Vad är phishing/nätfiske?

Phishing, eller nätfiske som det även kallas, är en av de vanligaste attack-metoderna bland cyberkriminella idag. Metoden går ut på att via mail, SMS, eller chatt-tjänster lura mottagaren att öppna ett dokument, besöka en webbplats eller ladda ner en fil. Målet är att infektera enheten med skadlig kod och/eller komma över höga behörigheter som ett första steg i ett mer omfattande angrepp.

En introduktion till phishing / nätfiske

I grunden är nätfiske en form av identitetsstöld där angriparen utger sig för att vara någon annan, exempelvis en myndighet, arbetsgivare eller ett företag. Attacken verkställs sedan genom att angriparen skickar falska meddelanden som uppmanar mottagaren att klicka på länkar eller ladda ner filer i syfte att tillskansa sig känslig information eller infektera mottagarens enhet med skadlig kod.

Några vanliga exempel på phishing innebär att:

• En angripare utger sig för att vara en bank som mailar att användaruppgifterna snarast måste kontrolleras eller uppdateras.
• En angripare utger sig för att vara ett kontokortsföretag och ber mottagaren bekräfta kontouppgifter, annars spärras kortet.
• En angripare utger sig för att vara Skatteverket och uppmanar mottagaren att klicka på en länk för att få tillgång till skatteåterbäringen.
• En angripare utger sig för att vara ett spelbolag som berättar att mottagaren har vunnit en stor lotterivinst som kräver vissa åtgärder för att kunna betalas ut.

Andra varianter av phishing

Vanligt nätfiske skickas i många fall till stora grupper av mottagare utan större träffsäkerhet. Den som är bankkund hos Swedbank förstår kanske direkt att det är något som inte stämmer när det inkommer ett mail med texten ”Bästa Nordeakund”. Men precis som vanliga företag jobbar cyberkriminella aktivt för att maximera lönsamheten i sin verksamhet. Det har medfört att mer förfinade varianter av phishing har utvecklats på senare år, såsom spear-phishing och smishing.

Spear-phishing

Till skillnad från vanliga phishing-attacker som riktar sig till breda, ofta slumpmässigt utvalda grupper, riktar spear-phishing in sig på utvalda individer och organisationer. I dessa fall gör angriparen ett ordentligt förarbete som bland annat kan innefatta kartläggning av ett företags anställdas intressen i sociala medier och organisationens hierarki, men även faktorer som maildomän, mailsignatur och IT-system.

Informationen kan sedan användas för att utforma verklighetstrogna mail som är svåra att identifiera även för den som är uppmärksam. Och arbetet kan ge lön för mödan: om det vill sig riktigt illa kan ett enda framgångsrikt spear-phishing-mail leda till att en angripare i förlängningen kan ta kontroll över ett helt företagsnätverk.

Några exempel på spear-phishing innebär att:

• En angripare utger sig för att vara företagets VD och kräver från en anställd på ekonomiavdelningen att en överföring av en stor summa pengar måste ske omgående.
• En angripare manipulerar en person på IT-avdelningen till att lämna ifrån sig känsliga inloggningsuppgifter till ett specifikt system av intresse genom att uppge sig för att vara den faktiska driftsleverantören.
• En angripare utger sig för att vara en nära anhörig som kontaktar mottagaren och ber om en snabb överföring av pengar vid en krissituation.

Smishing

Phishing kan också förekomma via SMS och kallas då smishing, en kombination av orden “phishing” och “SMS”. Attacken går ut på att angriparen skickar SMS från en falsk avsändare i syfte att få mottagaren att klicka på en länk som antingen installerar skadlig kod på telefonen eller förmår mottagaren att lämna ifrån sig känslig information.

En vanlig teknik som används inom smishing är så kallad spoofing, då ett verktyg används för att förfalska avsändaradresser. Spoofing är lättillgängligt för vem som helst att använda via online-tjänster och kostar inte mer än ett par kronor. Att avslöja ett spoofat SMS är däremot väldigt svårt, eftersom det inte går att titta på samma varningssignaler som i ett mail.

Några exempel på smishing innebär att:

• En angripare utger sig för att vara ett företag och skickar en bekräftelse på att mottagaren är registrerad på deras tjänst och kommer debiteras X antal kronor/dag om beställningen inte avslutas via en bifogad länk.
• En angripare utger sig för att vara ett företag hos vilken mottagaren är kund och skickar länkar med erbjudanden om rabatter som bara är giltiga under en begränsad tid.
• En angripare utger sig för att vara ett fraktbolag som berättar att det finns en uppdatering i mottagarens order som måste bekräftas via en länk för att kunna levereras.

Varför är phishing-attacker så vanligt?

Phishing som attack-metod har blivit omåttligt populär bland cyberkriminella – av den enkla anledningen att den fungerar. Att ägna sig åt phishing som verksamhet har blivit så pass lukrativt att metoden har gått från att användas av enskilda aktörer till att bedrivas av stora “professionella” organisationer.

En anledning till att utföra phishing-attacker är att komma över inloggningsuppgifter och kreditkortsuppgifter för att på det viset kunna omvandla dessa till rena pengar. På Internets mer svåråtkomliga delar (s.k. darknets) förekommer handel med stulna uppgifter av det här slaget. Bedragare kan köpa exempelvis inloggningsuppgifter till sociala nätverk och åtkomst till tusentals personers konton, vart och ett med eget kontaktnät och mängder av personlig information.

Bedragarna kan också vara intresserade av att infektera användares datorer med skadlig kod. Orsaker till det kan bland annat vara att:

• Använda datorn i en större botnet-attack för att exempelvis genomföra en DDoS-attack.
• Infektera datorn med en form av ransomware, vars skadliga kod krypterar alla filer på datorn och kräver en lösensumma av offret för att få tillbaka tillgång till filerna.
• Infektera datorn med spyware i syfte att spionera på en användare eller ett företag.

Hur kan man skydda sig från phishing-attacker?

E-postsäkerhetsprogram och antivirus kan identifiera de mest uppenbara phishing-attackerna, men inget skydd är hundraprocentigt. Det är därför upp till var och en att lära sig hur man undviker att falla offer för en phishing-attack. För att kontrollera ett meddelandes validitet kan man ställa sig en rad olika frågor, såsom:

• Är texten formulerad på ett ovanligt sätt? Det kan röra sig om felstavningar, konstigt språk eller annat som sticker ut. Det är i så fall en viktig varningssignal som kan bero på att mailet har översatts automatiskt från något annat språk.
• Hur personligt är mailets inledning och avslut? Hur troligt är det egentligen att en myndighet i Sverige inleder med ”Bäste herre/fru”? Inte särskilt. Signatur med kontaktuppgifter i slutet av mailet är nästan obligatoriskt i officiella sammanhang men brukar däremot saknas helt i phishing-mail.
• Stämmer avsändaradressen? På senare år har bedragarna blivit skickligare vad gäller språk och textinnehåll och därför gäller det att vara uppmärksam på andra detaljer, så som avsändaradress. Håll musen över och var noggrann. Ofta används liknande domäner vid phishing-attacker, till exempel faktura@blockett.se istället för faktura@blocket.se.
• Stämmer länkarna? Hyperlänkar i mejlet bör kontrolleras på liknande sätt som avsändaradressen. Hovra med muspekaren ovanför dem så går det att se länkadressen i klartext. Länkadresser kan vara både långa och krångliga men det går ändå ofta att bedöma trovärdigheten. Går länken till en legitim webbplats eller känner du inte igen adressen över huvud taget?

Fortfarande osäker?

Uppstår ändå tveksamhet om ett mejls äkthet går det alltid att ringa den påstådda avsändaren via ordinarie telefonnummer och fråga. Ser det ut att vara en bekant som skickat det misstänkta mailet – kolla ändå! En extra fråga kan vara skillnaden mellan att bli av med pengarna eller ha dem kvar.

Och till sist. Lämna aldrig någonsin ut känsliga uppgifter såsom kreditkortsuppgifter, inloggningsinformation eller bankkoder i ett mail. Banker eller myndigheter ber aldrig (eller i alla fall extremt sällan) om den här typen av uppgifter via mail.