… og det er din skyld, at spearphishing er så effektivt! Eller dine medarbejderes skyld!
Desværre, men sådan er det! Beklager.
Én ting der går igen i stort set samtlige af de seneste mange IT indbrud, hvor der er stjålet passwords, er metoden hvormed det er sket. Spearphishing kaldes det, og det er det nye indenfor cyberkriminalitet. Metoden bruges til at lokke personlige informationer ud af dig som bruger, eller installere skadeligt software (malware) på din maskine.
Phishing – den gamle måde – er typisk noget med, at du modtager en email fra en “nigeriansk prins”. Prinsen af Nigeria vil have din hjælp til at flytte en stor sum penge ud af landet. Meningen er at du skal lokkes til, frivilligt, at sende forbryderne penge eller personlige oplysninger. De fleste phishing forsøg er heldigvis ret dårligt udført. Den “nigerianske prins” skriver i hvert fald meget dårlig engelsk (eller dansk) og afsender email adressen lugter også af at være noget fup.
Spearphishing er farligere fordi det er bedre og smartere udført. Spearphishingangrebet kommer ikke nødvendigvis på mail, men måske gennem de sociale medier eller som SMS på din telefon. Målet er her, at angriberen vil have dig til at klikke på et link eller en fil, der installerer noget skadeligt software på din computer eller din smartphone.
Du ved naturligvis godt at du ikke skal klikke på noget du ikke ved hvad er, ikke også?
Jo, vil de fleste nok svare. Men når nu det er fra min bank, min bedste ven på Facebook eller en SMS på din telefon, så kan det da ikke være farligt, vel?
Jo, for spearphishing er troværdig phishing… og det er præcis derfor det er farligt for din IT-sikkerhed.
Mennesker er målet for spearphishing
Forskning viser, at grunden til at vi falder i fælder som disse skyldes, at de cyberkriminelle udnytter det, der kaldes “social engineering”, kombineret med, at vi som mennesker benytter os af “kognitiv effektivitet”.
Det kan oversættes til “mest mulig information ved hjælp af mindst mulig hjerneaktivitet”. Vi tager mentale genveje når vi ser velkendte logoer, kendte firmanavne eller kendte sætninger som “Sendt fra min iPhone”.
Dermed antager vi fejlagtigt, at den mail vi lige har modtaget, som har vores banks logo øverst i hjørnet er ægte. Den ser jo ægte ud og der er måske endda ikke nogen stavefejl i den. Derfor klikker vi helt ubevidst på den fil der er vedhæftet uden at tænke nærmere over det.
Sidste men ikke mindst har mediedækningen og den ensidige fokus på, at det kun er computere (PC’ere) der er usikre også affødt en del udbredte misforståelser. For eksempel, at din smartphone ikke kan inficeres med malware. PDF filer er mere sikre end Microsoft Word filer og så videre. Sådan ser virkeligheden bare ikke ud og din MacBook Air kan nemt blive inficeret. Intet der er online er 100% sikret imod at blive inficeret med malware eller virus. Heller ikke din Samsung tablet eller din iPhone.
Vanens magt og nysgerrighed
Vanens magt er også en vigtig faktor når det kommer til spearphishing og IT-sikkerhed. Folk der arbejder med computere, emails og smartphones til hverdag – hvilket er ret mange af os – gør det mere eller mindre på automatpilot.
Spørg en person der kører den samme vej til og fra arbejde hver dag, hvor mange lysreguleringer de skal passere, og de vil ikke kunne svare.
På samme måde er det når brugen af emails og smartphones bliver tilsvarende rutine. Så glemmer vi også nemt at forholde os kritisk til hvilke emails vi bør åbne eller hvilke links eller filer vi skal undlade at klikke på.
Hvis vi ser et link med titlen (lad nu være med at klikke på den):
så er vi tilbøjelige til at klikke på det af ren og skær nysgerrighed. Det endda selvom jeg udtrykkeligt skriver, at du ikke skal klikke på linket.
Jamen… kattekillinger!?!!… fristelsen er ganske enkelt bare for stor (for mange).
Undersøgelser har vist, at 30% åbner phishing mails… 10% klikker på vedhæftede filer. Det er derfor de kriminelle bliver ved at forsøge. Det kan ganske enkelt betale sig.
Hvad kan vi gøre?
Først og fremmest: Vær kritisk med ikke at klikke på alt muligt!
Dernæst sørg for at have stærke, sikre passwords til alt. Jeg har før skrevet en guide om at lave sikre passwords, så læs den hvis du savner inspiration til at stramme op på din IT-sikkerhed.
Hvis du frygter, at dit password er blevet stjålet/lækket gennem nogle af alle de sager, man hører om på nettet, så kan du tjekke det på websitet Have I been pwned? Her kan du indtaste din email adresse og få at vide, om netop din email er blandt de mange, der er blevet hacket. Er din email i blandt, så skift dine passwords med det samme.
Eksisterende tekniske forsvar i form af antivirus, netværksovervågning og firewalls er designet til at stoppe udefrakommende trusler inden de kommer frem til brugerne. Når først en angriber er kommet helt frem til dig, og du tilmeld “frivilligt” har givet vedkommende adgang ved at klikke på noget, du ikke skulle have klikket på, så er der ikke meget at stille op. Angriberen agerer nu som en af dine betroede medarbejdere og kan dermed i vidt omfang undgå at blive opdaget.
Dermed er vi alle – i en eller anden form – det sidste bolværk imod truslerne fra internettet.
PS. Selvom jeg har sagt, at du ikke skal klikke på den kække overskrift længere oppe, så er du nysgerrig. Det kribler i dine fingre for at klikke! Jeg ved det!
PPS: Stop så med at klikke på alt muligt, som du ikke ved hvad er!
2 Comments
CEO Svindel - sådan undgår du at blive snydt for millioner
[…] Vil du læse mere om moderne IT svindel og hvilke metoder de IT-kriminelle anvender, så kan du prøve at læse min artikel omkring spearfishing. […]
4 råd til at undgå ransomware - Sådan sikrer du dig bedst muligt.
[…] har tidligere skrevet en artikel om phishing og hvordan det er en af de største trusler imod IT sikkerheden i dag. Den kan du læse hvis du vil […]