing angreb til dine organisationer (selvfølgelig uden den ondsindede nyttelast) og giver dig en uafhængig vurdering af dine medarbejderes modtagelighed for et angreb. Det giver også dine kampagner for sikkerhedsbevidsthed en referencerammer og hjælper dig med at:

  • Efterkomme konformitets- og lovmæssige krav;
  • Tilpasse fremtidige tests til områder og medarbejdere udsat for den største risiko; og
  • Reducere antallet af medarbejder-kliks på ondsindede e-mails.

Måske er du også interesseret I vores  phishing infografik. Denne vejledning omridser de forskellige former, som phishing angreb kan have og forklarer den skade, de kan forvolde og giver et kommenteret eksempel på en fup e-mail, som viser hvad du skal holde udkig efter.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.