I clone phishing bruger hackere en eksisterende e-mail som skabelon og udskifter linket med et ondsindet et af slagsen. Det gør clone phishing til en sofistikeret metode, hvormed hackere nemt kan snyde deres ofte, fordi denne type phishing mails fremstår meget troværdige, da de nærmest er identiske med den legitime mail, de er klonet af.
Clone phishing i en nøddeskal
Ved clone phishing får cyberkriminelle fingrene i mails, som et offer allerede har modtaget tidligere fra eksempelvis en kollega eller en online tjeneste, og gør dem ondsindede ved at kopiere dem og derefter udskifte det legitime link med et ondsindet link. På den måde udnytter cyberkriminelle den tillid, ofret har til afsenderen af den originale og legitime mail, hvilket kan betragtes som en form for social engineering.
Men clone phishing kan også komme til udtryk på mere komplekse måder. Hvis der er tale om en mail sendt fra en kollega, kan hackeren således indlede angrebet med en mail, som er en gensendt version af den originale mail men med et ondsindet link eller fil. Her vil mailen typisk indeholde forklaringer som for eksempel: “Glemte at vedhæfte filen til den originale mail.” Hackeren vil finde på en passende forklaring, som vil pirre offerets nysgerrighed og få vedkommende til at klikke.
Hackere kan dog også udgive sig for at være diverse online tjenester, som et offer er vant til at modtage mange mails fra. Hvis man er vant til at modtage mails på daglig basis fra en online tjeneste, fx notifikationer fra Slack, er det sandsynligvis ikke meget man tænker sig om, inden man klikker på deres links. Dette udnytter hackere i stor stil, når de forsøger at phishe dig. De gør brug af e-mail spoofing som en metode til at få e-mails til at fremstå legitime ved at få det til at ligne, at de er sendt fra legitime personer eller virksomheder.
Fremgangsmåden er, at de finder ud af, hvilken type mails, du er vant til, finder vej til din indbakke. Derefter kopierer de mailens indhold og design, hvilket de kan gøre på to måder. Enten finder de e-mailskabelonen online, og ellers modtager de selv mails fra den givne tjeneste og ved derfor, hvordan de præcist er sat op.
Kloning af private beskeder
Det er sværere for hackere at klone private beskeder fremfor e-mails eller beskeder fra online tjenester. Det skyldes, at private beskeder er sværere at få adgang til, da de foregår mellem dig og en anden part. Når en tredjepart lykkes med at få adgang til dem tyder det derfor typisk på, at dine eller din ven eller kollegas brugeroplysninger er blevet eksponeret i en ekstern datalækage eller på anden vis er blevet hacket.
Når først hackeren har adgang til en bruger, kan det hurtigt gribe om sig, og mange mennesker i vedkommendes bekendtskabskreds kan blive forsøgt phishet. Desværre er det som regel ekstremt svært at spotte phishing, når det kommer fra en ellers troværdig kilde, som eksempelvis en ven.
Paradokset ved clone phishing
Clone phishing er i princippet nemt at udføre, da fremgangsmåden primært er at kopiere indholdet fra en legitim mail og derefter udskifte links eller vedhæftede filer med ondsindede eller inficerede af slagsen. Samtidigt er de utroligt svære at spotte for ofrene.
Derfor burde man måske tro, at clone phishing var mere udbredt end det er. Men et af aspekterne, som besværliggør metoden markant, er, at det er svært for hackere at få adgang til målrettede mails. Dette er de nødt til for at kunne se, hvilke slags e-mails en person sender og modtager mange af. Og derfor kan metoden sommetider være nyttesløs, da der ikke er nogen pointe for hackeren med at sende phishing-mails til en person, hvis konto de allerede har adgang til. Omvendt kan dette dog betyde, at de kan udnytte din konto til at sende phishing til andre. Dette understreger således vigtigheden i at have styr på sin cyberhygiejne og sikkerheden på sine konti, hvilket man bl.a. kan øge ved brug af unikke og stærke kodeord, gerne password manager-genereret.
Når det er sagt, er det omvendt meget nemt at få adgang til mails fra online tjenester, da hackeren blot kan abonnere på deres nyhedsbreve som alle andre og på den måde kopiere deres e-mailskabeloner. Ofte havner denne type mails dog i spam-filteret hos de fleste, mens mange andre slet ikke åbner dem.
Det forklarer også, hvorfor den mest udbredte form for phishing er den slags, hvor hackere udgiver sig for at være en troværdig afsender, mens der samtidigt skrues gevaldigt op for principperne fra social engineering, som er kendt for at manipulere med ofrets følelser. Denne metode er således ikke karakteriseret som clone phishing.
Sådan undgår du at bide på krogen
Ved at følge vores råd for best practice minimerer du risikoen for at komme til at bide på krogen markant.
Vi anbefaler dig at være opmærksom på:
- Duplikerede mails, dvs. mails du modtager, som er nærmest identiske med mails, du tidligere har modtaget.
- Ondsindede links. Hold musen over linket i mailen uden at klikke på det. På den måde kan du læse URL’en og spotte, om den er ondsindet eller legitim. Dette er generelt god adfærd, som du altid bør gøre, når du modtager links på mail eller besked.
- Afsenderadressen. Alle kan vælge ethvert navn til sin e-mailkonto, men ved at tjekke e-mailadressen - og mere speficifikt domænenavnet, som står efter @ - kan du spotte, om mailen kommer fra den, som hackeren udgiver sig for at være eller ej.
- Lær desuden at identificere phishing-mails ved at modtage phishing-simulationer i din indbakke. På den måde kan du træne dig selv i at blive skarp til at identificere ondsindede mails. Dit øje for potentielle phishing-angreb er som en muskel, der skal trænes for at være i form.
Emilie Hartmann
Emilie er ansvarlig for Moxsos content- og kommunikationsindsats. Hun brænder for at øge opmærksomheden på den menneskelige del af cybersikkerhed og forbinde mennesker og teknologi.
Se alle indlæg af Emilie Hartmann