Når hackere fisker med personlig agn

Det har vært en markant økning i vellykkede angrep hvor hackere utgir seg for å være noen du stoler på, med et troverdig budskap. Fenomenet kalles for spear-phishing, og det finnes mange eksempler hvor selskaper har tapt millioner av kroner eller interne IT-ressurser har blitt kompromittert.

Andreas Skaret

Trykk på taggene for å lese mer om hvor og hvordan vi benytter samme fag og teknologi


Hva er spearphishing? 

Hva er spearphishing? Vi har alle hørt om og vært mottakere av e-poster med lovnad om både arv og premier. De fleste av oss ser disse og sletter dem automatisk mens vi tenker: «hvorfor er dette fortsatt en greie? Ingen går vel på noe slikt lenger?». Det er nok ikke mange som gjør det, men når det sendes ut hundretusenvis av e-poster, er det alltid noen som gjør det, og derfor er dette «fortsatt en greie».

Denne måten å lure folk på er som å fiske med tusenvis av bittesmå garn i et stort, åpent hav – noen treffer en fisk og noen klarer til og med å dra i land en fangst. Spearphishing – spydfiske eller målrettet phishing, er motstykket til dette.

Ofte ligger det en del arbeid bak et slikt svindelforsøk, og det kan være vanskelig å oppdage i tide.

Andreas Skaret

Budskapet er tilpasset mottakerne på en helt annen måte, språket er ofte mye bedre og innholdet i kommunikasjonen er gjerne relevant og nøye utformet slik at det virker troverdig. Sosial manipulering er et veldig sentralt virkemiddel i denne type svindelforsøk. 

Andreas Skaret.png

Om forfatteren av innlegget

Andreas Skaret har mer enn 18 års erfaring med systemutvikling og sikkerhet. Han har i tillegg lang erfaring med ledelse, forretningsutvikling, smidige metodikker og prosjektledelse i teknologiselskap og som konsulent.

 

Et tenkt eksempel

Hvordan går en person fram for å gjennomføre et slikt angrep? La oss si at vedkommende ønsker å få tilgang til butikkjeden A-Sport sine systemer. Informasjon om ledelsen i A-Sport er enkel for angriperne å finne. Det gjør dem til en god kandidat som falsk avsender.

Hva er så riktig sted å angripe denne butikkjeden? Det er neppe toppledelsen, men de som driver butikkene – dette er travle mennesker som har 30 minutter om morgenen til å sjekke e-post, eller kanskje gjør de det på telefonen mens de er ute i butikken. Navnet på disse personene er også enkelt å finne, de har jo alle sammen en LinkedIn-profil!

butikkeier.png
Bjørn butikksjef som svarer på en e-post fra sjefen 
Illustrasjon generert av OpenAI DALL·E 

Den som skal lage e-posten har sjekket sosiale medier og ser at A-Sport arrangerer en tur på høsten hvert år – mange ansatte har lagt ut bilder på sosiale medier hvor de skryter av sin flotte arbeidsgiver, ledelsen har også fortalt om det i et intervju for litt siden.

E-posten som sendes, ber alle mottakerne svare på en kjapp undersøkelse om hvor de ønsker å legge turen neste gang – fristen for å svare er i morgen! Da er det ikke helt utenkelig at flere bare trykker, logger seg inn og svarer, uten å legge merke til at lenken går til a-sport.nu – og angrepet er i gang.

Eksemplet med A-Sport er veldig enkelt, men dette fungerer overraskende godt. Det er skrevet mye om slike tilfeller, hvor mange millioner kroner har forsvunnet eller interne IT-ressurser har blitt kompromittert. Informasjonen som trengs er svært enkelt tilgjengelig på nettet, spesielt i sosiale medier, og e-poster er enkle å forfalske. I tillegg har generativ AI i senere tid gjort at alle kan være eksperter på alle verdens språk.

Dette er skummelt – hva skal vi gjøre? 

Å identifisere spearphishing kan være utfordrende fordi angrepet er skreddersydd for å lure akkurat deg eller din arbeidsgiver. På generelt grunnlag er sikkerhetskulturen på arbeidsplassen avgjørende – og spesielt om du og dine kolleger er en STAR 

(les mer i et tidligere nyhetsbrev her: https://www.bouvet.no/bouvet-deler/Tips-til-%C3%A5-bygge-god-sikkerhetskultur

Spesifikke ting å se etter for å unngå angrep:

  1. Sjekk avsenderens e-postadresse nøye. Selv om avsenderen ser ut til å være en kjent kontakt eller organisasjon, bør du sjekke e-postadressen nøye. Se etter små avvik, som stavefeil eller endringer i domenenavnet. Husk at selv om alt er riktig betyr det ikke at e-posten faktisk er sendt av denne personen. 

  1. Vær skeptisk til vedlegg og lenker. Selv om avsenderen er sjekket OK skal du aldri trykke på lenker uten å ha sjekket dem nøye. Hold musepekeren over den for å se hvor den faktisk leder, og er du på telefonen så vent til du sitter foran PC-en. Er du i tvil så send avsenderen en melding, for eksempel på Slack eller noe annet, for å sjekke autentisiteten. 

  1. Sjekk språk og tone. Generativ AI har luket bort dårlig formulert språk og skrivefeil – men høres e-posten ut som om den kommer fra vedkommende som tilsynelatende har sendt den? 

  1. Er det en oppgave som haster? De som driver med spearphishing prøver ofte å skape en følelse av hastverk eller frykt. For eksempel kan de si at kontoen din vil bli stengt hvis du ikke handler umiddelbart, eller som i eksemplet med A-Sport så vil sjefen at du skal svare på noe veldig raskt. 

  1. Mangler det noe eller ser noe litt rart ut? Detaljer i e-poster, slik som signaturer, logoer og liknende kan mangle eller være annerledes enn vanlig. 

Hvis du er i tvil, bør du alltid kontakte avsenderen direkte via en kjent kontaktmetode, som et lagret telefonnummer eller en intern plattform som Slack eller Yammer, i stedet for å svare på e-posten eller bruke kontaktdetaljene i den mistenkelige e-posten. 

Vil du lese mer? 

Tips til å bygge god sikkerhetskultur og unngå hackere:

I våre tidligere nyhetsbrev om sikkerhet kan du lese mer om god sikkerhetskultur og hvordan du kommer hackere i forkjøpet: 

https://www.bouvet.no/bouvet-deler/Tips-til-%C3%A5-bygge-god-sikkerhetskultur 

https://www.bouvet.no/bouvet-deler/laer-hvordan-du-kommer-en-hacker-i-forkjopet 

Årlig rapport om trusselbildet

I tillegg utgis det årlige rapporter om trusselbildet og vanlige angrepsmåter som er vel verdt å holde seg oppdatert på. En av disse utgis av Splunk og kan lastes ned her (*krever gratis registrering): https://www.splunk.com/en_us/form/ciso-report.html 

Informasjon om pågående trusler fra Microsoft 

Microsoft publiserer også jevnlig informasjon om nylige og pågående trusler. Lenken nedenfor viser det som er relevant for sosial manipulering: 

https://www.microsoft.com/en-us/security/blog/threat-intelligence/social-engineering-phishing/?sort-by=newest-oldest&date=any