Phishing er en af de mest kendte og brugte hacking-metoder. Der findes mange forskellige former for phishing; whale phishing, spear phishing, vishing og smishing, bare for at nævne nogle stykker. Men en nyere form for phishing er dukket op, nemlig consent phishing (jf. samtykke-phishing).
Hvad er samtykke-phishing?
Samtykke-phishing er lidt anderledes end nogle af de andre typer phishing, der findes. Det kræver nemlig en form for succes for hackeren - nemlig at de har lykkedes med at få godkendelse til login til offerets profil.
Angrebene involverer brugen af ondsindede apps og legitime udbydere, bl.a. OAuth. OAuth er i korte træk en “Open Authentication” og betyder egentlig bare, at det er en gratis og åben tjeneste, der bliver brugt til at identificere en bruger. Det er ofte tjenester som Google (f.eks. Gmail), der bruger OAuth.
Som ved så mange andre phishing-angreb, så starter det hele med en phishingmail fra hackeren. De udgiver sig eksempelvis for at være en fra en offentlig institution, så man stoler på afsenderen.
Samtykke-phishing bliver brugt til at tilgå cloud-baserede profiler, hvor man allerede er logget ind - derfor kan man bruge Google Workspace som eksempel.
Eksempel: Sådan kommer hackeren ind
Hvis vi forestiller os, at man sidder og arbejder i Google Workspace, så får man pludselig en mail fra en Google-medarbejder. De siger, at man skal logge ind i sin Google Workspace, og udføre en handling. Dette kan f.eks. være at verificere sin identitet.
Nu vil “medarbejderen fra Google” sende et link til dig. De påstår, at det fører dig til login-siden til Google Workspace. Hvis man forsat ikke tænker yderligere over mailen, vil man godtroende trykke på mailen og linket i den.
Nu er det her, at samtykke-phishing adskiller sig fra den almindelige form for phishing. Linket vil nemlig føre til en side, hvor man skal give samtykke til, at “Google” må indsamle data. Hackeren bruger en ondsindet app, men kobler den sammen med en legitim udbyder - derfor virker det sikkert at klikke på linket.
Det hele virker legitimt, så mange vil falde for phishingen. Men så snart hackeren har fået samtykke fra offeret, kan de tilgå dataen, der ligger på Google Workspace-drevet.
Grunden til samtykke-phishing
Nu spørger du måske dig selv, Hvorfor vil hackeren have adgang til andres cloud-drev? Når det handler om cyberkriminalitet, er persondata uvurderligt. Både for offeret, men også for hackeren. Persondata har høj salgsværdi på the dark web. Det er ydermere også et værdifuldt forhandlingsmiddel for hackeren. Det vil ofte blive brugt til ransomware, så hackeren kan tjene høje summer på den stjålne data.
Udover at sælge persondataen, vil hackere ofte udnytte bankoplysninger fra offeret. Ved at have bankoplysningerne, kan hackeren overføre frit mellem offerets konti og hackerens. Typisk vil hackeren også købe kryptovaluta, hvorefter de overfører valutaen til sig selv. Kryptovaluta er nemlig anonym valuta i den forstand, at man ikke kan spore, hvem der sender eller modtager det.
Dog er det sjældent at cloud-baseret data omhandler bankoplysninger. Men det kan indeholde personoplysninger, som kan hjælpe hackeren til at komme ind i offerets netbank.
Hackeren går typisk efter medarbejderes cloud-base, da de også har adgang til virksomhedsinformationer. Dette vedrører ofte kundedata. Dette er værdifuldt både for virksomheden, kunderne og hackeren. Jo mere data hackeren besidder, jo flere penge kan de tjene.
Sådan undgår du samtykke-phishing
Som nævnt, så er det ofte virksomheder, der er i hackerens sigtemål. Derfor er det også de cloud-baserede databaser, de ønsker at ramme - Google Workspace og Microsoft Azure er eksempler på databaser, der er oplagt at ramme.
Derfor er det vigtigt at undervise medarbejderne i cybersikkerhed med awareness-træning, så virksomheden bedre kan undgå at falde i fælden.
Mange mennesker er ikke opmærksom på indikatorerne, der er ved phishing - af den grund skal de trænes i, hvordan man spotter phishing. Træningen kan ende med at blive uvurderlig i sidste ende - ved at undgå phishing, kan man bedre undgå hackingangreb. Og på den måde undgår man også at miste flere tusinde kroner til ransomware-angreb.
Derudover kan man også give medarbejderne et overblik over hvilke godkendte apps og hjemmesider, de kan tilgå på deres arbejdsenheder. På den måde undgår man, at de trykker ind på en illegitim hjemmeside, der potentielt kan føre til samtykke-phishing.
Multifaktorgodkendelse (MFA) er endnu en god og sikker måde at undgå hackere på. Det er nemlig langt sværere for hackere at trænge igennem MFA, da det ofte kræver adgang til flere enheder eller biometriske data, som de ikke kan få fat på.
Undgå samtykke-phishing
Som beskrevet her, så er samtykke-phishing desværre lidt sværere at gennemskue, end mange andre typer phishing. Det er en effektiv måde for hackere at komme ind i clouden, og dermed se virksomheders data.
Men der er heldigvis forskellige tiltag, man kan overveje at indføre, for at komme udenom samtykke-phishingen. Awareness-træning er nøglen til at lære medarbejdere om phishing - inklusiv samtykke-phishing. Derudover kan man sikre brugere med MFA og øget sikkerhed omkring de vigtigste hjemmesider. På den måde kan man forhåbentlig holde hackeren ude af virksomhedens systemer og sikre kunders og medarbejders data.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler
