In English

Phishing • Artikel

29 november, 2021

Vad är spear-phishing?

Spear-phishing (spjutfiske) är en riktad form av phishing (nätfiske) som innebär att skräddarsydda mail skickas till utstuderade offer. Mailen är svåra att upptäcka utan noggrann kontroll och det är utmanande att stoppa attackförsöken. Det här är en fördjupning i ämnet, med fokus på hur attackerna går till och vad man som användare och organisation kan göra för att skydda sig.

Till skillnad från vanliga phishing- eller spammail som riktar sig till en bredare målgrupp, handlar spear-phishing istället om riktade mail som skickas till utstuderade mål. Genom att utge sig för att vara en betrodd användare försöker cyberkriminella att smitta enheter med skadlig kod, lura offret att föra över pengar eller lämna ut känslig information. 

Spear-phishing blir allt vanligare, och många av de stora incidenterna vi rycker ut på idag sker till följd av att en anställd lurats av ett välutformade mail. Kampanjerna är mycket effektiva och även svåra att upptäcka och stoppa.

Skillnaden mellan phishing och spear-phishing

Vid traditionella phishing-attacker försöker angriparen snärja så många offer som möjligt i sitt nät och bryr sig mindre om vilka som fastnar. Vanligtvis går samma typ av mail ut till en stor skara mottagare, i många fall i samband med  att angriparen har kommit över en större datadump med mailadresser.

Målet med phishing-kampanjerna kan vara flera, men i regel handlar det om att komma över användaruppgifter till populära tjänster, kreditkortsuppgifter eller infektera enheten med skadlig kod.

Några vanliga exempel på phishing-attacker är när: 

  • Ett mail från ett företag  uppmanar användaren att lämna ut konto- eller kreditkortsuppgifter genom att exempelvis maila om att “kortuppgifterna behöver uppdateras för att tjänsten inte ska sluta att fungera”.
     
  • Ett mail från ett företag hävdar att en “fraktsedel måste skrivas ut” och att användaren behöver öppna den bifogade filen för detta ändamål. Om filen öppnas kan skadlig kod exekveras, vilket då kan leda till att enhetens innehåll krypteras.
  • Ett mail innehållandes en länk, exempelvis en reklamannons, får användaren att klicka sig vidare till en infekterad webbplats, där sårbarheter i webbläsarens insticksprogram utnyttjas för att infektera datorn så att den utvinner kryptovaluta åt angriparen. 

Spear-phishing, å andra sidan, är mycket mer sofistikerat. Här har angriparen valt ut en eller ett fåtal personer som attacken riktar sig mot, vilket gör att både avsändare och meddelande kan vara mycket träffsäkrare. Ofta föregås en attack av ett gediget förarbete, vilket innebär att angriparen kan ha goda kunskaper om exempelvis maildomän, mailsignatur, organisationshierarki och IT-system, som i sin tur kan användas för att utforma verklighetstrogna mail. 

Angriparna har även börjat förfina sina metoder för att se till att inte spear-phishing-mail längre fastnar i spamfilter. Istället för att bifoga filer rakt upp och ned går utvecklingen nu snarare mot att man pekar mot skadliga dokument som finns på legitima webbplatser som Google Drive, OneDrive eller Dropbox, eftersom de vet att dessa troligen inte kommer att blockeras av IT-avdelningen.

Några exempel på spear-phishing-attacker är när:

  • En angripare utger sig för att vara företagets vd och kräver från en anställd på ekonomiavdelningen att en överföring av en stor summa pengar måste ske omgående, eftersom de är inne i en känslig affärsförhandling. Den får verkligen inte dra ut på tiden eftersom hela företagets framtid hänger på detta.
  • En angripare utger sig för vara företagets vd för att höra hur det går med företagets medicinska försöksstudie i syfte att komma över information innan den når aktiemarknaden.
     
  • En angripare manipulerar en person på IT-avdelningen till att lämna ifrån sig känsliga inloggningsuppgifter till ett specifikt system av intresse genom att uppge sig för att vara den faktiska driftsleverantören.

Målet med attackerna kan vara flera, från att komma över känsliga uppgifter eller monetära tillgångar till att plantera skadlig kod för spionage eller utpressning.

De främsta angriparna förbereder sig väl

Vid avancerade spear-phishing-angrepp lägger en angripare mycket tid på förberedelser i syfte att utforma så effektiva mail som möjligt. Ska en organisation angripas kartläggs ofta företaget som helhet samt nyckelpositioner via publik information och sociala medier. Med hjälp av informationen får angriparen en inblick i vilka som sitter på beslutsmandat, personalansvar och hur hierarkin inom bolaget ser ut. På så vis kan angriparen avgöra vem som är lämpligast att angripa och vem som de ska försöka att imitera.

Utöver det kan företagets webbplats, intervjuer med anställda och pressmeddelanden kan ge en bild av vilka processer som är aktiva, vilka leverantörer företaget, vilka branschorganisationer företaget ingår i samt information om teknik som används. Via exempelvis Facebook och Instagram går det dessutom att få insikter på ett mer personligt plan kring de tilltänkta offren. Är de aktiva i en viss förening, eller umgås de privat med någon av de andra på företaget?   

Genom att kombinera insamlad information från en rad olika källor kan en angripare presentera en trovärdig bild av personen som vederbörande utger sig för att vara. Förutom att imitera personens sätt att skriva och mailsignaturen, kan angriparen även inkludera information som antas att endast en anställd eller vän känner till, för att förstärka autenticiteten i budskapet. 

En väldigt dedikerad angripare kan även använda en kombination av bluff-sms (smishing) och telefonsamtal (vishing), som följer samma mönster som de mailbaserade attackerna. I många större organisationer där få känner till hur personer i ledningen talar, kan en anställd lätt luras om angriparen agerar trovärdigt. Dessutom sker en pågående utveckling av nya verktyg som bedragare kan dra nytta av. Ett exempel är det AI-verktyg som påstås ha använts i det här fallet för att efterlikna en ledande chefs röst.

Varför är det så svårt att upptäcka spear-phishing?

Flera undersökningar pekar på samma sak: phishing och spear-phishing är den primära sättet som organisationer angrips. Orsaken är uppenbar, då mail är den enklaste vägen för att få in en fot på insidan av en organisation. Om det dessutom är så att angriparen får in foten hos ledningen eller hos en person med höga behörigheter så finns det goda möjligheter för angriparen att ställa till med problem. 

Kort sagt kan man beskriva spear-phishing som en magisk kombination av tekniska färdigheter och psykologisk manipulation. Attackerna är svåra att upptäcka eftersom de i så hög grad liknar vanliga konversationer mellan anställda. Angriparen utnyttjar dessutom människors välvilja - få vill stå i vägen eller sabba en relation, i synnerhet om förfrågan kommer från en auktoritet. 

Det är även vanligt att en angripare försöka framkalla ett “sense of urgency” för att få offret att agera irrationellt. Genom att hävda att man är i någon form av knipa och behöver hjälp snabbt, vädjar man till offret som en sista utväg. I det läget övertygas många om att utföra aktioner som egentligen bryter mot policys och andra normer. Är det dessutom en auktoritet eller överordnad som ber om hjälp är det än mer troligt att offret vill hjälpa till.

Hur kan man upptäcka ett spear-phishing-försök?

Även om spear-phishing är svårt att upptäcka så finns det vissa varningssignaler du bör vara extra uppmärksam på. Först och främst bör du ta en titt på avsändaradressen för att se om det är företagets egen. Eftersom en angripare vill kunna skriva till, men också svara sitt tilltänkta offer, används ofta domäner som är snarlika företagets egna där en enskild bokstav kan ha bytts ut till en siffra för att ta ett exempel. 

Du bör dock vara medveten om att mailadressen kan förfalskas (spoofas) via olika verktyg så att det ser ut som om mailet kommer från företagets egen maildomän. Nackdelen ur angriparens synvinkel är dock att det inte går att svara på ett mail från offret. Av den anledningen kombineras ibland spoofade mail med telefonsamtal för att ytterligare förstärka känsla av att tiden är knapp.

Andra saker att titta lite extra på är sättet som angriparen formulerar sig på. Används termer eller tilltal som sticker ut lite extra, eller ber vederbörande om en väldigt långtgående tjänst? Det är svårt att ifrågasätta någon som är knipa, men det är viktigt att kunna göra det för undvika att ens agerande leder till omfattande konsekvenser för organisationen.

Hur kan man som organisation skydda sig mot spear-phishing?

Som vanligt finns det inte en enskild lösning som till fullo löser hela problemet. För att stärka sin motståndskraft mot spear-phishing det att man som organisation sätter in både tekniska och utbildande åtgärder.

Tekniska åtgärder

  • Sätt upp filter för inkommande mail - gärna med sandbox-funktionalitet där misstänkta filer analyseras.
  • Implementera åtgärder för att förebygga mailspoofing genom autentisering av inkommande mail.
  • Blockera åtkomst till webbplatser som har flaggats för att sprida skadlig kod.
  • Se till att användarna har rättigheter utefter behov och begränsa användningen av administratörskonton. Välj istället att ha tillfälliga administratörskonton som IT-personal kan använda vid behov. 
  • Minimera tekniskt läckage såsom information om mjukvaror och tjänster som exponeras mot internet.
  • Härda klienterna och prioritera patch management.
  • Använd modernt endpoint-skydd för att upptäcka och hantera skadlig kod i nära realtid.

Utbildande åtgärder

  • Testa er motståndskraft kontinuerligt via verklighetstrogna tester som skickas ut regelbundet för att öka medvetenheten för den här typen av angrepp hos anställda.
  • Utbilda personalen via awareness-seminarier regelbundet.
  • Upprätta en tydlig process för rapportering av misstänkta mail och faktiska incidenter till organisationens säkerhetsansvarig.
  • Upprätta processer för autentisering av betalningar.

Organisationer med väldigt hierarkiska strukturer utan tydliga och tillåtande kanaler för tvåvägskommunikation riskerar att drabbas hårdare. Anställda måste våga ifrågasätta chefers instruktioner utan att känna oro för sin framtid på bolaget.

Behöver ni stärka er motståndskraft mot spear-phishing?

Vi på Sentor hjälper organisationer att förebygga, upptäcka och hantera cyberattacker av olika slag, däribland spear-phishing. Med hjälp av åtgärder som simulerade angrepp och awareness-utbildningar och kan ni både testa er motståndskraft och utbilda era användare i att upptäcka och hantera hot. Hör av dig så berättar vi mer!