Vad är en phishing-attack?

”Phishing” syftar till ett försök att stjäla känslig information, vanligtvis i form av användarnamn, lösenord, kreditkortsnummer, bankkontoinformation eller annan viktig data, för att använda eller sälja den stulna informationen. Genom att försöka framstå som en pålitlig källa med en lockande förfrågan, lockar en angripare in offret för att lura dem, på liknande sätt som en fiskare använder bete för att fånga en fisk.

Hur utförs phishing?

De vanligaste exemplen på phishing används för att stödja andra skadliga handlingar, såsom on-path attacker och kors-plats-scripting-attacker. Dessa attacker sker vanligen via e-post eller direktmeddelanden och kan delas in i några allmänna kategorier. Det är användbart att bli bekant med några av dessa olika vektorer för phishing-attacker för att kunna upptäcka dem i det vilda.

Bedrägeri med förskottsbetalning

Denna vanliga e-post-phishing-attack populariserades av e-postmeddelandet om ”nigerianska prinsen”, där en påstådd nigeriansk prins i en desperat situation erbjuder att ge offret en stor summa pengar mot en liten avgift i förväg. Inte överraskande, när avgiften betalas kommer aldrig någon stor summa pengar. Den intressanta historien är att den här typen av bedrägeri har pågått i över hundra år i olika former; den var ursprungligen känd i slutet av 1800-talet som det spanska fånge-bedrägeriet, där en bedragare kontaktade ett offer för att utnyttja deras girighet och sympati. Bedragaren försöker påstås smuggla ut en förmögen spansk fånge, som kommer att belöna offret rikligt som tack för pengarna som ska muta vissa fängelsevakter.

Denna attack (i alla dess former) begränsas genom att inte svara på förfrågningar från okända parter där pengar måste ges för att få något i utbyte. Om det låter för bra för att vara sant, är det förmodligen det. En enkel sökning på Google om ämnet för begäran eller någon av texten i sig själv kommer ofta att visa detaljerna i bedrägeriet.

Falskt kontoavstängningsbedrägeri

Genom att utnyttja den brådska som skapas hos ett offer som tror att ett viktigt konto kommer att stängas av, kan angripare lura vissa personer att lämna över viktig information såsom inloggningsuppgifter. Här är ett exempel: angriparen skickar ett e-postmeddelande som verkar komma från en viktig institution som en bank, och de påstår att offrets bankkonto kommer att avaktiveras om de inte agerar snabbt. Angriparen kommer sedan att begära inloggning och lösenord till offrets bankkonto för att förhindra avstängningen. I en smart version av attacken kommer offret, när informationen har matats in, att hänvisas till den legitima bankwebbplatsen så att inget verkar vara ur spel.

Den här typen av attack kan bemötas genom att gå direkt till webbplatsen för den aktuella tjänsten och se om den legitima leverantören meddelar användaren om samma brådskande kontostatus. Det är också bra att kontrollera URL-fältet och se till att webbplatsen är säker. Alla webbplatser som begär inloggning och lösenord som inte är säkra bör allvarligt ifrågasättas och används nästan undantagslöst inte.

Falsk webbplatsbedrägeri

Den här typen av bedrägeri kopplas vanligtvis ihop med andra bedrägerier som kontoavstängningsbedrägeri. I denna attack skapar angriparen en webbplats som är virtuellt identisk med den legitima webbplatsen för ett företag som offret använder, som en bank. När användaren besöker sidan via olika medel, vare sig det är ett e-postförsök till phishing, en länk i ett forum eller via en sökmotor, når offret en webbplats som de tror är den legitima webbplatsen istället för en falsk kopia. All information som offret anger samlas in för försäljning eller annat skadligt bruk.

I Internetets tidiga dagar var dessa typer av duplicerade sidor ganska lätta att upptäcka på grund av deras dåliga hantverk. I dag kan de bedrägliga webbplatserna se ut som en perfekt kopia av originalet. Genom att kontrollera URL:en i webbläsaren är det vanligtvis ganska lätt att upptäcka ett bedrägeri. Om URL:en ser annorlunda ut än den vanliga ska detta betraktas som mycket misstänkt. Om sidorna listas som osäkra och HTTPS inte är aktiverat är detta en varningsflagg och garanterar i stort sett att webbplatsen antingen är trasig eller en phishing-attack.

Vad är spear phishing?

Denna typ av phishing riktas mot specifika individer eller företag, därav termen spear phishing. Genom att samla in detaljer eller köpa information om ett särskilt mål kan en angripare montera en personlig bedrägeri. Detta är för närvarande den mest effektiva typen av phishing och står för över 90% av attackerna.

Vad är clone phishing?

Clone phishing innebär att efterlikna ett tidigare levererat legitimt e-postmeddelande och modifiera dess länkar eller bifogade filer för att lura offret att öppna en skadlig webbplats eller fil. Till exempel genom att ta ett e-postmeddelande och bifoga en skadlig fil med samma filnamn som den ursprungliga bifogade filen, och sedan skicka e-postmeddelandet igen med en förfalskad e-postadress som verkar komma från den ursprungliga avsändaren kan angripare utnyttja förtroendet för den initiala kommunikationen för att få offret att vidta åtgärder.

Vad är whaling?

För attacker som är riktade specifikt mot höga chefer eller andra privilegierade användare inom företag används ofta termen whaling. Denna typ av attacker riktas vanligtvis med innehåll som troligen kräver offrets uppmärksamhet, såsom rättsliga stämningar eller andra ledningsfrågor.

En annan vanlig vektor för den här typen av attack är bedrägeri-e-postmeddelanden som verkar komma från en ledande befattningshavare. Ett vanligt exempel skulle vara en e-postförfrågan från en VD till någon inom finansavdelningen där de begär omedelbar hjälp med att överföra pengar. Lägre nivåer av anställda luras ibland att tro att betydelsen av förfrågan och personen den kommer från överskuggar behovet av att dubbelkolla förfrågans äkthet, vilket resulterar i att den anställde överför stora summor pengar till en angripare.