Phishing-attacker: Varför tänker vi inte innan vi klickar?

Phishing-attacker handlar lika mycket om att manipulera mänskligt beteende som om teknik. Det här uttalandet visar varför det är så svårt att förhindra nätfiskekampanjer som leder till utpressning, stulna inloggningsuppgifter och andra cyberattacker.

På 1970-talet fanns det en kampanj för rattfylleri med mottot "Tänk innan du dricker, innan du kör". Det var en effektiv kampanj som bidrog till att minska de alkoholrelaterade trafikolyckorna i Storbritannien. Det är inte så lätt att få folk att tänka innan de agerar. Faktum är att det är just att man inte tänker utan reagerar genast på ett e-postmeddelande som nätfiskekampanjerna förlitar sig på. Phishing är en allvarlig sak, och en färsk rapport visar att 95 % av IT-cheferna anser att data riskeras av e-postkanalen. 

Så hur kan ett genomsnittligt företag hoppas på att vara lika framgångsrikt som 70-talets kampanj för rattfylleri när det gäller att motverka de trick som cyberkriminella har i rockärmen?

Phishing-attacker och mänskligt beteende

Denna svårighet att förebygga återspeglas i hur framgångsrika phishing-attackerna är: Före pandemin 2019 var statistiken över nätfiske skrämmande, och försäkringsbolaget Beazley konstaterade en 105-procentig ökning av attacker med utpressningstrojaner under första kvartalet 2019. Men 2020 gick nätfiskeattackerna över gränsen. FBI publicerade en rapport som visade att nätfiske var det överlägset vanligaste brottet som rapporterades till dess klagomålsavdelning, IC3. En av drivkrafterna bakom phishingframgångarna under de senaste 12 månaderna har varit Covid-19-pandemin, som gav möjligheter i överflöd för phishers att utnyttja mänskligt beteende: detta framgår av en häpnadsväckande ökning med 30 000 % av Covid-19-baserade hot under 2020; de flesta av dessa attacker använde sig av skadliga webbplatser och phishingmejl.

Phishing (och dess varianter, Vishing/Smishing/Pharming) är en vanlig angreppsmetod eftersom tekniken fungerar. Den fungerar eftersom den använder sig av naturligt mänskligt beteende för att utföra en handling som gynnar den cyberkriminella som står bakom attacken. Att kunna manipulera en legitim person till att utföra en olaglig handling är ett kännetecken för bedrägerier, även innan den moderna tekniken kom till. Tekniken kan dock göra även kunniga användare till en fåntratt, eftersom användningsmönster blir "fast inprogrammerade" när vi blir bekanta med ett system. 

E-post är till exempel en vardagsteknik som vi använder kontinuerligt. År 2020 skickades och mottogs 306,4 miljoner e-postmeddelanden dagligen. Att öppna ett e-postmeddelande och klicka på en länk är nästan en andra natur, ett knäböjande beteende för en vanlig uppgift. Det är denna upprepning och bristen på tankeverksamhet som är nödvändig för att agera som är det som nätbedragaren fokuserar på.

5 typiska kännetecken för nätfiske

Phishing-attacker vill fånga upp människor innan de tänker för mycket. För att göra detta måste kampanjerna se till att vissa kriterier uppfylls och att omständigheterna optimeras:

1. Trovärdig källa: Ett sätt att få bort tankeprocessen är att få e-postmottagaren att känna sig trygg. Phishing-kampanjer maskerar sig vanligtvis som välkända varumärken. I en granskning av vilka varumärken som används av phishers kommer Microsoft upprepade gånger i topp som ett av phishers favoritvarumärken att förfalska. Andra förfalskade varumärken är Netflix och PayPal.
2. Klickens lockelse: Även om 79 % av alla säger att de kan känna igen ett phishingmejl, klickar nästan hälften ändå på en länk i ett misstänkt mejl. Orsakerna till detta beteende beror troligen på den implicita utbildning vi alla har genomgått för att använda Internet-anpassat innehåll. Att klicka är nästan en pavlovsk reaktion när ett e-postmeddelande innehåller en länk. UX-designers (User Experience ) har använt sig av denna typ av betingning för att hjälpa människor att använda teknik lättare; cyberkriminella använder samma psykologiska manipulation för att få oss att klicka på en phishing-länk för att starta nästa steg i phishingen.
3. Ledning genom uppgifter: Att hålla e-postmeddelandet fokuserat på en enkel uppgift hjälper till att ta bort tankeprocessen. Upprepade och igenkännbara uppgifter, som t.ex. att återställa lösenord, är en favorit för nätfifflare. Detta gör det möjligt att göra det viktiga "klicket" utan att tänka alltför djupt på de möjliga konsekvenserna. Om uppgiften är arbetsrelaterad är det mer sannolikt att klickandet kommer att ske och att nätfiskehändelsen inleds.
4. Det är bråttom: Ofta innehåller phishingmejl någon form av drivkraft för att driva på det automatiska klickbeteendet. Dessa drivkrafter är ofta hotet om disciplinering eller en ökad oro över en åtgärd, t.ex. att betala en räkning. Vissa nätfiskekampanjer är mycket målinriktade (Spear phishing). Den falska VD:n skickar sedan ett e-postmeddelande till redovisningsavdelningen med en brådskande begäran om att överföra pengar till ett bankkonto. Kontot ägs naturligtvis av bedragaren.  
5. Överarbetad: I en undersökning av sjukhus som utsattes för nätfiskekampanjer konstaterades att överarbetad personal var mer benägen att klicka på en nätfiske-länk. Om du inte har tid att tänka kommer du att välja automatiskt svar.

En anmärkning om spear phishing-attacker. Denna typ av nätfiske kräver en djupare nivå av spaning för att leverera mer övertygande nätfiskemejl till målet. Denna detaljnivå gör det ännu svårare för anställda att upptäcka spear phishing-meddelanden. Följaktligen ökade spear-phishing e-postattacker med 667 % under Covid-19-pandemin.

Hur du får en anställd att klicka på en nätfiske-länk

Cyberkriminella är skickliga på att skapa förutsättningar för en lyckad phishingkampanj. De använder alla knep för att få en användare att klicka, till exempel genom att förfalskningar av betrodda varumärken, för att göra användaren till ett lätt lockbete. Ett exempel på detta var ett Office 365 phishing-rykte år 2020. Det hade alla element som manipulerar användare att klicka innan de tänker efter:

• De anställda fick falska e-postmeddelanden som såg ut som Microsoft Office 365. 
• E-postmeddelandet hade rubriken "COVID-19 Training for Employees": Deanställda uppmanades att ta del av e-postmeddelandet av arbetsskäl.
• E-postmottagarna ombads att klicka på en länk i e-postmeddelandet som förde dem till en falsk inloggningssida för Office 365: sidan såg identisk ut med en riktig Office 365-sida.
• En användare uppmanades att ange sina Office 365-uppgifter för att logga in och ta emot certifikatet. Om de gjorde det stals dessa uppgifter och användes sedan för att logga in på den riktiga Office 365-portalen.

Hur du hindrar en anställd från att klicka på en nätfiske-länk

För att förhindra fast inprogrammerat beteende krävs specialiserad utbildning i medvetenhet. Teknologer har utformat system för att de ska vara lätta att använda och för att göra det lätt att klicka, men denna automatiska klickreaktion måste brytas för att förhindra att nätfiske lyckas. Genom att tillhandahålla ett väl genomtänkt, kontrollerat phishing-test kan en organisation bidra till att ändra det beteende som cyberkriminella är beroende av. Simulerade phishing-tester skapar en säker miljö för att utbilda användarna i de subtila sätt som phishers manipulerar deras beteende så att de kan se upp för dessa knep. Som en del av ett bredare program för säkerhetsmedvetenhet är simulering av nätfiske effektivt för att förhindra nätfiskeframgångar som resulterar i stulna autentiseringsuppgifter, dataexponering och infektion med utpressningstrojaner.