Spear Phishing... ligesom phishing, men lidt mere direkte
Vi har alle sammen hørt om phishing og hvordan det fungerer, hvor der sendes en generisk e-mail med en krypteret URL eller vedhæftet fil, og når man klikker på den, er man blevet fanget. Men vi ser nu en stigning i spear phishing.
Spear phishing er teknisk set det samme, men med en mere direkte og målrettet tilgang. Hackerne bruger tid på at undersøge en enkelt persons eller en lille gruppe personers liv, interesser og jobfunktion og skaber en e-mail, der virker legitim og interessant nok til at klikke på den. Og hvis denne ene person klikker og aktiverer malware, kan det sprede sig og få skadelige virkninger i
virksomheden.
Federal Bureau of Investigation gennemførte en detaljeret undersøgelse af spear phishing og rapporterede, at de fleste spear phishing-forsøg er rettet mod virksomheder, der bruger "bankoverførsler som en almindelig metode til at overføre penge til forretningsformål". Dette er også kendt som BEC-svindel, der defineres som en "...sofistikeret svindel, der er rettet mod virksomheder, der arbejder med udenlandske leverandører og/eller virksomheder, der regelmæssigt foretager pengeoverførsler. Svindelnummeret udføres ved at kompromittere legitime virksomheders e-mail-konti gennem social engineering eller
computerindtrængningsteknikker for at foretage uautoriserede pengeoverførsler."
- Det samlede eksponerede tab i dollar = 3.086.250.090 dollars.
- Siden januar 2015 har der været en stigning på 1.300 % i identificerede eksponerede tab
- Der er blevet sendt svigagtige overførsler til 79 lande, hvoraf størstedelen er gået til asiatiske
banker i Kina og Hongkong.
- Indenlandske og internationale ofre udgør i alt 22 143
Her er et hurtigt indblik i, hvordan "phishermene" målretter og fanger
Facebook - Dine opdateringer kan afsløre en hel del om dig som person. Dine forbrugsvaner, din hunds navn, et billede af dig på ferie i Grækenland for nylig eller købet af din nye dejlige bil. Phisherne kan lave en troværdig e-mail, hvor de beder dig om at gennemgå din seneste ferie eller købe hundemad til nedsat pris med din hunds navn på, hvilket vil indeholde et link fyldt med malware. Vi siger ikke, at du aldrig skal opdatere noget nogensinde igen, men vær opmærksom og tænk dig om, før du skriver eller klikker!
Twitter- Din Twitter er fuld af hashtags, #søster #bedsteven #familie... og normalt er der i forbindelse med disse hashtags tags med personnavne, steder og endda billeder. Dette gør det nemt for phishere at skabe en "skjul bag" persona. Hvis du modtager en e-mail med din søsters navn på, ville du automatisk tænke, at det er i orden og aldrig tro, at det er en phishing-e-mail, men det er det desværre nogle gange.
LinkedIn - Du har dit billede, din virksomheds titel, virksomhedens navn, alle tilknyttede medarbejdere, og alt, hvad du er interesseret i, kan ses. Phishere kan bruge dette mod dig og til at
manipulere dig. Er det ikke en skræmmende tanke? Alt, hvad du gør online, og hvad du interagerer med, er i princippet byggesten til dit eget spear phishing-angreb.
Hvis du lægger disse elementer sammen, er du det primære mål for en spear phishing-skandale, som, hvis du klikker på den, kan blive sendt videre til dine kolleger, hvilket så bliver en sneboldeffekt. Vær forsigtig, og lad være med at starte
snebolden.
Spear phishing - hvordan du undgår og mindsker risikoen for at blive offer
1- Vær opmærksom - Med alle dine oplysninger online nu, kan dine oplysninger meget let findes og bruges. Du må ikke give for meget væk, og du må aldrig lægge personlige oplysninger som adresse, telefonnummer eller bankoplysninger ud. Nyd det stadig, post de sjove billeder, fortæl dine venner, at du har haft den bedste dag på stranden med din familie, fortæl endda alle, at du har spist en burrito til frokost ... men vær forsigtig. Hvis du får en e-mail om en "gratis burrito" fra din yndlings takeaway ved havet, er det sandsynligvis ikke tilfældigt!
Vær opmærksom og vær på vagt.
2- Tjek links - Spear phishing-e-mails har som regel links i dem, hvor du bliver bedt om at klikke for at ændre en adgangskode, bekræfte oplysninger eller tilmelde dig noget nyt og eksklusivt. Men før du klikker, er det bedst at tjekke URL'en ved at holde musen over linket. Hvis der er tale om et phishing-svindelnummer, kan du være sikker på, at URL'en er noget helt irrelevant for e-mailen og nogle gange efterfulgt af en linje med tilfældige tal og cifre.
3- Brug logik - Hvorfor skulle din arbejdskollega ønske at kende dine bankoplysninger? Hvorfor ville din chef sende dig et link, så du kan klikke på et link for at se din telefonregning? Det ville de højst sandsynligt ikke, så hvis du er i tvivl, skal du kontakte personen direkte og kontrollere, om de har sendt e-mailen. Og hvis du får en phishing-e-mail, skal du slette den med det samme! Det er bedre at være på den sikre side end at fortryde.
Har du nogensinde modtaget en spear phishing-e-mail? Tror du, at du kan opdage en? Lad os vide det i kommentarerne!
