Hvad er spear phishing?

Hvad er spear phishing?

6 minutters læsning. Udgivet den 25-03-2022 under kategorien: phishing.

Phishing-angreb rettet mod virksomheder er et stigende problem, og det er især målrettet phishing, der er svært for medarbejdere og ledere at gennemskue. Phishing er traditionelt ikke målrettet, så hvordan kan de it-kriminelle målrette mod en bestemt person i en virksomhed?

Spear phishing vs. phishing

Phishing-angreb

Traditionel phishing er en form for it-svindel, hvor de it-kriminelle udgiver sig for at være legitime virksomheder, myndigheder eller organisationer pga. ondsindede årsager. De bruger forskellige strategier til at lokke deres ofre til at opgive følsomme oplysninger, som de senere kan udnytte. De kan også lokke ofrene til at installere malware på deres computer, så de it-kriminelle kan få adgang til og kompromittere computeren.

Phishing-angreb rammer alle former for personer

De fleste phishing-angreb udføres over e-mail. Phishing e-mails indeholder enten et link eller en vedhæftet fil. Når den uvidende modtager klikker på linket, ledes de hen til falske websteder, hvor de skal indtaste deres oplysninger. Hvis de downloader filen, bliver der installeret malware på deres computer.

Phishing kan også udføres over sociale medier, sms'er og telefonopkald.

Almindelige typer phishing-angreb forsøger ofte at ramme så mange som muligt, så de indeholder universelle manipuleringsstrategier, og de sendes ud i massevis. Disse strategier kaldes for social engineering.

Manipuleringsstrategierne i phishing er en af de ting, der adskiller phishing fra spam e-mails. Spam er en form for ønsket reklame, hvis formål er at få så mange som muligt til at købe et bestemt produkt eller ydelse.

Spear phishing-angreb

Spear phishing, eller spyd phishing, er en bedragerisk phishing metode, der udformes som et målrettet forsøg på at stjæle fortrolige oplysninger eller kompromittere computerenheder. Det er målrettet mod bestemte personer eller bestemte grupper i en virksomhed.

I stedet for at øge chancen for at nogen falder for svindlen ved at sende så mange phishing e-mails ud som muligt, bruger de it-kriminelle lang tid på at producere spear phishing e-mails, så de er så overbevisende og troværdige som muligt.

Det er en form for bedragerisk phishing, der oftere og oftere bliver rettet mod virksomheder og organisationer, da it-kriminelle i denne form for phishing kan skræddersy angrebet til at ramme bestemte medarbejdere.

Phishing målrettet mod bestemte grupper

Inden deres spear phishing e-mails sendes ud, researcher de it-kriminelle deres ofre og kan gennem offentlig tilgængelig information finde frem til personlige oplysninger som navn, adresse, e-mail-adresse, familiemedlemmer, venner, nyligt købte varer online mm. Den offentlig tilgængelig information findes bl.a. på virksomhedernes hjemmesider, gennem Google søgninger og på sociale medier.

De it-kriminelle bruger deres research til at skræddersy spear phishing-angrebet og gøre spear phishing e-mailene omhyggeligt udformet. De inkluderer personlige oplysninger om offeret, og de kan få afsenderen til at ligne en person, som offeret kender, f.eks. vedkommendes chef, en kollega eller en ven.

Ofte anvender de it-kriminelle også manipulerende strategier fra social engineering i en spear phishing e-mail, da det øger chancen for, at angrebet er succesfuldt.

Forskellige typer af spear phishing-angreb

Whale phishing

Whale phishing-angreb sendes ud til højtstående ansatte eller ledere i en virksomhed. Whale phishing er altså endnu mere målrettet end spyd phishing, da det er meget få personer, som angrebene er rettet imod.

CEO-fraud

I CEO-fraud udgiver de it-kriminelle sig for at være en virksomheds direktør. Modsat spear phishing og whale phishing bruger de it-kriminelle i CEO-fraud deres research til at få afsenderen til at ligne en bestemt person.

De it-kriminelle bruger ofte en forfalsket e-mail-adresse til at efterligne direktørens e-mail adresse. De kan også hacket direktørens rigtige e-mail konto. Der indgår meget mere research og forarbejde i CEO-fraud end i almindelige typer phishing-angreb.

Beskyt dig selv mod spear phishing

Det er vigtigt at følge nogle simple forholdsregler, så man som individ eller virksomhed er bedre beskyttet mod spear phishing.

Overvej hvilke informationer du offentliggør på nettet

Det er en god idé at være påpasselig med de personlige oplysninger, du lægger ud på nettet. Se dine offentlige profiler igennem og overvej, om der er informationer, der kan misbruges af it-kriminelle til spear phishing-angreb.

På mange sociale medier kan man i indstillingerne vælge, at det kun er "venner" eller forbindelser, der kan se ens indhold. Ved at fravælge at alle på det sociale medie kan se ens indhold, kan man gøre det sværere for it-kriminelle at finde ens oplysninger.

Husk også kun at opgive personlige oplysninger, hvis du er sikker på, at du er på en legitim hjemmeside. It-kriminelle skaber ofte falske websteder til phishing i håb om, at folk kommer ind på dem og tror, at de er legitime.

Vær altid opmærksom på dine e-mails

Når du modtager en e-mail, så skal du altid være opmærksom på afsenderen og indholdet i e-mailen.

Kommer den e-mail fra en rigtig e-mail-adresse? Selvom e-mailen angiveligt kommer fra en pålidelig kilde, så vil der være små fejl i e-mail-adressen, hvis det er en spyd phishing e-mail.

Er der nogle usædvanlige anmodninger i e-mailen? Hvis du pludselig skal opgive følsomme oplysninger, ændre dine adgangskoder, betale en faktura eller overføre penge til en "ven" i nød, så tænk dig ekstra godt om, da de er typiske emner i spear phishing.

Husk logikken

Brug din fornuft, når du læser dine e-mails. En legitim organisation eller virksomhed ville aldrig bede om personlige oplysninger i en e-mail. Og giver det mening, at din ven pludselig står og mangler penge eller skal bruge dit brugernavn og adgangskode?

Hvis du er i tvivl, om en e-mail er legitim eller ej, så kontakt altid afsenderen eller gå ind på virksomhedens hjemmeside gennem en søgemaskine

Indfør et databeskyttelsesprogram i din/jeres virksomhed

For at beskytte din virksomhed mod spyd phishing kan du/I indføre et databeskyttelsesprogram for at undgå maksimal skade efter et angreb. Sådan et program indbefatter både awareness-træning af medarbejderne, så de kan identificere den nøjagtige type angreb og afværge det, og indførelsen af interne netværk og softwareprogrammer, der kan beskytte virksomhedens data.

Programmet skal også indeholde softwareprogrammer eller andre tekniske løsninger, der kan anvendes efter et ødelæggende databrud. Selvom dataene er blevet kompromitteret, kan det være muligt at genskabe dem.

Derudover kan programmet diktere, hvordan kommunikationskæden efter et spear phishing forsøg skal være, bl.a. hvem der skal have øjeblikkelig besked.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg