Internethack: phishing och spearphishing förklaras

[ware_item id=33][/ware_item]

nätfiske


Phishing, uttalat fiske, är en socialteknik som är utformad för att stjäla lösenord, kreditkortsuppgifter och annan känslig information. Det slutliga målet är att använda dessa referenser för att få tillgång till ännu mer information, till exempel sociala medier och bankkonton.

En phishing-attack kan utföras via e-post, telefon eller ett textmeddelande och innehåller vanligtvis en länk till en webbplats som kontrolleras av angriparna som uppmanar dig att ange dina inloggningsuppgifter. E-postmeddelandet kan vara utformat så att det ser ut som en vanlig Dropbox- eller Facebook-e-post, till exempel, och länkar till en falsk webbplats som ser ut precis som Dropbox eller Facebook. Du kan hitta många exempel här.

Facebook phishing och andra attacker

Phishing-e-postmeddelanden innehåller ofta oskyldigt klingande innehåll, till exempel "någon nämnde dig på Facebook" eller "Jag delade ett dokument med dig på Dropbox." Anfallaren förväntar dig att du klickar på dessa länkar utan att verifiera deras äkthet och sedan ange dina referenser. Ofta omdirigerar nätfiskewebbplatsen dig tillbaka till inloggningssidan för den verkliga sajten, där du blir ombedd att ange legitimationsuppgifter igen, denna gång legitimt. När du nu är inloggad på själva webbplatsen är hoppet att all misstänksamhet kommer att försvinna.

Under tiden har angriparen samlat och lagrat ditt användarnamn och lösenord och kan använda dem när som helst. Om de har fått tillgång till ditt e-postkonto kan de återställa lösenordet för varje konto som är länkat till din e-postadress och sedan kontrollera dessa också.

Värre är att informationen som finns i din e-postinkorg kan tillåta en angripare att planera den perfekta tiden att komma efter dina finansiella konton, till exempel under en sjukdom eller en lång flykt.

Skräddarsy adresser och phishing-e-post

Angripare använder främst två tekniska knep för att framgångsrikt phish människor - förfalskning av e-post eller telefonsamtal allt annat kretsar kring användningen av god timing, trovärdigt språk och utmärkt design.

E-postadresser och telefonnummer är mycket enkla att förfalska, så du kan inte lita på en e-postadress som påstår sig komma från [email protected] för att verkligen har skickats av Facebook. Många e-posttjänster kommer att leta efter kryptografiska signaturer som bevisar att ett e-postmeddelande skickades från en viss domän, men dessa signaturer är fortfarande inte standard över webben, så att deras frånvaro inte är ett bevis på ett falskt meddelande.

På samma sätt kan ett samtal från ett känt nummer, till exempel från din bank, komma till din telefon. Men det finns inget bevis på att detta samtal verkligen härrör från detta nummer. Om du är osäker på ett falskt nummer eller e-postadress, skriv eller ring tillbaka och vänta på svar.

Falska webbadresser och nätfiskewebbplatser

Förutom att förfalska e-postadresser kommer angripare att registrera webbadresser som härmar efter legitima webbplatser. De gör det ofta genom att byta ut ordningen på bokstäver, till exempel goolge.com. En annan taktik är att registrera oskyldiga domäner och använda legitima klingande domäner som underdomäner, till exempel facebook.com.importantsecurityreview.co.

Eftersom angriparen verkligen är ägaren till dessa underdomäner kan de få ett HTTPS-säkerhetscertifikat för det, vilket gör att webbplatsen verkar vara legitim.

phishing-examplesAttackare kommer att fiska efter dina uppgifter.

Skillnaden mellan phishing och spearphishing

Spearphishing är en phishing-attack riktad särskilt mot dig, snarare än att spridas runt som spam till vilken e-postadress de kan hitta. Dessa phishing-attacker har visat sig vara särskilt fruktbara, eftersom e-postmeddelanden kan riktas personligen och anpassas till ett specifikt sammanhang, eller ofta passar in i en större, sofistikerad attack.

För att använda fiskeanalogin: istället för att släppa ditt bete i havet och vänta på att någon fisk biter följer spearphishing exakt runt en enda fisk och attackerar den individuellt.

Om du till exempel är frilansare kan du hitta en begäran om dina tjänster i din inkorg. Det kan då be dig att ladda upp dina referensbokstäver till en Dropbox-mapp, och i stället för att länka till den här mappen riktas du till en phishing-webbplats. Efter att du har skrivit in ditt lösenord på phishing-webbplatsen kan du komma att omdirigeras till en riktig Dropbox-mapp och aldrig misstänker något fel.

Spearphishing-attacker är mycket vanliga i stora organisationer, där kriminella företag, konkurrenter och regeringar kan rikta in sig på anställda, ofta finns på LinkedIn, för att samla information om organisationen och hitta svaga platser i nätverket.

Spotting en attack och phishing-skydd

Tvåfaktorautentisering kan erbjuda skydd mot vissa phishing-attacker, eftersom det gör det svårt för angriparen att upprepade gånger komma åt ditt konto. Men sofistikerade nätfiskeattacker lagrar inte bara dina referenser utan loggar in på ditt konto samtidigt. På så sätt kan angriparen omedelbart ta reda på om de samlade inloggningsuppgifterna fungerar, och om inte, be dig om lösenordet igen.

Om angripare stöter på en captcha- eller tvåfaktorautentisering kommer de att be dig att ange koden i ett fönster på deras falska webbplats och sedan använda den för att logga in på ditt verkliga konto.

Facebook och vissa andra företag låter dig ladda upp din PGP-nyckel till deras servrar. När du gör det kommer alla e-postmeddelanden du får från Facebook krypteras och signeras, vilket gör det mycket lättare för dig att verifiera deras äkthet. Om någon skulle kunna få tillgång till ditt e-postkonto skulle de inte heller kunna läsa dina meddelanden eller återställa ditt Facebook-lösenord.

Tyvärr är det enda hållbara skyddet mot phishing-attacker sund skepsis, due diligence och en stark medvetenhet. Många organisationer testar sina anställda regelbundet på deras förmåga att upptäcka och undvika phishing-bedrägerier. I företag där cybersäkerhet är av högsta vikt är faller för sådana phishing-test upprepade gånger grunder för uppsägning av anställningen.

Bild: Kluva / Insättningsfoton
Phishing: alexandragl / Insättningsfoton

Internethack: phishing och spearphishing förklaras
admin Author
Sorry! The Author has not filled his profile.