Hva Er Phishing - Og Hvordan Forhindre Det

Sara Ismar
By: Sara Ismar Cybersikkerhet | 3 februar

Phishing definisjon

Phishing (også kalt nettfiske eller phiske) er en type angrep der nettkriminelle bruker villedende e-poster for å lokke deg til å gi bort sensitiv informasjon. Denne informasjonen brukes deretter til å få tilgang til viktige kontoer som kan resultere i identitetstyveri og store økonomiske tap. Phishing blir stadig vanligere og angrepene mer sofistikerte, noe som gjør phishing til en av de største sikkerhetsrisikoene en bedrift står ovenfor.  

Innhold 

Phishing-angrep har blitt vanlig

Phishing-angrep viser ingen tegn til å avta. I 2020 var phishing den vanligste formen for nettkriminalitet og fordoblet i hyppighet fra året før. Globalt opplevde over 75 % av bedrifter rundt om i verden en eller annen form for phishing-angrep i 2020. 

Det er ingen tvil om at pandemien har endret landskapet til bedrifter og ført til mye usikkerhet og nye arbeidsvaner som fjernarbeid. I tillegg har nettkriminelle fått lettere tilgang til såkalte “phishing kits” som gjør det enklere å starte et angrep. Med andre ord; aldri før har bedrifter vært mer sårbare for phishing-angrep. 

I dette blogginnlegget går vi gjennom hva phishing er, de typiske kjennetegnene ved et angrep, og de ulike typene phishing du må være oppmerksom på. Deretter går vi inn på hva du kan gjøre for å forhindre at bedriften din blir en del av phishing-statistikken. 

Typiske tegn på en phishing-mail

De fleste vet en mail fra en "nigerianske prins" som tilbyr deg en enorm sum penger er et forsøk på phishing. Men når nettkriminelle bruker taktikker som fremstår oppriktig og utnytter tilliten din kan selv den mest årvåkne personen bli offer for et phishing-angrep! La oss ta en titt på de typiske kjennetegnene en phishing-mail: 

  • E-posten har dårlig grammatikk og inneholder stavefeil. Det mest åpenbare tegnet på en phishing-mail er feil bruk av grammatikk og dårlig staving. De fleste selskaper bruker autokorrektur og stavekontrollverktøy utgående e-poster, så vær forsiktig når du mottar en e-post med masse skrivefeil. 

  • E-posten er uvanlig. Hvis forespørselen i e-posten er utenom det vanlige, og ikke ifølge normen i bedriften din bør du vær skeptisk. Et eksempel kan være hvis noen i IT-avdelingen din sender deg en e-post angående installasjon av programvare når dette vanligvis håndteres på en annen måte. 

  • E-posten krever at det handles raskt. Phishing-e-poster bruker ofte trusler eller gir deg en følelse av at det haster. Det får deg til å reagere raskt, før du rekker å tenke rasjonelt. De fem mest brukte emnelinjene i phishing-angrep i 2019  var ordene haster, forespørsel, viktig, betaling eller oppmerksomhet. 

  • E-posten inneholder mistenkelige vedlegg. Phishing-e-poster inneholder vanligvis skadelige vedlegg eller hyperlenker til skadelige nettsteder. Ett impulsivt klikk senere og enheten din er infisert, eller du har overlevert personlig identifiserbar informasjon, kredittkortdetaljer eller passord til den nettkriminelle. 

  • E-posten er for god til å være sann. Som eksemplet med den nigerianske prinsen, hvis e-posten oppfordrer deg til å klikke på en lenke eller åpne et vedlegg for å løse inn en belønning av en eller annen art, er det mest sannsynlig et phishing-forsøk. Hvis noe høres for godt ut til å være sant, er det sannsynligvis fordi det er det. 

Smart CTA_phishingcase NO

Phishing-mail er ofte rettet mot ansatte 

Nettkriminelle har en tendens til å rette seg mot det "svakeste leddet" i selskapet; uten skikkelig opplæring i nettsikkerhet vil dette ofte være dine ansatte. Under er et eksempel på en phishing-e-post som har som formål å dra nytte av dine ansattes tillit til og respekt for autoritet. E-posten informerer de ansatte om en "ny evakueringsplan" grunnet endrede myndighetsbestemmelser, og den ansatte blir gitt en kort frist til å lese og signere planen ved å klikke på den inkluderte hyperlenken. 

Hva er et phishing kit? 

En av grunnene til at phishing-angrep har blitt vanlig er tilgangen på phishing-kits. Et phishing-kit er en samling programvareverktøy som gjør det enkelt for nettkriminelle, uavhengig av deres tekniske ferdigheter, å lansere en phishing-kampanje. Phishing-kits kommer nemlig komplett med e-postmaler, grafikk og skript som kan brukes til å lage overbevisende imitasjoner av legitime nettsteder. Så lenge phishing-kits eksisterer på det mørke nettet, vil phishing-angrep sannsynligvis bare fortsette. 

Berømte phishing-angrep

Noen phishing-angrep har skapt store overskrifter. Eksemplene nedenfor illustrerer hvordan selv de mest teknologikyndige selskapene kan bli ofre for phishing-e-poster – og enda viktigere, de viser hvordan angrepene kunne vært forhindret hadde selskapene vært mer proaktive når det gjaldt å skape bevissthet rundt phishing. 

For noen år siden ble Facebook og Google offer for et phishing-angrep som kostet dem mer enn 100 millioner dollar. En nettkriminell opprettet et falskt selskap som utga seg for å være leverandør av datadeler tilknyttet teknologigigantene, og sendte phishing-e-poster til bestemte ansatte som fakturerte dem for varer og tjenester.

Et annet eksempel er Sony Pictures, der ansatte mottok phishing-mail som så ut til å komme fra Apple. Ofrene ble bedt om å skrive inn Apple-ID-en sin i et falskt skjema, og dette ga den netkriminelle mulighet til å finne ut påloggingsinformasjonen deres på Sony-nettverket. Angrepet kostet selskapet mer enn 100 terabyte av selskapsdata, inkludert økonomiske dokumenter og kundedata.

Consequences of phishing - Infographic

Ulike typer phishing

Spyd-phishing, vishing, smishinglisten fortsetter. Phishing har utviklet seg til mange former. De varierer ut ifra hvem som er målet for angrepet og hvilken metode som blir brukt for å utføre angrepet. Felles for dem alle er imidlertid det samme; å innhente sensitiv informasjon fra offeret. La oss bryte ned de forskjellige formene for phishing-angrep: 

  • Smishing  

  • Vishing 

  • CEO-svindel

  • Spyd-phishing 

  • Whaling 

  • Barrel-phishing  

  • Pharming 

Smishing - nettfiske via tekstmeldinger

Smishing er phishing via tekstmeldinger. I likhet med phishing gir tekstmeldingen deg en følelse av at det haster, og ser ut til å komme fra en pålitelig kilde. Den inneholder en URL-kobling, som tar deg til et phishing-verktøy som ber deg oppgi privat informasjon. Her er et eksempel på et VISA kredittkort smishing-angrep.

Vishing - nettfiske via telefonsamtaler

Har du noen gang mottatt en telefon fra noen som sier de ringer fra Microsoft? Da har du ha blitt utsatt for vishing eller voice-phishing. Det er lett å tenke at "ingen faller for noe sånt", men du vil bli overrasket over hvor mange som lar seg overbevise til å installere programvare (som virkelig er skadelig programvare) etter litt overtalelse og en forfalsket telefon ID. Sjekk ut eksempler på vanlige vishing-angrep her.  

CEO svindel - utgi seg for å være en bedriftsleder

CEO-svindel, også kjent som ledelses-svindel, er en type nettkriminalitet der angriperen utgir seg for å være administrerende direktør, finansdirektør eller en annen bedriftsleder via mail. Det fungerer fordi det utnytter tilliten din til autoritetsfigurer, og får deg til å utføre forespørselen uten å tenke deg om. 

Spyd-phishing - angrep rettet mot bestemte ansatte

Spyd-phishing er en målrettet form for phishing. I stedet for å sende ut en generisk mail, bruker den nettkriminelle tid på å undersøke ens offer for å tilpasse mailen og dermed virke mer troverdig for mottakeren, enten det er enkeltperson eller en hel avdeling i et selskap. Dette krever mer forarbeid for den nettkriminelle, men det fører gjerne til bedre gjennomslag fordi folk ikke er på vakt når mailen ser ut til å komme fra noen som kjenner dem. 

Whaling - angrep rettet mot toppledere 

Whaling, eller whale-phishing, er en form for spyd-phishing rettet mot de «store fiskene» som administrerende direktører eller andre høyprofilerte personer. Nettkriminelle drar nytte av den offentlig tilgjengelige informasjonen om disse personene for å skreddersy phishing-mailen. For eksempel kan en whaling-mail forklare at selskapet står i fare for å bli saksøkt eller at dens omdømme henger i en tynn tråd på grunn av en offentlig hendelse eller en beslutning tatt av direktøren. For aktuelle eksempler på whaling, sjekk ut denne bloggen.

Barrel phishing - å sende en "uskyldig" mail før phishing-mailen

Denne taktikken, også kalt “double-barreling”, innebærer at det sendes to separate mailer. Den første mailen er lokkeagnet, og den andre inneholder det skadelige vedlegget. Den første mailen kan se ut som om den kommer fra kollegaen din og kan se slik ut: «Hei, er du på kontoret? Kan du gjøre meg en rask tjeneste Hensikten med denne uskyldige e-posten er å etablere tillit og troverdighet, slik at du blir mindre mistenksom. Deretter mottar du den andre oppfølgings-mailen. Den kan for eksempel lyde slik: "Hei igjen, kan du se igjennom denne rapporten så fort som mulig?" Denne mailen inneholder en skadelig link, som tar deg til et falskt nettsted. 

Pharming 

Pharming vil si at den nettkriminelle omdirigerer nettstedforespørselen din til et nettsted som ser ut som det virkelige nettstedet, som f.eks. bankens nettsted, uten at du vet om det. På denne måten kan den nettkriminelle få opplysninger om påloggingsdataene dine, og kan bruke disse for å få tilgang til kontoen din. I motsetning til phishing hvor angrepet skjer via elektronisk kommunikasjon, skjer pharming direkte i nettleseren. Hvordan virker dette? Enkelt sagt manipulerer de nettkriminelle domenenavnsystemet (DNS), som er det systemet som kobler nettlesere til nettsteder. Derfor er denne formen for angrep ekstremt sofistikert og vanskelig å oppdage. 

Hvordan beskytte seg mot phishing

Så hvordan unngår du å bli offer for phishing? To konkrete tiltak som bidrar til å beskytte bedriften din mot phishing er sandboxing og penetrasjonstesting med simuleringer. Når det er sagt er det mennesker som er målet for phishing-forsøk, og derfor må mennesker være det primære forsvaret mot dem! Dermed blir bevissthet rundt phishing og en god sikkerhetskultur det viktigste du gjør for å forhindre phishing-angrep i bedriften din.  

How to prevent Phishing - Infographic

Sandboxing inbound email 

"Sandboxing" er en proaktiv forsvarsteknikk som IT-sikkerhetsavdelingen din kan implementere. Det innebærer å sjekke sikkerheten av upålitelige e-poster, URL-er eller vedlegg i et isolert testmiljø, før de når nettverket eller e-postserveren din. Denne teknikken gir et ekstra beskyttelseslag på toppen av de tradisjonelle filtrene som skanner innkommende e-poster. 

Pen-testing med phishing-simulering 

Penetrasjonstesting, eller pen-testing, går ut på og teste organisasjonens beredskap mot phishing. En måte å gjøre dette på er ved hjelp av simulerte phishing-angrep der de ansatte kan trene ferdighetene sine i å oppdage falske e-poster. Du kan implementere denne øvelsen på egenhånd, eller jobbe med en ekstern treningspartner (som oss), avhengig av målene dine. Resultatene hjelper deg med å identifisere svake punkter og deretter utarbeide strategier for videre opplæring.

Bevissthet rundt phishing

Når du lærer å gjenkjenne tegnene på phishing kan du beskytte deg selv og bedriften din mot angrep. Derfor er bevissthet rundt phishing kritisk når det gjelder forebygging. Et enkelt lynkurs er imidlertidig ikke nok. Kontinulerlig opplæring er avgjørende for å skape et bevisst team, særlig fordi phishing-angrep stadig endrer seg. Ved å kombinere simulering med bevissthetstrening hjelper du ditt team til å bli en sterk forsvarslinje. Bevissthetstrening kan skje via digital e-læring eller fysisk undervisning, eller en blanding av begge.

Skap en god sikkerhetskultur

Sist men ikke minst, sørg for å skape en sikkerhetskultur som oppmuntrer dine ansatte til å prioritere cybersikkerhet og si ifra hvis noe ikke stemmer. Sørg for at du har en prosedyre på plass skulle bedriften din bli utsatt for et angrep, og at teamet ditt vet hvem de skal henvende seg til. En av de mange fordelene med phishing-simulering er muligheten til å etablere denne prosessen og definere roller og forventninger.  

I tillegg bør du oppmuntre teamet ditt til alltid å be om hjelp hvis de er i tvil, og ikke være redd for å gjøre feil. På den måten føler medarbeiderne dine seg trygge til å rapportere hvis uhellet er ute, og en phishing-mail har blitt klikket på. Resultatet er at relevante tiltak kan iverksettes raskere, og skadene kan reduseres betydelig. 

Til slutt, belønn medarbeidere som rapporterer phishing-mail. En måte er å vise frem "dagens fangst". For å hjelpe teamet ditt til å praktisere gode digitale vaner og være på vakt kan du også laste ned våre plakater om cybersikkerhet, og henge dem opp på kontoret!

Tilslutt

I dette blogginnlegget har vi dekket hva phishing er, og hvorfor det er en av de største sikkerhetstruslene bedrifter står ovenfor i dag. Vi har vist at det finnes ulike typer phishing, og at alle i organisasjonen kan bli utsatt for phishing-angrep. Derfor har det aldri vært viktigere å skape bevissthet rundt phishing via opplæring i nettsikkerhet. Ved å skape et “menneskelig skjold” reduserer du sjansene betraktelig for at bedriften din blir phiskerens fangst!