Phishing-angreb, som er social engineering-angreb, der har til formål at stjæle brugerdata, oplever en revolution. Den seneste hurtige udvikling af kunstig intelligens har gjort mere end at åbne nye veje for legitime virksomheder: ChatGPT bliver nu brugt til at udføre phishing-svindel.
Lær, hvordan LayerX kan hjælpe dit sikkerhedsteam
Hvad er phishing-angreb?
Phishing har eksisteret næsten lige så længe som internettet. Tidlige angreb udnyttede den rudimentære e-mail-sikkerhed, som gjorde det muligt for angribere at skrabe e-mail-adresser og shotgun-sprænge ondsindede meddelelser på tværs af æteren. Galionsfiguren i de tidlige phishing-angreb var den nigerianske prins-svindel. I dette ville et medlem af den tilsyneladende nigerianske kongefamilie nå ud til potentielle ofre og tilbyde en iøjnefaldende sum penge. Ved at spille på deres økonomiske usikkerhed vil sårbare personer blive lovet summen, når de har sendt et "behandlingsgebyr".
Moderne angreb har taget denne skabelon og vokset og blomstret langt ud over stavefejl-belastet trickeri. Takket være den store mængde information, der håndteres af onlinekonti i dag, sigter angribere nu på at indsamle alt fra bankkontooplysninger til brugernavne og adgangskoder. Under dække af en legitim og velrenommeret kilde forsøger en angriber at udtrække information med en lokkende eller alarmerende anmodning.
I et nyligt proof of concept – på trods af værktøjets advarsel om en potentiel overtrædelse af dets indholdspolitik – bad forskere værktøjet om at efterligne en e-mail fra et hostingfirma. Dette skabte et godt første udkast. Ved at gentage dette første forsøg bad de derefter om en variation, der overbeviser målet om at downloade et trojansk Excel-dokument.
Dette blev resultatet:
Forskerne gik videre: med Open AI's Codex-program – brugt til at konvertere tekst til kode – var de i stand til at skabe et excel-dokument, der automatisk begyndte at downloade ondsindet kode ved åbning. På trods af begrænsningerne på disse AI-systemer, lykkedes det ikke Codex at identificere den ondsindede hensigt i anmodningen. Ligesom ChatGPTs phishing-e-mail havde den indledende kode fejl, men efter et par gentagelser tilbød den et perfekt funktionelt ondsindet script.
Efterhånden som phishing-angreb udvikler sig, er det afgørende, at din organisation er et skridt foran.
Sådan fungerer phishing
Kernen i ethvert phishing-angreb er en besked. Dette kan være via e-mail, via sociale medier eller over telefonen. Den konstante forbindelse mellem moderne smartphones og enheder udgør den største angrebsflade i cyberhistorien.
En phishing-angriber bruger ofte offentlig information – uanset om det er oplysninger, der er lagt ud på tværs af sociale mediekonti, eller tidligere lækage, som store dataindsamlere har lidt. Denne baggrundsinformation hjælper dem med at oprette en offerprofil, herunder navn, personlige interesser og arbejdserfaring for modtageren. Alle disse data føres ind i et angreb for at skabe et pålideligt overbevisende budskab. Modtagerne af moderne phishing-angreb hentes fra de millioner af e-mailadresser, der er involveret i databrud hvert år. IBM og Ponemons nylige Cost of Data Breach-undersøgelse viste, at databrud nu koster i gennemsnit på næsten $4 millioner, med op til 90% af virksomhederne har været udsat for et brud gennem det sidste år. De lækkede kontaktoplysninger udveksles via underjordiske markeder, pakket ind i brugbare databaser til udbredte phishing-kampagner.
Den e-mail, der vises i et offers indbakke, vil ofte forsøge at forklæde sig selv som legitim: Disse kampagner kan understøttes med ondsindede vedhæftede filer og understøttende websteder, designet til at høste endnu flere personlige data fra deres ofre.
Typer af phishing-angreb
Der er forskellige kanaler, angribere bruger til at kontakte deres ofre. Disse phishing-angreb repræsenterer en bred vifte af kompromiser, hvor hver type er afhængig af visse styrker ved sit medium.
E-mail-phishing
En af de ældste og mest succesrige former for phishing: Angribere registrerer sig ofte under domænenavne, der er tætte spoofs til den legitime version deraf. Disse kan variere fra fuldstændig amatør - hvis angriberne vælger at bevidst målrette mod dem, der skumlelæser e-mails - eller forfalskede e-mail-domæner, der ser ud til at være næsten identiske med deres legitime versioner. Udskiftning eller tilføjelse af specialtegn er en af de mest almindelige fremgangsmåder (f.eks. at skifte mybank til min-bank.) Med en solid spoof begynder de derefter at spamme phishing-angreb på tværs af tusindvis af potentielle ofre.
Rygning
Mens traditionelle phishing-angreb er afhængige af e-mail, har smartphones åbnet op for en helt ny tilgang til angreb i løbet af det sidste årti. Svigagtige SMS-beskeder drager fuld fordel af de løsere sikkerhedsprotokoller, som mobile enheder (og deres brugere) anvender. Disse meddelelser linker ofte til et malware-inficeret websted, der kontrolleres af angriberen, med forkortede URL'er og en mangel på musebevægelse, der giver angribere overhånd.
Spyd phishing
Som reaktion på, at spray-and-pray-tilgangen blev stadig mindre effektiv, vendte angriberne sig til en mere potent form for angreb: spyd-phishing. Dette kondenserer angribernes indsats til et mindre antal ofre, rettet mod et specifikt fåtal. Disse angreb drager fordel af den fulde kraft af angriberens opmærksomhed, sammen med udnyttelse af det fulde omfang af information, der er lagt ud i offentlige Facebook- og LinkedIn-profiler.
vishing
Svarende til smishing, angribere er også ivrige efter at bruge andre tilgange: stemme-phishing eller vishing gør brug af det mere direkte forhold mellem en opkalder og offer. Dette gør visse aspekter af phishing-angreb – såsom induceret uopsættelighed og trusler – særligt potente. Her bruger angriberne den samme tricky tilgang, og foregiver ofte at være et svindelefterforskningshold fra ofrets bank. Derfra beder kriminelle ofte om ofrets kreditkortoplysninger for at bekræfte deres identitet. Vishing kan dog også automatiseres: Disse robo-opkald beder ofte slutbrugeren om at indtaste personlige oplysninger på tastaturet.
Fiskerfiskeri
Mens mange angribere aktivt forfølger deres potentielle ofre, tager lystfisker-phishing en anden tilgang og venter i stedet på, at de når ud. Ved at gemme sig bag facaden på en falsk social mediekonto for en ægte velkendt organisation, kan angriberen også inkludere profilbilledet af den ægte konto. Sideløbende med et overbevisende falsk håndtag, drager lystfiskere fordel af den stigende tendens til, at forbrugerklager håndteres via sociale mediekanaler. Mens kunder bruger disse til at bede om hjælp, kan angribere frit manipulere samtalen mod deres egne dataindsamlingsmål.
Hvordan identificerer man tegn på phishing?
Mens social engineering er en vigtig komponent i ondsindede e-mails, der er nogle gode nyheder: Angribere er ofte afhængige af nogle få nøgletilgange i deres beskeder. Disse er tilbagevendende nok til, at det – ved blot at holde øje – bliver muligt at spotte phishing-angreb med lav indsats, før der klikkes på et ondsindet link eller dokument.
Negative, presserende konsekvenser
Enhver besked, der truer med eller lægger særlig vægt på negative konsekvenser, bør betragtes med ekstrem forsigtighed. Dette skyldes, at implikationen af trussel udløser hjernens kortisolrespons. Mens hjertet slår hurtigere, og blodet strømmer til musklerne som direkte reaktion på dette stresshormon, kaprer angriberen denne biologiske reaktion. Det er en af grundene til, at falske e-mails til nulstilling af adgangskode er et så potent værktøj i angriberens arsenal: ved at gemme sig under truslen om kontokompromis, er angribere i stand til at omgå kritiske tænkningsprocesser, der normalt holder dig beskyttet. Når de parres med en presserende tone, er ofrene meget tilbøjelige til at efterkomme angriberens krav.
Usædvanlig tone
En anden egenskab ved phishing-beskeder, der burde udløse øjeblikkelig alarm hos modtageren, er en upassende eller uventet tone. Fordelen for ofrene er enkel: du ved, hvor mange af dine kolleger, venner og familie, der kommunikerer. Denne bevidsthed sætter dig på stærkere fodfæste for at opdage tilfælde af unormal kommunikation. Hvis en nær ven sender en besked med et formelt sprog, eller en kollega begynder at bruge alt for venlige udtryk, kan det være den første indikator, der giver dig mulighed for at beskytte dig selv.
Uventede anmodninger
Svarende til tonen i e-mailen – anmodninger indbygget i en phishing-e-mail kan give endnu et indblik i afsenderens sande hensigt. Hvis du pludselig bliver bedt om at udføre en handling, der ikke er inden for dine sædvanlige pligter, er det værd at bruge et ekstra sekund på at dobbelttjekke. Dette kan drage fordel af den større kontekstuelle forståelse, der er tilgængelig for ofre: Hvis din organisation f.eks. har et centralt it-team, der administrerer softwareinstallation, ved du, at du skal behandle enhver e-mail, der anmoder om download af software, med ekstrem forsigtighed.
Sådan beskytter du din virksomhed mod phishing-angreb
Selvom det er muligt for enkeltpersoner at blive utroligt phish-forsigtige, er det et faktum, at phishing på hele virksomheden simpelthen er et spil med statistik: nogen, et eller andet sted, vil have travlt og åbne døren for angribere. Virksomhedsdækkende beskyttelse kræver en blanding af engagerende og vanefokuseret træning, og løsninger, der bedre understøtter medarbejderne, forbliver beskyttet.
Medarbejderbevidsthedstræning
Grundlaget for solid phishing-beskyttelse planer starter med offeret: ved at bevæbne medarbejderne med opdateret og relevant information om arten af nutidens angreb, bliver socialingeniørangreb meget sværere at begå med succes. Dette gør medarbejderuddannelse til en af de vigtigste former for virksomhedsforsvar. Medarbejdere skal forstå målene og teknikkerne for avancerede phishing-angreb og vide, hvilke teammedlemmer de skal rapportere mistænkelige hændelser til. På denne måde understøtter organisationen ikke kun medarbejdere, men indtager en proaktiv cybersikkerhedsholdning, der tilpasser sig og udvikler sig med angribere.
Sideløbende med dette bør medarbejderne opfordres til at holde øje med positive indikatorer for sikkerhed: Tillidsmærker fra velrenommerede antivirusløsninger giver en hurtig og tilgængelig indikator for websteds- og applikationssikkerhed.
Begræns adgang
Mens brugere forbedrer deres egen phishing-beskyttelse, kan politikker for hele virksomheden understøtte disse bestræbelser. Privilegerede brugerkonti er et af de højeste mål for gerningsmændene, takket være den større sprængningsradius, der er givet til et vellykket angreb. Princippet om mindste privilegium giver medarbejderne mulighed for stadig at få adgang til de data, de har brug for, samtidig med at risikoen for at blive et mål minimeres.
Test modstandskraften før angreb rammer
Med træning og infrastruktur på plads begynder din organisations modstandsdygtighed over for phishing allerede at tage form. Omkostningerne ved databrud i dag er dog for høje til at tage chancer, hvilket er grunden til, at både sikkerhedsteams og slutbrugere har stor fordel af semi-regulære phishing-angrebssimuleringer. Fra brugere, der udvikler kendskab til moderne angrebsteknikker, til at give et makrobillede af, hvor godt forsvaret en virksomhed virkelig er, er disse test et es-kort til proaktiv phishing-beskyttelse.
Forebyggelse af phishing med LayerX Browser Security Platform
Den sidste brik i anti-phishing-puslespillet er et lag af forebyggende mekanismer, der blokerer helt nye angreb. Traditionelle anti-phishing-løsninger fungerer ved at blokere kendte URL'er, der allerede er i brug af angribere. Selvom den er effektiv mod ældre og mere etablerede trusselsaktører, er denne tilgang fuldstændig reaktiv: den kan kun forhindre angreb, hvis deres foretrukne URL er blevet markeret og rapporteret. Angribere er på den anden side i stand til konstant at hoppe fra URL til URL, hvilket resulterer i, at langt størstedelen af phishing-arkitekturen forbliver uden for denne beskyttelses omfang.
LayerX tilbyder trusselsdetektion med høj præcision uden afhængighed af forudgående viden. I stedet for en simpel liste over sortlistede URL'er udfører LayerX identifikation af mistænkelige websteder baseret på analyse af webstedets forventede aktivitet. Vores uafhængige ML-motor udfører denne analyse i realtid via en browserudvidelse, der er nem at installere, med nul latenstid. På denne måde kan ondsindede hensigter opdages, før slutbrugerens enhed opretter forbindelse til den hacker-kontrollerede webserver. Med en proaktiv tilgang til phishing kan din organisation være foran enhver angriber – AI eller menneskelig.