Phishing er en større trussel end nogensinde før med millioner af e-mails sendt ud hvert år, og det skyldes bl.a. udbredelsen af phishing as a service (PaaS). I dette blogindlæg skal vi se på, hvad phishing as a service er, og hvordan du kan beskytte dig selv og din virksomhed mod phishing-angreb.
Hvad er phishing?
Phishing er en effektiv metode til at få folk til at afsløre private oplysninger. Hackere sender en e-mail, SMS eller besked på sociale medier, hvor den påståede afsender ser ud til at være fra en legitim kilde, såsom en bank. Offeret klikker på et ondsindet link i beskeden, forsøger at logge ind på en konto på en falsk hjemmeside, og deres loginoplysninger bliver derefter stålet.
Ved at klikke på et link kan modtageren også downloade malware uden at vide det, som kan overtage computere og mobile enheder.
Svindlere går typisk efter personlige data som CPR nummer, kontooplysninger, adgangskoder, kontaktoplysninger osv.
Phishing indeholder teknikker fra social engineering, som f.eks. bruges i spear phishing rettet mod bestemte personer, og det er en af grundene til, at så mange mennesker bliver ved at falde for phishing, selvom der er kommet meget mere fokus på området.
En phishing-kampagnes succes afhænger af, hvor realistisk den er. Dette kræver et sæt færdigheder, som mange cyberkriminelle ikke har, og det plejede at være en betydelig barriere for at skabe overbevisende phishing-beskeder. Men det har phishing as a service lavet om på.
Hvad er phishing as a service?
Phishing as a service (PaaS) er en del af en trend, hvor cyberkriminelle bruger deres tekniske kunnen til at blive tjenesteudbydere. I stedet for at udføre cyberangreb på egen hånd, hjælper de andre med at udføre angreb mod betaling.
Denne model er baseret på software as a service-forretningsmodellen, hvor kunderne får adgang til software mod et månedligt gebyr. Denne trend har også skabt ransomware as a service (RaaS).
Dette giver cyberkriminelle en ny indtægtsstrøm, og det giver de fleste mennesker mulighed for at udføre mere professionelle angreb, da de ikke selv behøver at have særlige tekniske færdigheder.
PaaS-leverandører annoncerer deres produkter som phishing-kits. De sælges primært på the dark web, men nogle phishing-kits er nu tilgængelige på the surface web (dvs. det almindelige internet).
Professionelle falske e-mails med phishing-kits
Et phishing-kit indeholder alt det nødvendige for at starte et vellykket phishing-angreb. De inkluderer e-mail-skabeloner til at sende e-mails, som ser ud til at komme fra legitime virksomheder, samt skabeloner til de falske hjemmesider, som ofrene sendes til. Nogle phishing-kits indeholder også lister over potentielle mål, f.eks. store virksomheder med følsomme data.
Fordi phishing-kits er målrettet personer uden særlige tekniske færdigheder eller viden, indeholder de også ofte detaljerede instruktioner og kundesupport.
Phishing-kits sælges og reklameres som produkter, der giver enhver mulighed for at tjene penge på at udføre phishing-angreb uanset deres færdigheder. Dette er en populær tjeneste for dem, der ønsker at blive involveret i cyberkriminalitet, men mangler den nødvendige viden eller erfaring.
Hvad bruges de stjålne personlige oplysninger til?
Efter at et offers oplysninger er blevet stjålet, har hackerne en række muligheder for, hvad de kan gøre med de oplysninger. De kan vælge selv at bruge oplysningerne efter alt, hvilke slags oplysninger, der er tale om.
Hvis det er oplysninger til en finansiel konto, kan de forsøge at stjæle penge ved at overføre penge til sig selv. Eller hvis det er loginoplysninger til et netværk, kan de bruge den adgang til at starte et ransomware-angreb.
Personlige oplysninger kan også videresælges på the dark web. Dette giver andre mulighed for at udnytte de stjålne oplysninger, og der kan potentielt være rigtig mange cyberkriminelle, der kan bruge oplysningerne.
Nogle phishing-kits er også designet til at opbevare en kopi af de oplysninger, som bliver indsamlet, og sende dem til hackerne bag phishing-kittet. Dette giver en yderligere potentiel indtægt for skaberen af phishing-kittet. Det betyder også, at legitimationsoplysninger ofte sælges videre på the dark web, selvom den person, der stjal dem, ikke selv har gjort det.
Phishing as a service skaber flere muligheder
PaaS er et stort problem, fordi det fjerner den tekniske barriere for udførslen af phishing. Normalt skal en cyberkriminel forstå HTML for at skabe en effektiv og virkelighedstro phishing e-mail.
De skal også forstå, hvordan man bygger en hjemmeside, der både ser realistisk ud og kan indsamle oplysninger og sende dem videre til den cyberkriminelle. Hvis nogen køber et phishing-kit, behøver de ingen af de evner for at udføre et succesfuldt angreb.
Phishing as a service gør de personer, der allerede udfører phishing-angreb, mere succesfulde. En kampagnes succes er ofte begrænset af gerningsmændenes evner. Hvis denne person betaler for et godt phishing-kit, er det sandsynligt, at flere mennesker vil falde for deres angreb.
Phishing as a service gør identificering af hackere sværere
PaaS giver hackere, der er gode til at designe phishing-kits, mulighed for at tjene penge uden selv at udføre phishing-angreb. Hvis den person, der bruger et phishing-kit, bliver fanget, vil den person, der leverede phishing-sættet, sandsynligvis undgå retsforfølgelse.
Både fordi de ikke direkte har været involveret i angrebet, og fordi de kan sælge deres kits anonymt og få betaling i kryptovaluta, som er meget svært at spore. De kan så fortsætte med at sælge deres kits til andre.
Hvem bliver ramt af en phishing e-mail?
Phishing-angreb udføres mod både virksomheder og privatpersoner. Hvis målet er en privatperson, kan deres loginoplysningerne til økonomiske og personlige konti blive stjålet.
Et vellykket phishing-angreb mod en virksomhed kan være starten på andre cyberangreb. Hvis hackeren stjæler loginoplysningerne til et netværk, kan kundernes private og følsomme oplysninger blive stjålet, eller der kan blive installeret ransomware.
Sådan kan du forhindre phishing-angreb
Selvom PaaS gør phishing-angreb sværere at opdage, da de er mere sofistikerede, kan du stadig beskytte dig selv mod phishing, hvis du er opmærksom på en række ting.
Tjek afsenderen
Phishing-e-mails forsøger at efterligne en legitim afsender, men der vil altid være små ændringer fra den rigtige e-mailadresse. Afsenderen kan bruge e-mail-spoofing for at virke legitim, men det er umuligt at undgå mindre stavevariationer som stavefejl. Derfor skal man altid undersøge e-mailadressen i e-mailen.
Tjek formateringsfejl
PaaS-produkter inkluderer ofte meget realistiske e-mail-skabeloner, men de kan aldrig rigtig være helt så professionelle eller have helt samme formatering som den ægte vare. Se efter fejl i både formateringen, logoer og sproget i e-mailen eller SMS'en.
Klik ikke på links og download ikke vedhæftede filer
Uanset hvem en afsender er, skal du altid være varsom med links i e-mails. Hold musen over linket for at se hele URL’en. Du bør aldrig downloade en vedhæftet fil i en e-mail, medmindre du er sikker på, hvad den indeholder, og hvem afsenderen er.
Vær opmærksom på opfordring til handling
Stort set alle phishing-e-mails beder dig om at gøre noget. Du bør være mistænksom over for enhver e-mail, der beder dig om at give oplysninger eller logge ind på en konto. Ofte er der også tidspres i e-mailene, som skal få dig til at reagere med det samme.
Virksomheder skal træne deres medarbejdere
Phishing-angreb mod virksomheder er primært rettet mod medarbejderne, da de typisk modtager mange e-mails i løbet af en arbejdsdag, og der er ikke altid tid til at tjekke e-mailene igennem. For at nedsætte risikoen for, at en medarbejder interagerer med en phishing-mail, skal alle medarbejdere uddannes i IT-sikkerhed med awareness-træning.
Brug anti-phishing-software
Software er bredt tilgængelig til at opdage phishing-mails og forhindre dem i at nå medarbejdernes indbakke. Selvom denne software ikke er et passende alternativ til medarbejderuddannelse, kan den reducere størrelsen af den trussel, som medarbejderne står over for, da nogle eller en del svindel-mails og spam bliver blokeret.
PaaS er en stor trussel for alle
Phishing er en væsentlig trussel mod både private og virksomheder. Det fører til hackerangreb og identitetstyveri på enkeltpersoner og netværksindtrængen i virksomheder. PaaS forstærker denne trussel ved at give kriminelle muligheden at udføre de skadende angreb uanset deres færdigheder.
Udbredelsen af phishing as a service øger ikke kun antallet af phishing-kampagner, men gør også hvert angreb potentielt mere effektivt. Selvom falske e-mails ofte kan identificeres, kan kriminelle, der bruger et vellavet phishing-kit, muligvis stjæle langt flere personlige og fortrolige oplysninger.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer