Phishing-angreb: Hvorfor tænker vi ikke efter, før vi klikker?

Phishing-angreb handler lige så meget om at manipulere menneskelig adfærd som om teknologi. Dette udsagn er et godt eksempel på, hvorfor det er så svært at forhindre phishing-kampagner, der resulterer i ransomware, stjålne legitimationsoplysninger og andre cyberangreb.

Tilbage i 1970'erne var der en kampagne om spritkørsel med sloganet "Tænk, før du drikker, før du kører". Det var en effektiv kampagne, som bidrog til at reducere antallet af spritrelaterede ulykker i Det Forenede Kongerige. Det er ikke så let, som det lyder, at få folk til at "tænke", før de handler. Faktisk er det ikke at tænke og reagere i knæet på en e-mail, som phishing-kampagnerne er afhængige af. Phishing er en alvorlig sag, og en nyere rapport viser, at 95 % af it-cheferne mener, at data er i fare på grund af e-mailkanalen. 

Så hvordan kan den gennemsnitlige virksomhed håbe på at være lige så succesfuld som 70'ernes kampagne for spritkørsel, når det gælder om at imødegå de tricks, som cyberkriminelle har i ærmet?

Phishing-angreb og menneskelig adfærd

Denne vanskelighed med forebyggelse afspejles i phishing-angrebets vellykkede karakter: I perioden før pandemien i 2019 var phishing-statistikkerne forfærdelige, og forsikringsselskabet Beazley konstaterede en stigning på 105 % i ransomware-angreb i 1. kvartal 2019. Men i 2020 gik phishing-angreb ud over skalaen. FBI offentliggjorde en rapport , der viste, at phishing var langt den mest udbredte af de forbrydelser, der blev rapporteret til deres klageafdeling, IC3. En af drivkræfterne bag phishing-succesen i de sidste 12 måneder har været Covid-19-pandemien, som gav phishere muligheder i massevis for at udnytte menneskelig adfærd: Dette fremgår af en svimlende stigning på 30.000 % i Covid-19-baserede trusler i løbet af 2020; de fleste af disse angreb brugte ondsindede websteder og phishing-e-mails.

Phishing (og dens varianter, Vishing/Smishing/Pharming) er en udbredt angrebsvektor, fordi teknikken virker. Den fungerer, fordi den udnytter naturlig menneskelig adfærd til at udføre en handling, der er til fordel for den cyberkriminelle bag angrebet. At være i stand til at manipulere en legitim person til at udføre en ulovlig handling er kendetegnende for svindel, selv før de moderne teknologier kom frem. Men teknologien kan også gøre selv kyndige brugere til narkomaner, da teknologibrugsmønstre bliver "fastkodet", efterhånden som vi bliver fortrolige med et system. 

E-mail er f.eks. en dagligdags teknologi, som vi bruger konstant. I 2020 blev der dagligt sendt og modtaget 306,4 millioner e-mails. At åbne en e-mail og klikke på et link er nærmest en anden natur, en knæhastighedsadfærd i forbindelse med en almindelig opgave. Det er denne gentagelse og den manglende eftertænksomhed, der er nødvendig for at handle, som phisherne fokuserer på.

5 typiske kendetegn ved phishing

Phishing-angreb ønsker at fange folk, før de tænker for meget over det. For at gøre dette skal kampagnerne sikre, at visse kriterier er opfyldt, og at omstændighederne er optimeret:

1. Troværdig kilde: En måde at fjerne tankeprocessen på er at få modtageren af e-mailen til at føle sig sikker. Phishing-kampagner vil typisk udgive sig for at være kendte mærker. I en undersøgelse af, hvilke mærker der bruges af phishere, kommer Microsoft gentagne gange frem som et af phishernes foretrukne mærker til at forfalske. Andre forfalskede mærker omfatter Netflix og PayPal.
2. Klikets lokkemad: Selv om 79 % af folk siger, at de kan genkende en phishing-e-mail, vil næsten halvdelen alligevel klikke på et link i en mistænkelig e-mail. Årsagerne til denne adfærd skyldes sandsynligvis den implicitte træning, vi alle har gennemgået i at bruge internetegnet indhold. At klikke er næsten en pavlovsk reaktion, når en e-mail indeholder et link. Designere af brugeroplevelser (UX) har brugt denne form for konditionering til at hjælpe folk med at bruge teknologi lettere; cyberkriminelle bruger den samme psykologiske manipulation til at få os til at klikke på et phishing-link for at starte næste fase af phishingen.
3. Ledelse efter opgave: At holde e-mailen fokuseret på en simpel opgave hjælper med at fjerne tankeprocessen. Gentagende og genkendelige opgaver som f.eks. nulstilling af adgangskoder er en af phishernes favoritter. Dette gør det muligt at foretage det vigtige "klik" uden at tænke alt for meget over de mulige konsekvenser. Hvis opgaven er arbejdsrelateret, er det mere sandsynligt, at der bliver klikket og phishingbegivenheden iværksat.
4. Det haster: Ofte vil phishing-e-mails indeholde en eller anden form for drivkraft for at fremkalde auto-klik-adfærd. Disse drivkræfter er ofte truslen om en disciplinering eller en bekymring over en handling, f.eks. at betale en regning. Nogle phishing-kampagner er meget målrettede (Spear phishing). Den falske administrerende direktør sender derefter en e-mail til regnskabsafdelingen med en presserende anmodning om at overføre penge til en bankkonto. Kontoen er naturligvis ejet af en svindler.  
5. Overbebyrdet: En undersøgelse af hospitaler, der var mål for phishing-kampagner, konkluderede, at overbelastede medarbejdere var mere tilbøjelige til at klikke på et phishing-link. Hvis du ikke har tid til at tænke dig om, vil du som standard reagere automatisk.

En bemærkning om spear phishing-angreb. Denne form for phishing kræver et dybere niveau af rekognoscering for at kunne levere mere overbevisende phishing-e-mails til målet. Dette detaljeringsniveau gør spear phishing-e-mails endnu sværere at opdage for medarbejderne. Derfor steg spear-phishing-e-mailangreb med 667 % under Covid-19-pandemien.

Sådan får du en medarbejder til at klikke på et phishing-link

Cyberkriminelle er mesterlige til at skabe betingelserne for en vellykket phishing-kampagne. De bruger alle kneb for at få en bruger til at klikke, f.eks. falske, troværdige mærker, for at gøre brugeren til en nem lokkemad. Et eksempel på dette var et Office 365 phishing-rus i 2020. Den havde alle de elementer, der manipulerer brugerne til at klikke, før de tænker sig om:

• Der blev sendt falske e-mails, der lignede Microsoft Office 365, ud til medarbejderne. 
• E-mailen havde titlen "COVID-19 Training for Employees":Medarbejderne blev opfordret til at følge e-mailen af arbejdsmæssige årsager.
• Modtagerne af e-mailen blev bedt om at klikke på et link i e-mailen, som førte dem til en falsk Office 365-loginside: siden lignede en rigtig Office 365-side.
• En bruger blev bedt om at indtaste sine Office 365-oplysninger for at logge ind og modtage certifikatet. Hvis de gjorde det, blev disse legitimationsoplysninger stjålet og derefter brugt til at logge ind på den rigtige Office 365-portal.

Sådan forhindrer du en medarbejder i at klikke på et phishing-link

Forebyggelse af fastkodet adfærd kræver specialuddannelse i bevidsthed. Teknologer har designet systemer til at være nemme at bruge og gøre det let at klikke, men denne automatiske klikreaktion skal brydes for at forhindre phishing-succes. Ved at tilbyde en velgennemtænkt, kontrolleret phishing-test kan en organisation være med til at ændre den adfærd, som cyberkriminelle er afhængige af. Simulerede phishing-tests skaber et sikkert miljø til at træne brugerne i de subtile måder, som phishere manipulerer deres adfærd på, så de kan holde øje med disse tricks. Som en del af et bredere sikkerhedsbevidsthedsprogram er phishing-simulering effektiv til at forhindre phishing-succes, der resulterer i stjålne legitimationsoplysninger, eksponering af data og ransomware-infektion.