Phishing

Introduktion til phishing

Phishing er en form for social engineering. I modsætning til andre cyberangreb, der er direkte rettet mod netværk og ressourcer, bruger social engineering-angreb menneskelige fejl, falske historier og pressetaktik til at manipulere ofrene til utilsigtet at skade sig selv eller deres organisationer. I et typisk phishing-forsøg udgiver en kriminel sig for at være en person, som offeret stoler på, f.eks. en kollega, chef, myndighedsperson eller repræsentant for et velkendt brand. Den kriminelle sender en besked, der beder offeret om at betale en faktura, åbne en vedhæftet fil, klikke på et link eller foretage en anden handling.

Udviklingen og effekten af phishing-angreb

Phishing, et udtryk, der nu er synonymt med cyberkriminalitet, stammer fra et program, der blev udviklet af en teenager i Pennsylvania ved navn AOHell. Denne tidlige malware var rettet mod AOL (America Online), en populær onlinetjeneste i internettets tidlige dage, og brugte mekanismer til at stjæle kreditkortoplysninger og knække adgangskoder, hvilket førte til forstyrrelser i AOL’s tjenester. AOHell-programmet lagde grunden til automatiseret phishing-software og påvirkede efterfølgende phishing-metoder, herunder dem, der blev brugt af Warez-samfundet – en gruppe, der er involveret i hacking og deling af piratkopieret software.

De første dage med phishing

Warez-fællesskabet er krediteret for de første organiserede phishing-angreb, som begyndte i 1996. De gik efter AOL-brugere ved at bruge en algoritme til at generere tilfældige kreditkortnumre. Når de fandt et gyldigt nummer, oprettede de rigtige AOL-konti for at snyde andre brugere. Denne første phishing-ordning udviklede sig til en mere sofistikeret social engineering-taktik, hvor angriberne udgav sig for at være AOL-medarbejdere for at indsamle følsomme oplysninger.

Efter disse tidlige svindelnumre gik phishing-taktikken hurtigt over til e-mail. De første phishing-e-mails varierede fra ikke overbevisende planer, som dem, der involverede falske nigerianske prinser, til mere sofistikerede forsøg som Mimail-virussen i 2003. Mimail-virussen blev distribueret via en e-mail, der hævdede at være fra PayPal, og som opfordrede brugerne til at opdatere deres kreditkortoplysninger. Mange brugere blev vildledt af det overbevisende PayPal-logo og indtastede deres legitimationsoplysninger på et ondsindet websted.

Den menneskecentrerede trussel

Phishing er særligt farligt, fordi det udnytter menneskelig psykologi i stedet for at stole på teknologiske sårbarheder. Angribere behøver ofte ikke at bryde direkte ind i systemer eller overliste cybersikkerhedsværktøjer. I stedet narrer de personer med autoriseret adgang til følsomme oplysninger, hvilket får dem til uforvarende at hjælpe med angrebet.

Phishere kan være alt fra individuelle svindlere til organiserede kriminelle bander, og de kan bruge phishing til forskellige ondsindede formål, herunder identitetstyveri, kreditkortsvindel, pengetyveri, afpresning, overtagelse af konti og spionage. Målene for phishing-angreb omfatter enkeltpersoner, virksomheder og offentlige myndigheder. Et bemærkelsesværdigt eksempel er phishing-angrebet på Hillary Clintons amerikanske præsidentkampagne i 2016, hvor russiske hackere brugte en falsk e-mail med nulstilling af adgangskode til at stjæle tusindvis af e-mails. Selv kampagnens IT-helpdesk blev narret af de falske e-mails.

Moderne phishing-teknikker

Phishing har udviklet sig betydeligt og bruger flere kommunikationsmetoder og sofistikerede teknikker til at narre mål. Moderne phishing-forsøg kan i høj grad ligne legitime virksomheder, hvilket gør det svært at opdage dem uden nøje granskning.

Nogle moderne phishing-teknikker omfatter:

• Angler Phishing: Dette sker via sociale medier, hvor der bruges falske URL’er, instant messages eller falske profiler til at indsamle følsomme oplysninger. Angribere kan også udnytte profiler på sociale medier til at få personlige oplysninger til at forbedre deres manipulation.
• Kloning og domæne-spoofing: Angribere opretter e-mails, der ligner legitime e-mails, ved at bruge nøjagtige kopier af beskeder eller forfalske domænenavne for at få e-mails til at se ægte ud. De udgiver sig ofte for at være store, velkendte virksomheder for at narre brugerne til at udlevere personlige oplysninger.
• Smishing: Denne teknik kombinerer phishing med sms og sender falske sms’er for at indsamle oplysninger som kreditkortnumre eller adgangskoder.
• Spear phishing: Spear phishing er meget målrettet og indebærer, at angriberne indsamler detaljerede oplysninger for at lave personlige e-mails, der ser ud til at komme fra pålidelige kilder.
• Hvalfangst: Denne type phishing er rettet mod medarbejdere på højt niveau eller højt profilerede personer og involverer ofte sofistikeret social manipulation og efterretningsindsamling.
• Vishing: Vishing er en kombination af phishing og VoIP (voice over internet protocol) og indebærer falske telefonopkald med det formål at få fat i følsomme oplysninger.

Kort sagt har phishing udviklet sig fra tidlige programmer som AOHell til komplekse planer, der involverer forskellige kommunikationsmetoder. Truslen er stadig betydelig, fordi den udnytter den menneskelige psykologi, hvilket gør det vigtigt for enkeltpersoner og organisationer at være årvågne og informerede om disse taktikker, der hele tiden udvikler sig.