Det har vært en markant økning i vellykkede angrep hvor hackere utgir seg for å være noen du stoler på, med et troverdig budskap. Fenomenet kalles for spear-phishing, og det finnes mange eksempler hvor selskaper har tapt millioner av kroner eller interne IT-ressurser har blitt kompromittert.
Hva er spearphishing?
Hva er spearphishing? Vi har alle hørt om og vært mottakere av e-poster med lovnad om både arv og premier. De fleste av oss ser disse og sletter dem automatisk mens vi tenker: «hvorfor er dette fortsatt en greie? Ingen går vel på noe slikt lenger?». Det er nok ikke mange som gjør det, men når det sendes ut hundretusenvis av e-poster, er det alltid noen som gjør det, og derfor er dette «fortsatt en greie».
Denne måten å lure folk på er som å fiske med tusenvis av bittesmå garn i et stort, åpent hav – noen treffer en fisk og noen klarer til og med å dra i land en fangst. Spearphishing – spydfiske eller målrettet phishing, er motstykket til dette.
Ofte ligger det en del arbeid bak et slikt svindelforsøk, og det kan være vanskelig å oppdage i tide.
Andreas SkaretBudskapet er tilpasset mottakerne på en helt annen måte, språket er ofte mye bedre og innholdet i kommunikasjonen er gjerne relevant og nøye utformet slik at det virker troverdig. Sosial manipulering er et veldig sentralt virkemiddel i denne type svindelforsøk.
Om forfatteren av innlegget
Andreas Skaret har mer enn 18 års erfaring med systemutvikling og sikkerhet. Han har i tillegg lang erfaring med ledelse, forretningsutvikling, smidige metodikker og prosjektledelse i teknologiselskap og som konsulent.
Et tenkt eksempel
Hvordan går en person fram for å gjennomføre et slikt angrep? La oss si at vedkommende ønsker å få tilgang til butikkjeden A-Sport sine systemer. Informasjon om ledelsen i A-Sport er enkel for angriperne å finne. Det gjør dem til en god kandidat som falsk avsender.
Hva er så riktig sted å angripe denne butikkjeden? Det er neppe toppledelsen, men de som driver butikkene – dette er travle mennesker som har 30 minutter om morgenen til å sjekke e-post, eller kanskje gjør de det på telefonen mens de er ute i butikken. Navnet på disse personene er også enkelt å finne, de har jo alle sammen en LinkedIn-profil!
Illustrasjon generert av OpenAI DALL·E
Den som skal lage e-posten har sjekket sosiale medier og ser at A-Sport arrangerer en tur på høsten hvert år – mange ansatte har lagt ut bilder på sosiale medier hvor de skryter av sin flotte arbeidsgiver, ledelsen har også fortalt om det i et intervju for litt siden.
E-posten som sendes, ber alle mottakerne svare på en kjapp undersøkelse om hvor de ønsker å legge turen neste gang – fristen for å svare er i morgen! Da er det ikke helt utenkelig at flere bare trykker, logger seg inn og svarer, uten å legge merke til at lenken går til a-sport.nu – og angrepet er i gang.
Eksemplet med A-Sport er veldig enkelt, men dette fungerer overraskende godt. Det er skrevet mye om slike tilfeller, hvor mange millioner kroner har forsvunnet eller interne IT-ressurser har blitt kompromittert. Informasjonen som trengs er svært enkelt tilgjengelig på nettet, spesielt i sosiale medier, og e-poster er enkle å forfalske. I tillegg har generativ AI i senere tid gjort at alle kan være eksperter på alle verdens språk.
Dette er skummelt – hva skal vi gjøre?
Å identifisere spearphishing kan være utfordrende fordi angrepet er skreddersydd for å lure akkurat deg eller din arbeidsgiver. På generelt grunnlag er sikkerhetskulturen på arbeidsplassen avgjørende – og spesielt om du og dine kolleger er en STAR
(les mer i et tidligere nyhetsbrev her: https://www.bouvet.no/bouvet-deler/Tips-til-%C3%A5-bygge-god-sikkerhetskultur)
Spesifikke ting å se etter for å unngå angrep:
-
Sjekk avsenderens e-postadresse nøye. Selv om avsenderen ser ut til å være en kjent kontakt eller organisasjon, bør du sjekke e-postadressen nøye. Se etter små avvik, som stavefeil eller endringer i domenenavnet. Husk at selv om alt er riktig betyr det ikke at e-posten faktisk er sendt av denne personen.
-
Vær skeptisk til vedlegg og lenker. Selv om avsenderen er sjekket OK skal du aldri trykke på lenker uten å ha sjekket dem nøye. Hold musepekeren over den for å se hvor den faktisk leder, og er du på telefonen så vent til du sitter foran PC-en. Er du i tvil så send avsenderen en melding, for eksempel på Slack eller noe annet, for å sjekke autentisiteten.
-
Sjekk språk og tone. Generativ AI har luket bort dårlig formulert språk og skrivefeil – men høres e-posten ut som om den kommer fra vedkommende som tilsynelatende har sendt den?
-
Er det en oppgave som haster? De som driver med spearphishing prøver ofte å skape en følelse av hastverk eller frykt. For eksempel kan de si at kontoen din vil bli stengt hvis du ikke handler umiddelbart, eller som i eksemplet med A-Sport så vil sjefen at du skal svare på noe veldig raskt.
-
Mangler det noe eller ser noe litt rart ut? Detaljer i e-poster, slik som signaturer, logoer og liknende kan mangle eller være annerledes enn vanlig.
Hvis du er i tvil, bør du alltid kontakte avsenderen direkte via en kjent kontaktmetode, som et lagret telefonnummer eller en intern plattform som Slack eller Yammer, i stedet for å svare på e-posten eller bruke kontaktdetaljene i den mistenkelige e-posten.
Vil du lese mer?
Tips til å bygge god sikkerhetskultur og unngå hackere:
I våre tidligere nyhetsbrev om sikkerhet kan du lese mer om god sikkerhetskultur og hvordan du kommer hackere i forkjøpet:
https://www.bouvet.no/bouvet-deler/Tips-til-%C3%A5-bygge-god-sikkerhetskultur
https://www.bouvet.no/bouvet-deler/laer-hvordan-du-kommer-en-hacker-i-forkjopet
Årlig rapport om trusselbildet
I tillegg utgis det årlige rapporter om trusselbildet og vanlige angrepsmåter som er vel verdt å holde seg oppdatert på. En av disse utgis av Splunk og kan lastes ned her (*krever gratis registrering): https://www.splunk.com/en_us/form/ciso-report.html
Informasjon om pågående trusler fra Microsoft
Microsoft publiserer også jevnlig informasjon om nylige og pågående trusler. Lenken nedenfor viser det som er relevant for sosial manipulering:
