Cassie Chadwick var en svindler i begyndelsen af det 20. århundrede. Chadwick begik en tidlig version af identitetstyveri for at udføre telegrafisk bedrageri, og overbeviste bankerne om, at hun var Andrew Carnegies uægte datter, så de kunne optage lån mod dette krav. I 1905 blev Cassie idømt ti års fængsel for bedrageri mod en bank.
Vellykket svindel, som Chadwick's, er blevet legendariske. Gennem århundreder har svindlere brugt social engineering og lignende svindel at samle enorme summer ved at narre deres mål at narre deres mål.
I dag bruger svindlere moderne kommunikationsmidler som f.eks. e-mail til at udføre svindel. De skal dog stadig bruge elementerne i en overbevisende historie for at sikre, at en phishing-e-mail med succes snyder sin modtager.
Her er elementerne i en overbevisende phishing-angreb.
Hvorfor fokusere på phishing-angreb?
Phishing angreb har eksisteret siden de tidlige dage med e-mail. Det giver mening, da e-mail kan bruges som forbindelsespunkt mellem en hacker og virksomhedens netværk, dvs. en kommunikationsgateway, der kan åbne netværket ved at hjælpe med at stjæle adgangskoder, brugernavne og e-mail-adresser eller levere malware. Phishing er fortsat den "mest almindelige angrebsvektor" ifølge den seneste britiske regeringsundersøgelse, der præsenteres i rapporten "Undersøgelse af brud på cybersikkerheden 2021". Årsagen til den fortsatte brug af phishing skyldes, at det fortsat er en stor succes med op til 32 % af medarbejderne klikker på et link i en phishing-e-mail og op til 8 % ved ikke engang, hvad en phishing-e-mail er. En enkelt medarbejder, der klikker på en phishing-e-mail link og derefter indtaste login legitimationsoplysninger sætter hele virksomheden i fare for et databrud eller en malware-infektion. Selv medarbejdere med lavere adgangsprivilegier kan stadig føre til optrapning af privilegier og brud på datasikkerheden. Phishing er et hovedangrebspunkt, og som sådan, cyberkriminelle gøre en indsats for at gøre denne angrebsvektor overbevisende for at sikre succes.Elementer for succes for phishing-medarbejdere
For at få succes med at phish en medarbejder skal en svindler sikre sig, at hele phishing kampagnen er overbevisende, lige fra e-mailens udseende og følelse til det falske websted, som phishing links fører medarbejderen til. Elementerne i en overbevisende phishing kampagner er stadig mere sofistikerede og involverer:Udgivelse af et mærke
Brand spoofing har været anvendt siden fremkomsten af e-mail phishing. Visse mærker er populære hos virksomhederne, og de bruges konsekvent til at snyde modtagere til at tro, at e-mailen er legitim og udlevere deres personlige oplysninger. Check Point gennemfører regelmæssigt undersøgelser af de mest populære mærker, der anvendes som grundlag for phishing kampagner. Et af de mest forfalskede mærker i 2021 var Microsoft, idet mærket blev brugt i ca. 45 % af phishing kampagner i andet kvartal af 2021.Uægte, lange og omdirigerede URL'er
At holde musen over et link i en e-mail er ikke altid en sikker måde at opdage et skadeligt link på. For nylig er svindlere begyndt at bruge "rogue URL'er' for at skjule den ondsindede karakter af en phishing link. Dette indebærer typisk, at den rigtige adresse på et link skjules ved hjælp af specialtegn. A URL Encoder bruges til at ændre en URL ved at tilføje procenttegn, dvs. ved at starte en URL streng med et %-tegn for at skjule webadressens sande karakter. Disse URL'er accepteres af Google, så det er svært at forhindre dem ved hjælp af filtre til statisk indhold. Meget lang URL'er bruges også til at skjule en ondsindet webadresse. E-mail-links på mobile enheder er notorisk svære at se, og meget lange URL'er gør det endnu sværere at opdage mistænkelige links. Brugen af flere links og omdirigeringer bruges nu også til at forvirre brugerne. A nylig multi-redirect phishing-kampagne førte brugerne gennem en række omdirigeringer, der endte med en Google reCaptcha-side, som til sidst omdirigerede til en forfalsket Office 365-side, hvor login legitimationsoplysninger blev stjålet.Falske sikkerhedssignaler
Folk kan ikke længere stole på, at et websted er troværdigt ved hjælp af sikkerhedssignaler. F.eks. er låsesymbolet, der ses på visse websteder og er forbundet med S'et i slutningen af HTTP, dvs. HTTPS. Dette angiver, at et websted bruger et digitalt certifikat (SSL-certifikat) som et signal om, at det er et sikkert websted. Men det Arbejdsgruppen for bekæmpelse af phishing (APWG) konstaterede, at 82 % af de phishing websteder brugte et SSL-certifikat i 2. kvartal af 2021.Social Engineering-tricks
Alle ovenstående taktikker er understøttet af flere velafprøvede social engineering tricks, der fanger medarbejderne og bringer dem videre til det næste niveau i phishernes kampagne. Det er den social engineering aspekt af phishing der gør det muligt cyberkriminelle bag kampagnen for at kickstarte den proces, der ender i Sådan håndterer du ransomware angreb | MetaCompliance, databrud og andre typer af cyber angreb. Social engineering er en dækkende betegnelse, der bruger en række forskellige teknikker til at manipulere medarbejdernes adfærd; typiske metoder omfatter:- Hastende: En phishing-e-mail eller sms kan indeholde en presserende anmodning om at udføre en opgave. Business Email Compromise (BEC), der anvender phishing-komponenter i angrebet, bruger ofte dette trick. Et eksempel er en falsk e-mail, der kan se ud som om den er fra en højtstående leder med en presserende anmodning om at overføre penge til en ny kunde eller risikere at miste kunden.
- Andre følelsesmæssige udløsende faktorer: Svindlere spiller med folks følelser for at få dem til at udføre opgaver som f.eks. at klikke på et ondsindet link i en e-mail eller give følsomme oplysninger. Nysgerrighed, bekymring for sikkerheden, ønsket om at behage og ønsket om at gøre et arbejde godt bruges alle som phishing-lokkemad.
- Spear phishing og rekognoscering: For at perfektionere deres phishing-angreb kan svindlere bruge spear phishing. Denne målrettede form for phishing ligger bag mange angreb, men den kræver en større indsats fra svindlernes side, da de skaber e-mails, der nøje afspejler den rolle, som den person, der er målet, spiller. For at få spear phishing-mails til at lykkes, foretager svindlere typisk en rekognoscering af målet, inden de udarbejder phishing-kampagnen.