Elementerne i et overbevisende phishing-angreb

Cassie Chadwick var en svindler i begyndelsen af det 20. århundrede. Chadwick begik en tidlig version af identitetstyveri for at udføre telegrafisk bedrageri, og overbeviste bankerne om, at hun var Andrew Carnegies uægte datter, så de kunne optage lån mod dette krav. I 1905 blev Cassie idømt ti års fængsel for bedrageri mod en bank. Vellykket svindel, som Chadwick's, er blevet legendariske. Gennem århundreder har svindlere brugt social engineering og lignende svindel at samle enorme summer ved at narre deres mål at narre deres mål. I dag bruger svindlere moderne kommunikationsmidler som f.eks. e-mail til at udføre svindel. De skal dog stadig bruge elementerne i en overbevisende historie for at sikre, at en phishing-e-mail med succes snyder sin modtager. Her er elementerne i en overbevisende phishing-angreb.

Hvorfor fokusere på phishing-angreb?

Phishing angreb har eksisteret siden de tidlige dage med e-mail. Det giver mening, da e-mail kan bruges som forbindelsespunkt mellem en hacker og virksomhedens netværk, dvs. en kommunikationsgateway, der kan åbne netværket ved at hjælpe med at stjæle adgangskoder, brugernavne og e-mail-adresser eller levere malware. Phishing er fortsat den "mest almindelige angrebsvektor" ifølge den seneste britiske regeringsundersøgelse, der præsenteres i rapporten "Undersøgelse af brud på cybersikkerheden 2021". Årsagen til den fortsatte brug af phishing skyldes, at det fortsat er en stor succes med op til 32 % af medarbejderne klikker på et link i en phishing-e-mail og op til 8 % ved ikke engang, hvad en phishing-e-mail er. En enkelt medarbejder, der klikker på en phishing-e-mail link og derefter indtaste login legitimationsoplysninger sætter hele virksomheden i fare for et databrud eller en malware-infektion. Selv medarbejdere med lavere adgangsprivilegier kan stadig føre til optrapning af privilegier og brud på datasikkerheden. Phishing er et hovedangrebspunkt, og som sådan, cyberkriminelle gøre en indsats for at gøre denne angrebsvektor overbevisende for at sikre succes.

Elementer for succes for phishing-medarbejdere

For at få succes med at phish en medarbejder skal en svindler sikre sig, at hele phishing kampagnen er overbevisende, lige fra e-mailens udseende og følelse til det falske websted, som phishing links fører medarbejderen til. Elementerne i en overbevisende phishing kampagner er stadig mere sofistikerede og involverer:

Udgivelse af et mærke

Brand spoofing har været anvendt siden fremkomsten af e-mail phishing. Visse mærker er populære hos virksomhederne, og de bruges konsekvent til at snyde modtagere til at tro, at e-mailen er legitim og udlevere deres personlige oplysninger. Check Point gennemfører regelmæssigt undersøgelser af de mest populære mærker, der anvendes som grundlag for phishing kampagner. Et af de mest forfalskede mærker i 2021 var Microsoft, idet mærket blev brugt i ca. 45 % af phishing kampagner i andet kvartal af 2021.

Uægte, lange og omdirigerede URL'er

At holde musen over et link i en e-mail er ikke altid en sikker måde at opdage et skadeligt link på. For nylig er svindlere begyndt at bruge "rogue URL'er' for at skjule den ondsindede karakter af en phishing link. Dette indebærer typisk, at den rigtige adresse på et link skjules ved hjælp af specialtegn. A URL Encoder bruges til at ændre en URL ved at tilføje procenttegn, dvs. ved at starte en URL streng med et %-tegn for at skjule webadressens sande karakter. Disse URL'er accepteres af Google, så det er svært at forhindre dem ved hjælp af filtre til statisk indhold. Meget lang URL'er bruges også til at skjule en ondsindet webadresse. E-mail-links på mobile enheder er notorisk svære at se, og meget lange URL'er gør det endnu sværere at opdage mistænkelige links. Brugen af flere links og omdirigeringer bruges nu også til at forvirre brugerne. A nylig multi-redirect phishing-kampagne førte brugerne gennem en række omdirigeringer, der endte med en Google reCaptcha-side, som til sidst omdirigerede til en forfalsket Office 365-side, hvor login legitimationsoplysninger blev stjålet.

Falske sikkerhedssignaler

Folk kan ikke længere stole på, at et websted er troværdigt ved hjælp af sikkerhedssignaler. F.eks. er låsesymbolet, der ses på visse websteder og er forbundet med S'et i slutningen af HTTP, dvs. HTTPS. Dette angiver, at et websted bruger et digitalt certifikat (SSL-certifikat) som et signal om, at det er et sikkert websted. Men det Arbejdsgruppen for bekæmpelse af phishing (APWG) konstaterede, at 82 % af de phishing websteder brugte et SSL-certifikat i 2. kvartal af 2021.

Social Engineering-tricks

Alle ovenstående taktikker er understøttet af flere velafprøvede social engineering tricks, der fanger medarbejderne og bringer dem videre til det næste niveau i phishernes kampagne. Det er den social engineering aspekt af phishing der gør det muligt cyberkriminelle bag kampagnen for at kickstarte den proces, der ender i ransomware, databrud og andre typer af cyber angreb. Social engineering er en dækkende betegnelse, der bruger en række forskellige teknikker til at manipulere medarbejdernes adfærd; typiske metoder omfatter:

• Hastende: En phishing-e-mail eller sms kan indeholde en presserende anmodning om at udføre en opgave. Business Email Compromise (BEC), der anvender phishing-komponenter i angrebet, bruger ofte dette trick. Et eksempel er en falsk e-mail, der kan se ud som om den er fra en højtstående leder med en presserende anmodning om at overføre penge til en ny kunde eller risikere at miste kunden.

• Andre følelsesmæssige udløsende faktorer: Svindlere spiller med folks følelser for at få dem til at udføre opgaver som f.eks. at klikke på et ondsindet link i en e-mail eller give følsomme oplysninger. Nysgerrighed, bekymring for sikkerheden, ønsket om at behage og ønsket om at gøre et arbejde godt bruges alle som phishing-lokkemad.

• Spear phishing og rekognoscering: For at perfektionere deres phishing-angreb kan svindlere bruge spear phishing. Denne målrettede form for phishing ligger bag mange angreb, men den kræver en større indsats fra svindlernes side, da de skaber e-mails, der nøje afspejler den rolle, som den person, der er målet, spiller. For at få spear phishing-mails til at lykkes, foretager svindlere typisk en rekognoscering af målet, inden de udarbejder phishing-kampagnen.

Cyberkriminelle er mestre i at skabe succesfulde phishing kampagner, og statistikkerne beviser dette. A rapport fra APWG sagde, at "efter en fordobling i 2020 vil mængden af phishing er forblevet på et stabilt, men højt niveau." Elementerne i en overbevisende phishing-angreb er afprøvet og testet og har tillid til svindlere. Ved at forstå disse elementer kan en organisation mere effektivt afbøde dem.

Sådan beskytter du din organisation mod et phishing-angreb

Elementerne i en vellykket phishing angreb er baseret på teknikker til at omgå traditionelle antiphishing teknologier som f.eks. indholdsfiltre. Det betyder ikke, at indholdsfiltre ikke spiller en rolle i beskyttelsen af en virksomhed mod sofistikerede phishing kampagner. Man kan dog ikke stole på dem. Phishing kampagner fortsætter med at bruge mennesket i maskinen som deres vej ind i et virksomhedsnetværk. Vi må forvente, at denne situation vil fortsætte, og at phishing kampagneudviklere skal altid finde måder at omgå teknologien på. En lagdelt tilgang til phishing kontrol er at give din arbejdsstyrke redskaberne til at forebygge en vellykket phishing. Ved at bruge en blanding af uddannelse i sikkerhedsbevidsthed kombineret med brugen af løbende phishing-simuleringsøvelserer en arbejdsstyrke forberedt til at opdage en phishing-e-mail før det bliver et indgangspunkt.