Callback phishing er en af de nyeste metoder for phishing - en metode, som kan snyde selv emailsystemer og de garvede phishing-kendere. Vi gennemgår hvad begrebet er, samt hvad man skal se efter i sine mails. Callback phishing kan nemlig ligne helt legitime mails.
Den nye form for phishing
De fleste er bekendt med den klassiske phishingmail, hvor en hacker bruger social engineering til at lokke folk i phishingfælden. Ofte vil de udgive sig for at være en leder, der skal have svar på en forespørgsel - og dette svar skal komme hurtigt. Udover den korte tidsfrist, skal man typisk trykke ind på links eller downloade filer, som er vedhæftet i mailen. Og det er her, hackeren får adgang til din computer og personoplysninger, hvis du trykker på linket.
Dog er der kommet mere opmærksomhed på phishingmails og social engineering, hvilket har resulteret i, at folk er blevet bedre til at spotte de ondsindede mails og dermed undgå dem. Udover at vi er blevet bedre til at spotte dem, så er vores email-programmer også blevet bedre til at skelne mellem ondsindede mails og de legitime mails, vi får fra vores kollegaer. Dette har hackere desværre opdaget, så de har fundet på en ny og mere snedig form for phishing.
Den nye form for phishing bliver kaldt callback phishing. Ved denne type phishing kombinerer hackere den “klassiske” phishingmail med vishing (voice phishing). Den store forskel er dog, at i stedet for ondsindede links eller filer, så er det telefonnumre, som hackere vil have dig til at trykke på og ringe op.
Hvorfor skulle man ringe?
Man kan måske spørge sig selv, hvorfor man skulle ringe til et nummer, der står i en mail, man modtager. Normalt ville man måske ikke ringe, men hvis mailen er en indkaldelse til et møde, en faktura, der er problemer med eller et abonnement, der stopper, men som du vil forlænge, så virker det ikke så usandsynligt.
Og dette ved hackere. Derfor sidder de klar i den anden ende, til at lave vishing. De starter med at sende en phishingmail ud til en udvalgt gruppe mennesker, som ikke er lige så stor som ved normal phishing - de skal kunne vide hvilken rolle, de skal sætte sig ind i, når telefonen ringer.
De kan for eksempel sende en mail ud med en reminder om, at din gratis prøveperiode på et abonnement ophører, medmindre du tilmelder dit kreditkort. Fordi det er med kort varsel, skal det foregå over telefonen, så dit abonnement kan fortsætte med det samme. På den måde er der flere mennesker, der vil være tilbøjelige til at ringe til nummeret, de har fået besked på, som dermed sender dem til en kundeservice.
Her vil man typisk blive bedt om at opgive sine kreditinformationer, som skal kobles til abonnementet. Så snart man har gjort det, har hackeren de informationer, de skal bruge til at stjæle persondata og penge.
Hackeren undgår sikkerhedsmekanismerne
En anden metode, som hackere bruger ved callback phishing, er at få folk til at sige ja til en remote desktop session, som betyder, at man giver en ekstern bruger lov til at se og styre sin computer. Dette kan være i forbindelse med tekniske problemer, som hackeren påstår, at du skulle have. De vil typisk nævne problemerne i mailen, men ikke give uddybende forklaringer på hvilke problemer, det skulle være - her skal man ringe til nummeret for at få forklaring og løsning på problemet. Og det vil de foreslå bliver gjort med en remote desktop session.
Hvis man siger ja til en remote desktop session, så kan hackeren altså installere malware på din computer, og dermed tilgå persondata og kontooplysninger.
Når hackere bruger callback phishing, sniger de sig udenom de sikkerhedsmekanismer, der er i mailprogrammer, som ellers ville opfange ondsindede links og filer. Derfor er det kun dig som medarbejder, der kan være filteret i din indbakke. Man skal holde øje med social engineering tricks, som hackere stadig vil bruge ved callback phishing. Det opfordres derfor altid til at stille spørgsmål ved den forespørgsel, der kommer i en mail - før man reagerer på den.
Hvad man skal gøre for at undgå callback phishing
Et råd, vi vil komme med, er at være kritisk for mails, der indeholder forespørgsler - også selvom det skulle komme fra en “leder” eller afsendere, der virker legitime. Det er en god idé at dobbelttjekke telefonnumre, inden man ringer til dem. Hvis det er en “leder”, der skriver, kan du høre din rigtige leder, eller kollegaer, om det er dem eller deres nummer. Og hvis det er en serviceudbyder “man skal kontakte”, så kan man typisk finde deres telefonnummer på nettet.
Man kan også undersøge om ens emailprogram kan opfange ondsindede emailadresser og domæner. På den måde kan man lave et filter, der sorterer indbakken fra mulige callback angreb. Dog er dette ikke en forudsætning for, at callback phishingen slet ikke kommer igennem.
Awareness-træning og multifaktor godkendelse er også altid gode initiativer til at få bedre cyberhygiejne. Multifaktor godkendelsen skal tilføje et ekstra lag sikkerhed til din indbakke, og sørge for, at kun du kan tilgå dine mailinformationer.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler