Spear-phishing-angrep: det du trenger å vite

Da den demokratiske nasjonalkomiteen (DNC), sjef John Podestas hjelpemann videresendte ham en e-post som hevdet at Podestas Gmail-konto ble hacket, gjorde Podesta det de fleste av oss ville ha gjort: Han klikket på lenken i e-posten og ble ledet til et nettsted der han ble bedt om for å oppgi et nytt passord. Han gjorde det og gikk deretter rundt i den daglige virksomheten. Dessverre for Podesta, Det demokratiske partiet og Hillary Clintons presidentkampanje, var e-posten som ble sendt til Podesta ikke fra Google. Snarere var det et spydfiskangrep fra en russisk hackinggruppe med navnet "Fancy Bear."

Selv om du aldri har hørt om begrepet "spydfiske", har du utvilsomt hørt om denne typen angrep. Du har sannsynligvis til og med vært et mål for dem. Disse angrepene har vanligvis form av e-postmeldinger fra kundesupport som ber deg om å endre legitimasjonsbeskrivelser, eller de kan sendes via falske e-postadresser til bedrifter som ber om personlige data om kunde eller ansatte. I 2015 overførte for eksempel ansatte i Ubiquiti Networks 46, 7 millioner dollar til utenlandske kontoer etter henvendelse til e-postmelding de ansatte antok ble sendt av Ubiquiti-ledere. I virkeligheten opprettet hackere forfalskede e-postkontoer som liknet de faktiske Ubiquiti-administrasjonskontiene og lurte de ansatte.

Basert på data fra en fersk undersøkelse utført av e-postsikkerhetsselskapet IronScales, er 77 prosent av angrepene laserfokuserte, rettet mot 10 kontoer eller færre, med en tredjedel av angrepene som bare er rettet mot en konto. Angrepene er korte, med 47 prosent som varer under 24 timer, og 65 prosent som varer under 30 dager. Tradisjonelle spamfilter og endepunktbeskyttelsesverktøy fanger ikke angrepene. For hvert fem angrep identifisert av spamfiltre, gjorde 20 angrep det til brukerens innboks.

(Bilde Via: IronScales)

"Vi ser at angripere bruker mye mer tid på å studere målene sine enn i årene tidligere, og kjører en veldig omfattende rekognoseringsprosess, " sa Eyal Benishti, administrerende direktør i IronScales. "Som et resultat har phishing-e-poster blitt svært målrettede og skreddersydd for målselskapet, ettersom angripere er i stand til å samle informasjon gjennom rekognosering som hjelper dem å lage e-postmeldinger til å se ut som legitim intern kommunikasjon. Vi har for eksempel sett at noen angrep bruker organisasjoners lingo og underskrifter, og innholdet er veldig i sammenheng med det som for tiden kjører inne i selskapet og mellom pålitelige parter."

Jeff Pollard, hovedanalytiker ved Forrester Research, la til at disse angrepene også vokser i raffinement. "Angrep blir mer sofistikerte både når det gjelder lokker som brukes for å få folk til å klikke og når det gjelder skadelig programvare som brukes for å få tilgang til systemer, " sa Pollard. "Men det er hva vi forventer gitt at nettlesikkerhet er en konstant kamp mellom forsvarere og angripere."

Løsningen

For å bekjempe disse angrepene henvender selskaper seg til antifiskingsprogramvare for å oppdage og flagge innkommende angrep. Anti-spam og anti-malware verktøy er ingen hjerner for noe selskap som håper å beskytte forretningsdata. Men selskaper som IronScales tar det et skritt videre ved å lagre verktøy for maskinlæring (ML) for å proaktivt søke etter og flagge skisserte phishing-e-poster. Fordi ML lar verktøyene samle eller huske svindeldata, lærer og forbedrer programvaren med hver skanning.

"Teknologien gjør det vanskeligere for angriperen å lure forsvareren med små justeringer som normalt omgår en signaturbasert løsning, " sa Benishti. "Med ML kan vi raskt gruppere forskjellige varianter av samme angrep og mer effektivt kjempe mot phishing. Faktisk, fra vår analyse, er ML den beste måten å trene et system på for å fortelle forskjellen mellom legitime e-poster fra en pålitelig partner eller kollega kontra en ikke-legitim en."

Teknologi er ikke den eneste beskyttelsen mot disse formene for angrep. Utdanning og forsiktighet er kanskje de viktigste forsvarsverkene mot spydfiskeangrep. "Noen virksomheter er klar over truslene, selv om andre feilaktig mener at deres nåværende løsning beskytter mot målrettede angrep, " sa Benishti. "Det er veldig viktig å forstå at å bruke de samme forsvarsmekanismene og forvente forskjellige resultater i fremtidige angrep ganske enkelt ikke vil gjøre det. Å bruke teknologi alene mot avanserte angrep, som setter mennesker som mål, vil alltid mislykkes, og bare stole på ansattes bevissthet og trening… Mennesker og maskiner som jobber tett sammen for å lukke dette gapet av ukjente angrep, er den eneste måten å redusere risikoen."

(Bilde Via: IronScales)

Slik holder du deg trygg

Her er noen få enkle måter å sikre at du og din bedrift ikke blir svindlet:

• Forsikre deg om at selskapets e-postadresse er merket "INTERNAL" eller "EKSTERN" på emnelinjen.
• Bekreft mistenkelige eller risikable forespørsler på telefon. For eksempel, hvis administrerende direktør e-poster deg og ber deg om å sende noens personlige helseopplysninger, kan du ringe ham eller henne eller sende en chatmelding for å bekrefte forespørselen.
• Hvis et selskap ber deg om å endre passord, bruker du ikke koblingen i e-postvarslingen. gå direkte til selskapets hjemmeside i stedet og endre passordet ditt derfra.
• Du må aldri under noen omstendigheter sende passord, personnummer eller kredittkortinformasjon til noen i e-postadressen.
• Ikke klikk på lenker i e-postmeldinger som ikke inneholder annen tekst eller informasjon.

"Når forsvaret forbedres, gjør også angrep, " sa Pollard. "Jeg tror vi vil se mer målrettede spydfiske- og hvalfangstkampanjer. Vi vil også se en økning i phishing og svindel på sosiale medier, som er et område som ikke er så modent fra et sikkerhetsmessig synspunkt som e-postsikkerhet."

Dessverre, uansett hvor forsiktig du måtte være, vil angrep intensiveres og bli mer intelligente. Du kan gjøre alt som er i din makt for å utdanne deg selv og dine ansatte, du kan bygge ut et anti-phishing-forsvar støttet av nye teknologier, og du kan ta alle forholdsregler som mulig. Men som Pollard bemerket, "det tar bare en dårlig dag, en feilklikk, eller en forhastet bruker som prøver å rense ut en innboks, for å føre til katastrofe."