Nätfiske-attacker kan generellt sätt delas i två typer: vanligt och riktat nätfiske. Den första typen är den vanligaste typen av attacker, vanligt nätfiske kan exempelvis handla om att angriparen imiterar en betrodd avsändare eller tar över ett redan kapat konto för att skicka ut stora mängder av e-postmeddelanden till andra mottagare. Tanken med den här typen av attacker är kvantitet över kvalitet. Vi kan likna den här typen av attacker vid trålning. Riktat nätfiske handlar däremot om kvalitet i stället för kvantitet: här har angriparen oftast ett väl definierat och noga utvalt mål med attacken.
Vanligt nätfiske: kvantitet över kvalitet
De här attackerna har sällan ett specifikt mål utan försöker i stället fånga in så många konton och uppgifter som möjligt. Ett vanligt förekommande scenario under dessa attacker är att angriparen uppmanar mottagarna av e-postmeddelandet att uppdatera sitt Office 365-lösenord, att skicka över en viktig handling eller att genomföra en banktransaktion (t.ex. VD-bedrägerier). Advanias Security Operations Center och Threat Intelligence-grupperingar ser dessa typer av e-postmeddelanden nästan varje vecka. Tack vare våra e-postfiltreringssystem och samarbeten med andra säkerhetsaktörer som delar realtidsuppgifter om pågående attacker med varandra är det dock något vi kan hantera. Inte sällan innehåller dessa meddelanden också flera stav- och formateringsfel som ökar chansen att mottagaren uppmärksammar och reagerar på att något inte står rätt till.
Riktat nätfiske: ett tydligt mål med högt värde
Den andra typen av attacker, nämligen riktat nätfiske (spear-phishing, också känd som ”spjutfiske”) är oftast mer avancerad och kräver mer noggrannhet för att kunna upptäckas och hanteras. Den typen av attacken innebär oftast att angriparen har ett definitivt slutmål med attacken och sker mot organisationer som hanterar känslig information med ett högt värde. Organisationer som arbetar som underleverantörer till myndigheter och stora bolag, som lagrar och hanterar information om finansiella transaktioner, eller som arbetar med kritisk infrastruktur eller på annat sätt hanterar stora mängder av känsliga data är de vanligaste målen för den typen av angrepp. Här använder angriparen flera olika metoder för att verka så trovärdig som möjligt. Spoofing[2] eller förfalskning av domännamn, e-postadresser, webblänkar och telefonnummer är några av metoderna som används frekvent av angriparen.
Så skyddar du din verksamhet från Phishing
Förfalskning av avsändar- och domännamnen är ett förekommande fenomen inom riktat nätfiske. E-post funkar som ett nätverk av datorer och system tar emot, bearbetar och skickar vidare olika datapaket mot given destination. Det handlar om avsändar- och mottagsystem samt e-postreläer som hjälper datapaketen att hitta rätt destination och presentera innehåll för slutanvändaren. Sett ur ett tekniskt perspektiv är alltså e-post en samling av olika datorer och tjänster som samarbetar för att leverera tjänsten till sina användare. Och som allt annat som har med datorer, system och tjänster att göra så är det av särskild vikt att uppdatera, säkra och övervaka dessa.
En sårbarhet som existerar i någon av datorer, system eller tjänster kan potentiellt leda till att angriparen har obegränsat åtkomst till viktiga delar av epostsystemet. Det i sin tur leder ofta till att angriparen kan förfalska sin identitet, skicka e-postmeddelanden med organisationens domännamn eller komma åt andras mejlboxar och konversationer.
Ett vanligt sätt att lura till sig mottagarens förtroende är att använda förfalskade domännamn. Den här tekniker utgår på att angriparen använder sig av ett domännamn som liknar ett redan befintligt och betrott namn. Ett exempel på dessa är domännamn där angriparen byter ut bokstäver i namnet eller byter ut toppdomännivå. Exempel på dessa är adresser som ”ekonomi@företagsnanm.se”, ”ekonomi@företgsnamn.se”, ”ekonomi@företagsnamn.info” och ”ekonomi@företagsnamn.biz”. För en mottagare som inte läser noga avsändarens adress kan det se som ut som en betrodd och riktig adress.
Slutligen, ett annat välkänt men något färre använt sätt att lura till sig förtroendet är användning av nätfiske kampanjer i kombination med SMS meddelande som skickas ut till mottagarens telefonnummer. Det handlar om att förutom förfalskningen som sker i avsändarens identitet eller domän så sker det ytterligare en till i fältet för SMS-avsändare. I dagsläget finns det ett stort antal olika lösningar som relativt billigt tillåter skaparen av ett SMS meddelande att uppge valfritt namn, eg. namn på myndigheter och tjänsteleverantörer eller kanske ditt företagsnamn? Målet men den här typen av riktade attacker är att försöka övertyga mottagaren av det skadliga e-postmeddelandet att utföra de steg som efterfrågas i det.
Skyddar multifaktorautentisering mot nätfiske?
Frågan om multifaktorautentisering (MFA) är något som återkommer ganska ofta. Tyvärr finns det en del okunskap om just olika autentiseringslösningar samt hur effektiva de är mot nätfiske-attacker. Kort kan det sägas att multifaktorlösningar inte är effektiva mot inloggningar som sker på webbplatser och system som kontrolleras av angriparen. MFA är ett bra komplement till starka lösenord, men så fort dessa används utanför de betrodda webbplatser och system så tappar de en stor del av sin funktion.
Problemet uppstår när en användare uppger sitt riktiga lösenord och därefter godkänner inloggningen på en skadlig webbplats i sin MFA-app, alternativt skriver in sitt engångslösenord från applikationen. Användaren lagrar vid lyckad inloggning på skadlig webbplats sina sessionsuppgifter på en enhet som tillhör angriparen, vilket kan jämföras med att utföra inloggningen från någon annans dator, till exempel på ett bibliotek.
Starka lösenord och phishing
Ännu en missuppfattning som existerar kring nätfiske är att starka lösenord förhindrar angriparen från att fullborda sin attack. Det stämmer tyvärr inte. Anledningen till det är det samma som för MFA som aktiveras för en skadlig webbplats – angriparen får då tillgång till ditt lösenord. Har inloggningen lyckats så finns det angivna lösenordet nu hos angriparen - och då är inte längre relevant hur starkt det har varit.
E-postfilter och nätfiske
På senare tid har många aktörer på marknaden skapat och tillhandahållit lösningar vars syfte är att upptäcka phishing och andra typer av skadligt mejl, och att blockera dessa innan de levereras till mottagaren. Det i sig höjer definitivt e-postsäkerheten. Det som däremot är viktigt att tänka på då är att angripare sällan står still. E-postfiltren bidrar till en informationsdelning som sker när ett skadligt meddelande har upptäckts. Handlar det däremot om ett nytt slags skadligt beteende eller innehåll, så finns det en risk att e-postfiltret, beroende på uppsättning och konfiguration, inte kommer att känna igen dessa och ändå levererar meddelandet.
Hur kan nätfiske förhindras?
Det bästa sättet att förhindra nätfiske-attacker och att minimera effekten av dessa är att hålla sig uppdaterad om hoten, att hålla god IT-hygien samt att öva och utbilda om risker som nätfiske-attacker medför.
Att hålla sig uppdaterad handlar om att organisationen ständigt uppdaterar sina anställda om pågående attacker och trender samt informerar om hur dessa kan upptäckas och hanteras. Under början av 2022 kunde Advanias Threat Intelligence-gruppering observera hur en stor del av angripare skiftade från att använda Worddokument med skadliga makron till att skicka ut lösenordskyddade ZIP-arkiv. Attackmetoden som gick under namnet ZipExec[3] gick ut på att packa skadlig kod i lösenordskyddade arkiv som inte kan packas upp (vilket är när de annars blir skannade av antivirusmjukvara), men som tillåter exekvering av inbäddade filer vid dubbelklick i arkiven. Senare under samma år skiftade en stor del av angripare över till att använda ISO-avbilder i kombination med skadliga genvägsfiler[4]. Det och mycket annat som händer i cyberdomänen kräver noggrann analys och tydliga instruktioner som skickas ut till och tas del av samtliga inom organisationen. Med hjälp av Advanias Threat Intelligence-tjänst får alla Advanias kunder löpande information om nya trender och attackvektorer som observeras dagligen.
Läs mer om Advanias erbjudanden inom offensiv säkerhet →
God IT-hygien syftar på att systemen som används i organisationen hålls uppdaterade, skyddade och övervakade. Det handlar om såväl klientdatorer och system som servrar och tredjepartstjänster. För att kunna motstå en angripare bör en regelbunden inventering och förvaltning av tjänster och system implementeras och genomföras. Det kan exempelvis uppnås genom regelbunden sårbarhetsskanning och säkerhetsgranskning. Advania samarbetar med flera säkerhetsaktörer på marknaden för att tillhandahålla tjänster som relativt enkelt kan kopplas in i redan befintliga uppsättningar och som vi konfigurerar för att upptäcka och larma om föråldrade och osäkra system.
Övningar och utbildningar för att motstå phishingförsök
Regelbundna övningar tillsammans med workshops och utbildningar är de bästa åtgärderna mot phishingförsök. Genom att med jämna mellanrum testa din verksamhet och dina medarbetare kan du få en verklig bild av hur motståndskraften ser ut. En skarp phishing-övning testar din verksamhets processer och rutiner i ett verklighetsbaserat scenario. Advania Security har gedigen erfarenhet inom området social manipulation och med hjälp av våra tjänster och efterföljande workshops och utbildningar hjälper vi din verksamhet att höja motståndskraften mot riktiga attacker så att du och dina medarbetare kan känna sig trygga.
Skarp övning med riktiga resultat: Advanias Phishingtest
Genom att utsätta verksamheten för en kontrollerad form av phishingförsök kan du enkelt se hur säkerhetsriktlinjer och rutiner fungerar i verkligheten. Målet med tjänsten phishingtest är att ge ett kvitto på hur säkerheten kring e-post ser ut på riktigt.
Källhänvisningar
[1] https://sv.wikipedia.org/wiki/Social_manipulation
[2] https://sv.wikipedia.org/wiki/Spoofing
[3] https://github.com/Tylous/ZipExec
[4] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-of-lnk-shortcut-files-malware
