Nätfiske (Phishing)

Introduktion till nätfiske

Nätfiske är en form av social ingenjörskonst. Till skillnad från andra cyberattacker som direkt riktar in sig på nätverk och resurser använder sig social engineering-attacker av mänskliga misstag, falska historier och påtryckningar för att manipulera offren att oavsiktligt skada sig själva eller sina organisationer. I ett typiskt phishing-försök utger sig en brottsling för att vara någon som offret litar på, t.ex. en kollega, chef, myndighetsperson eller representant för ett välkänt varumärke. Brottslingen skickar ett meddelande där offret uppmanas att betala en faktura, öppna en bifogad fil, klicka på en länk eller vidta någon annan åtgärd.

Utvecklingen och effekterna av phishing-attacker

Phishing, en term som numera är synonym med cyberbrottslighet, har sitt ursprung i ett program som utvecklades av en tonåring i Pennsylvania vid namn AOHell. Denna tidiga skadliga kod riktade sig mot AOL (America Online), en populär onlinetjänst under internets första tid, och använde mekanismer för att stjäla kreditkortsinformation och knäcka lösenord, vilket ledde till störningar i AOL:s tjänster. AOHell-programmet lade grunden för automatiserad phishing-mjukvara och påverkade senare phishing-metoder, bland annat de som användes av Warez-gruppen – en grupp som sysslar med hackning och delning av piratkopierad mjukvara.

De första dagarna med nätfiske

Warez-communityn tillskrivs de första organiserade phishing-attackerna, som inleddes 1996. De riktade in sig på AOL-användare genom att använda en algoritm för att generera slumpmässiga kreditkortsnummer. När de hittade ett giltigt nummer skapade de riktiga AOL-konton för att lura andra användare. Detta första nätfiske utvecklades till en mer sofistikerad social ingenjörstaktik, där angriparna utgav sig för att vara AOL-anställda för att samla in känslig information.

Efter dessa tidiga bedrägerier övergick nätfisketaktiken snabbt till e-post. Tidiga phishing-e-postmeddelanden varierade från föga övertygande system, till exempel de som involverade falska nigerianska prinsar, till mer sofistikerade försök som Mimail-viruset 2003. Mimail-viruset distribuerades via ett e-postmeddelande som utgav sig för att komma från PayPal och uppmanade användarna att uppdatera sina kreditkortsuppgifter. Många användare, som vilseleddes av den övertygande PayPal-logotypen, angav sina uppgifter på en skadlig webbplats.

Det människocentrerade hotet

Nätfiske är särskilt farligt eftersom det utnyttjar mänsklig psykologi snarare än att förlita sig på tekniska sårbarheter. Angripare behöver ofta inte bryta sig in i system direkt eller överlista cybersäkerhetsverktyg. Istället lurar de personer med behörig tillgång till känslig information, vilket leder till att de omedvetet hjälper till med attacken.

Phishare kan vara allt från enskilda bedragare till organiserade kriminella gäng och kan använda phishing för olika skadliga syften, inklusive identitetsstöld, kreditkortsbedrägeri, penningstöld, utpressning, kontoövertagande och spionage. Målgruppen för nätfiskeattacker är bland annat privatpersoner, företag och myndigheter. Ett anmärkningsvärt exempel är phishing-attacken mot Hillary Clintons presidentvalskampanj i USA 2016, där ryska hackare använde ett falskt e-postmeddelande om återställning av lösenord för att stjäla tusentals e-postmeddelanden. Till och med kampanjens IT-helpdesk lurades av de falska mejlen.

Moderna tekniker för nätfiske

Nätfiske har utvecklats avsevärt och använder sig av flera olika kommunikationsmetoder och sofistikerade tekniker för att lura sina mål. Moderna nätfiskeförsök kan efterlikna legitima företag, vilket gör det svårt att upptäcka dem utan noggrann granskning.

Några moderna phishing-tekniker inkluderar:

• Angler Phishing: Detta sker via sociala medier, med hjälp av falska webbadresser, snabbmeddelanden eller falska profiler för att samla in känslig information. Angripare kan också utnyttja profiler på sociala medier för att hitta personlig information för att förbättra sin manipulation.
• Kloning och förfalskning av domäner: Angripare skapar e-postmeddelanden som liknar legitima e-postmeddelanden genom att använda exakta kopior av meddelanden eller förfalska domännamn för att få e-postmeddelandena att verka äkta. De utger sig ofta för att vara stora, välkända företag för att lura användare att lämna ut personlig information.
• Smishing: Denna teknik kombinerar phishing med SMS och skickar falska textmeddelanden för att samla in information som kreditkortsnummer eller lösenord.
• Spear Phishing: Spear phishing är mycket målinriktat och innebär att angriparna samlar in detaljerad information för att skapa personliga e-postmeddelanden som ser ut att komma från betrodda källor.
• Valfångst: Denna typ av nätfiske riktar sig till anställda på hög nivå eller högt profilerade personer och innefattar ofta sofistikerad social manipulation och underrättelseinhämtning.
• Vishing: Genom att kombinera phishing med VoIP (voice over Internet Protocol) innebär vishing bedrägliga telefonsamtal i syfte att få tag på känslig information.

Sammanfattningsvis har nätfiske utvecklats från tidiga program som AOHell till komplexa system som involverar olika kommunikationsmetoder. Hotet är fortfarande betydande eftersom det utnyttjar den mänskliga psykologin, vilket gör det viktigt för individer och organisationer att vara vaksamma och informerade om dessa ständigt föränderliga taktiker.