Phishing-angreb rettet mod virksomheder er et stigende problem, og det er især målrettet phishing, der er svært for medarbejdere og ledere at gennemskue. Phishing er traditionelt ikke målrettet, så hvordan kan de it-kriminelle målrette deres angreb mod en bestemt person i en virksomhed?
Spear phishing vs. phishing
Phishing-angreb
Traditionel phishing er en form for it-svindel, hvor de it-kriminelle udgiver sig for at være legitime virksomheder, myndigheder eller organisationer pga. ondsindede årsager. De bruger forskellige strategier til at lokke deres ofre til at opgive følsomme oplysninger, som de senere kan udnytte. De kan også lokke ofrene til at installere malware på deres computer, så de it-kriminelle kan få adgang til og kompromittere computeren.
Phishing-angreb kan ramme alle
De fleste phishing-angreb udføres over e-mail. Phishing e-mails indeholder enten et link eller en vedhæftet fil. Når den uvidende modtager klikker på linket, ledes de hen til falske websteder, hvor de skal indtaste deres oplysninger. Hvis de downloader filen, bliver der installeret malware på deres computer.
- Phishing kan også udføres over sociale medier, SMS'er og telefonopkald.
Almindelige typer phishing-angreb forsøger ofte at ramme så mange som muligt, så de indeholder generelle metoder og strategier at manipulere et offer på, og de sendes ud i massevis. Disse strategier kaldes for social engineering.
Manipuleringsstrategierne i phishing er en af de ting, der adskiller phishing fra spam e-mails. Spam er en form for ønsket reklame, hvis formål er at få så mange som muligt til at købe et bestemt produkt eller ydelse.
Spear phishing-angreb
Spear phishing (jf. "spyd phishing"), er en bedragerisk phishing metode, der udformes som et målrettet forsøg på at stjæle fortrolige oplysninger eller kompromittere computerenheder. Det er målrettet mod bestemte personer eller bestemte grupper i en virksomhed.
I stedet for at øge chancen for at nogen falder for svindlen ved at sende så mange phishing e-mails ud som muligt, bruger de IT-kriminelle lang tid på at producere spear phishing e-mails, så de er så overbevisende og troværdige som muligt - på den måde mindsker de sandsynligheden for, at et offer vil stille spørgsmålstegn ved mailen.
Det er en form for bedragerisk phishing, der typisk bliver rettet mod virksomheder og organisationer, da IT-kriminelle i denne form for phishing kan skræddersy angrebet til at ramme bestemte medarbejdere i en virksomhed.
Phishing målrettet mod bestemte grupper
Inden deres spear phishing e-mails sendes ud, researcher de IT-kriminelle deres ofre og kan gennem offentlig tilgængelig information finde frem til personlige oplysninger som navn, adresse, e-mail-adresse, familiemedlemmer, venner, nyligt købte varer online mm. Den offentligt tilgængelige information findes bl.a. på virksomhedernes hjemmesider, gennem Google-søgninger og på sociale medier.
De IT-kriminelle bruger deres research til at skræddersy spear phishing-angrebet og gøre spear phishing e-mailsene omhyggeligt udformet. De inkluderer personlige oplysninger om offeret, og de kan få afsenderen til at ligne en person, som offeret kender, f.eks. vedkommendes chef, en kollega eller en ven.
Ofte anvender de cyberkriminelle også manipulerende strategier fra social engineering i en spear phishing e-mail, da det øger chancen for, at angrebet er succesfuldt.
Forskellige typer af spear phishing-angreb
Whale phishing
Whale phishing-angreb sendes ud til højtstående ansatte eller ledere i en virksomhed. Whale phishing er altså endnu mere målrettet end spear phishing, da det er meget få personer, som angrebene er rettet imod.
CEO-fraud
I CEO-fraud udgiver de cyberkriminelle sig for at være en virksomheds direktør. Modsat spear phishing og whale phishing bruger de IT-kriminelle i CEO-fraud deres research til at få afsenderen til at ligne en bestemt person.
De IT-kriminelle bruger ofte en forfalsket e-mail-adresse til at efterligne direktørens e-mail-adresse. I dette tilfælde vil de typisk have hacket direktørens rigtige e-mail-konto. Der indgår meget mere research og forarbejde i CEO-fraud end i almindelige typer phishing-angreb.
Beskyt dig selv mod spear phishing
Det er vigtigt at følge nogle simple forholdsregler, så man, som individ eller virksomhed, er bedre beskyttet mod spear phishing.
Overvej hvilke informationer du offentliggør på nettet
Det er en god idé at være påpasselig med de personlige oplysninger, du lægger ud på nettet. Se dine offentlige profiler igennem og overvej, om der er informationer, der kan misbruges af cyberkriminelle til spear phishing-angreb.
På mange sociale medier kan man i indstillingerne vælge, at det kun er "venner" eller forbindelser, der kan se ens indhold. Ved at fravælge at alle på det sociale medie kan se ens indhold, kan man gøre det sværere for IT-kriminelle at finde ens oplysninger.
Husk også kun at opgive personlige oplysninger, hvis du er sikker på, at du er på en legitim hjemmeside. IT-kriminelle skaber ofte falske websteder til phishing i håb om, at folk kommer ind på dem og tror, at de er legitime. Der findes endda mange forskellige metoder og måder hvorpå hackere kan snyde ofre; evil twin-angreb, typosquatting og HTTPS-phishing er kun en håndfuld af metoder.
Vær altid opmærksom på dine e-mails
Når du modtager en e-mail, så skal du altid være opmærksom på afsenderen og indholdet i e-mailen.
Kommer e-mailen fra en rigtig e-mail-adresse? Selvom e-mailen angiveligt kommer fra en pålidelig kilde, så vil der være små fejl i e-mail-adressen, hvis det er en spear phishing e-mail.
Er der nogle usædvanlige anmodninger i e-mailen? Hvis du pludselig skal opgive følsomme oplysninger, ændre dine adgangskoder, betale en faktura eller overføre penge til en "ven" i nød, så tænk dig ekstra godt om, da de er typiske karakteristika af spear phishing.
Brug din sunde fornuft, når du læser dine e-mails. En rigtig organisation eller virksomhed ville aldrig bede om personlige oplysninger i en e-mail. Og giver det mening, at din ven pludselig står og mangler penge eller skal bruge dit brugernavn og adgangskode? Ofte gør det ikke.
Hvis du er i tvivl, om en e-mail er legitim eller ej, så kontakt altid afsenderen eller gå ind på virksomhedens hjemmeside gennem en søgemaskine som Google eller Bing.
Indfør et databeskyttelsesprogram i din/jeres virksomhed
For at beskytte din virksomhed mod spear phishing kan du/I indføre et databeskyttelsesprogram for at undgå fatale skader efter et angreb. Databeskyttelsesprogrammer kan indbefatte både awareness-træning af medarbejderne, så de kan identificere den nøjagtige type angreb og afværge det, og indførelsen af interne netværk og softwareprogrammer, der kan beskytte virksomhedens data mod hackerangreb.
Programmet skal også indeholde softwareprogrammer eller andre tekniske løsninger, der kan anvendes efter et ødelæggende databrud. Selvom dataene er blevet kompromitteret, kan det være muligt at genskabe dem.
Derudover kan programmet diktere, hvordan kommunikationskæden efter et spear phishing forsøg skal være, bl.a. hvem der skal have øjeblikkelig besked.
Man bør altid være obs på hvem der sender mails, og hvad den mail indeholder. Cyberkriminelle bliver dygtigere og dygtigere til at snyde os, men hvis man er opmærksom, kan man forhindre at blive deres næste offer.
Dette blogindlæg er opdateret dn. 06-09-2023 af Sofie Meyer.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer
