Nätfiskeattacker, som är sociala ingenjörsattacker som syftar till att stjäla användardata, upplever en revolution. Den senaste tidens snabba utveckling av AI har gjort mer än att öppna nya vägar för legitima företag: ChatGPT används nu för att bedriva nätfiske.
Lär dig hur LayerX kan hjälpa ditt säkerhetsteam
Vad är nätfiskeattacker?
Nätfiske har funnits nästan lika länge som internet. Tidiga attacker drog fördel av rudimentär e-postsäkerhet som gjorde det möjligt för angripare att skrapa e-postadresser och hagelgevär-spränga skadliga meddelanden över etern. Galjonsfiguren för tidiga nätfiskeattacker var den nigerianska prinsens bluff. I detta skulle en medlem av den uppenbara nigerianska kungafamiljen nå ut till potentiella offer och erbjuda en iögonfallande summa pengar. Om man spelar på sin ekonomiska osäkerhet, skulle sårbara individer lovas summan när de har skickat över en "behandlingsavgift".
Moderna attacker har tagit den här mallen och vuxit och blomstrat långt bortom stavfelbelagda knep. Tack vare den stora mängden information som hanteras av onlinekonton idag, siktar angripare nu på att samla in allt från bankkontouppgifter till användarnamn och lösenord. Under sken av en legitim och ansedd källa försöker en angripare att extrahera information med en lockande eller alarmerande begäran.
I ett nyligen genomfört proof of concept – trots verktygets varning om ett potentiellt brott mot dess innehållspolicy – bad forskare att verktyget skulle efterlikna ett e-postmeddelande från ett webbhotell. Detta skapade ett bra första utkast. De upprepade detta första försök och bad sedan om en variant som övertygar målet att ladda ner ett trojanskt Excel-dokument.
Detta blev resultatet:
Forskarna gick längre: med Open AI:s Codex-program – som används för att konvertera text till kod – kunde de skapa ett excel-dokument som automatiskt började ladda ner skadlig kod när de öppnades. Trots de begränsningar som lagts på dessa AI-system misslyckades Codex med att identifiera den skadliga avsikten i begäran. Ungefär som ChatGPT:s nätfiske-e-post, hade den initiala koden brister, men efter några iterationer erbjöd den ett perfekt fungerande skadligt skript.
När nätfiskeattacker utvecklas är det viktigt att din organisation ligger steget före.
Hur nätfiske fungerar
Kärnan i alla nätfiskeattacker är ett meddelande. Det kan vara via e-post, via sociala medier eller via telefon. Den ständiga anslutningen av moderna smartphones och enheter utgör den största attackytan i cyberhistorien.
En nätfiskeangripare använder ofta offentlig information – oavsett om det är information som publicerats på sociala mediekonton eller tidigare läckor från stora datainsamlare. Denna bakgrundsinformation hjälper dem att skapa en offerprofil, inklusive mottagarens namn, personliga intressen och arbetslivserfarenhet. All denna data matas in i en attack för att skapa ett tillförlitligt övertygande budskap. Mottagarna av moderna nätfiskeattacker hämtas från de miljontals e-postadresser som är involverade i dataintrång varje år. IBM och Ponemons senaste Cost of Data Breach-studie fann att dataintrång nu kostar i genomsnitt nästan 4 miljoner dollar, med upp till 90 % av företagen har drabbats av ett brott under det senaste året. Den läckta kontaktinformationen utbyts via underjordiska marknader, paketerade i användbara databaser för utbredda nätfiskekampanjer.
E-postmeddelandet som visas i ett offers inkorg försöker ofta dölja sig som legitimt: dessa kampanjer kan stödjas med skadliga bilagor och stödjande webbplatser, utformade för att samla in ännu mer personlig information från sina offer.
Typer av nätfiskeattacker
Det finns olika kanaler som angripare använder för att kontakta sina offer. Dessa nätfiskeattacker representerar en mängd olika kompromisser, där varje typ förlitar sig på vissa styrkor hos sitt medium.
Email Phishing
En av de äldsta och mest framgångsrika formerna av nätfiske: angripare registrerar sig ofta under domännamn som är nära parodier till den legitima versionen av dem. Dessa kan sträcka sig från helt amatörer – om angriparna väljer att medvetet rikta in sig på de som skumläser e-postmeddelanden – eller falska e-postdomäner som verkar nästan identiska med deras legitima versioner. Att ersätta eller lägga till specialtecken är ett av de vanligaste tillvägagångssätten (byta till exempel min bank till min bank.) Med en rejäl spoof börjar de spamma nätfiskeattacker mot tusentals potentiella offer.
smishing
Medan traditionella nätfiskeattacker är beroende av e-post, har smartphones öppnat upp ett helt nytt tillvägagångssätt för attacker under det senaste decenniet. Bedrägliga SMS-meddelanden drar full nytta av de lösare säkerhetsprotokollen som mobila enheter (och deras användare) använder. Dessa meddelanden länkar ofta till en sajt som är infekterad med skadlig programvara som kontrolleras av angriparen, med förkortade webbadresser och avsaknad av muspekare som ger angriparna övertaget.
Riktade spam-attacker
Som svar på att spray-and-pray-metoden blev allt mindre effektiv, vände sig angriparna till en mer potent form av attack: spjutfiske. Detta kondenserar angriparnas ansträngningar till ett mindre antal offer och riktar sig till ett fåtal specifikt. Dessa attacker drar nytta av den fulla kraften av angriparens uppmärksamhet, tillsammans med utnyttjande av all information som finns i offentliga Facebook- och LinkedIn-profiler.
vishing
Liknar smishing, angripare är också ivriga att använda andra metoder: röstnätfiske, eller vishing, använder sig av den mer direkta relationen mellan en uppringare och offer. Detta gör vissa aspekter av nätfiskeattacker – såsom inducerad brådska och hot – särskilt potenta. Här använder angriparna samma tricksmetod och låtsas ofta vara ett bedrägeriutredningsteam från offrets bank. Därifrån frågar brottslingar ofta efter offrets kreditkortsinformation för att verifiera deras identitet. Vishing kan dock också automatiseras: dessa robo-samtal kräver ofta slutanvändaren att skriva in personliga uppgifter på knappsatsen.
Fiskefiskare
Medan många angripare aktivt förföljer sina potentiella offer, tar fiskefiske ett annat tillvägagångssätt och väntar istället på att de ska nå ut. Genom att gömma sig bakom fasaden på ett falskt socialt mediekonto för en äkta välkänd organisation kan angriparen även inkludera profilbilden för det äkta kontot. Parallellt med ett övertygande falskt handtag, drar fiskefiskare nytta av den växande trenden att konsumentklagomål hanteras via sociala mediekanaler. Medan kunder använder dessa för att be om hjälp, är angripare fria att manipulera konversationen mot sina egna datainsamlingsmål.
Hur identifierar man tecken på nätfiske?
Medan social ingenjörskonst är en viktig komponent i skadliga e-postmeddelanden, det finns några goda nyheter: angripare förlitar sig ofta på några viktiga tillvägagångssätt i sina meddelanden. Dessa är tillräckligt återkommande för att – genom att bara hålla utkik – det blir möjligt att upptäcka lättansträngda nätfiskeattacker innan en skadlig länk eller ett skadligt dokument klickas.
Negativa, akuta konsekvenser
Alla meddelanden som hotar eller lägger särskild vikt vid negativa konsekvenser bör betraktas med yttersta försiktighet. Detta beror på att implikationen av hot utlöser hjärnans kortisolsvar. Medan hjärtat slår snabbare och blod rinner till musklerna som direkt svar på detta stresshormon, kapar angriparen denna biologiska reaktion. Det är en anledning till varför falska e-postmeddelanden om återställning av lösenord är ett så kraftfullt verktyg i angriparens arsenal: genom att gömma sig under hotet om kontokompromisser kan angripare kringgå kritiska tankeprocesser som vanligtvis håller dig skyddad. När de paras med en brådskande ton är offren mycket benägna att följa angriparens varje krav.
Ovanlig ton
En annan egenskap hos nätfiskemeddelanden som bör utlösa omedelbart larm hos mottagaren är en olämplig eller oväntad ton. Fördelen för offren är enkel: du vet hur många av dina kollegor, vänner och familj som kommunicerar. Denna medvetenhet placerar dig på starkare fot för att upptäcka fall av onormal kommunikation. Om en nära vän skickar ett meddelande med formellt språk, eller en kollega börjar använda alltför vänliga termer, kan det vara den första indikatorn som gör att du kan skydda dig själv.
Oväntade förfrågningar
I likhet med tonen i e-postmeddelandet – förfrågningar inbyggda i ett nätfiske-e-postmeddelande kan ge en annan insikt om avsändarens verkliga avsikt. Om du plötsligt blir ombedd att utföra en åtgärd som inte ligger inom dina vanliga uppgifter, är det värt att ta en extra sekund för att dubbelkolla. Detta kan dra fördel av den större kontextuella förståelsen som är tillgänglig för offer: till exempel, om din organisation har ett centralt IT-team som hanterar programvaruinstallation, vet du att du ska behandla alla e-postmeddelanden som begär nedladdning av programvara med extrem försiktighet.
Hur du skyddar ditt företag från nätfiskeattacker
Även om det är möjligt för individer att bli otroligt nätfiskeförsiktiga kvarstår faktum att företagsomfattande nätfiske helt enkelt är ett statistikspel: någon, någonstans, kommer att ha bråttom och öppna dörren för angripare. Företagsomfattande skydd kräver en blandning av engagerande och vanefokuserad utbildning, och lösningar som bättre stödjer anställda förblir skyddade.
Medarbetarutbildning
Grunden för gediget skydd mot nätfiske planer börjar med offret: genom att beväpna anställda med uppdaterad och relevant information om arten av dagens attacker blir sociala ingenjörsattacker mycket svårare att framgångsrikt begå. Detta gör utbildning av anställda till en av de viktigaste formerna av företagsförsvar. Anställda måste förstå syftet och teknikerna för banbrytande nätfiskeattacker, och veta vilka teammedlemmar de ska rapportera misstänkta incidenter till. På så sätt stödjer organisationen inte bara anställda, utan intar en proaktiv cybersäkerhetshållning som anpassar sig och utvecklas med angripare.
Utöver detta bör anställda uppmuntras att hålla utkik efter positiva indikatorer på säkerhet: förtroendemärken från välrenommerade antiviruslösningar ger en snabb och tillgänglig indikator på webbplats- och applikationssäkerhet.
Begränsa åtkomst
Medan användare förbättrar sitt eget skydd mot nätfiske, kan företagsomfattande policyer stödja dessa ansträngningar. Privilegerade användarkonton är ett av de högsta målen för gärningsmän, tack vare den större sprängradien som ges för en framgångsrik attack. Principen om minsta privilegium tillåter anställda att fortfarande få tillgång till den data de behöver, samtidigt som risken för att bli ett mål minimeras.
Testa motståndskraften innan attacker träffar
Med utbildning och infrastruktur på plats börjar din organisations motståndskraft mot nätfiske redan ta form. Kostnaden för dataintrång idag är dock för hög för att ta chanser, vilket är anledningen till att både säkerhetsteam och slutanvändare gynnas enormt av semi-vanliga nätfiske-attacksimuleringar. Från användare som utvecklar förtrogenhet med moderna attacktekniker, till att ge en makrovy av hur välförsvarat ett företag verkligen är, dessa tester är ett ess kort för proaktivt nätfiskeskydd.
Förebyggande av nätfiske med LayerX Browser Security Platform
Den sista biten i anti-phishing-pusslet är ett lager av förebyggande mekanismer som blockerar helt nya attacker. Traditionella lösningar mot nätfiske fungerar genom att blockera kända webbadresser som redan används av angripare. Även om det är effektivt mot äldre och mer etablerade hotaktörer, är detta tillvägagångssätt helt reaktivt: det kan bara förhindra attacker om deras valda webbadress har flaggats och rapporterats. Angripare, å andra sidan, kan ständigt hoppa från URL till URL, vilket resulterar i att den stora majoriteten av nätfiskearkitekturen förblir utanför skyddets omfattning.
LayerX erbjuder hotdetektion med hög precision utan att förlita sig på förkunskaper. Istället för en enkel lista med svartlistade webbadresser, utför LayerX identifiering av misstänkta webbplatser baserat på analys av webbplatsens projicerade aktivitet. Vår oberoende ML-motor utför denna analys i realtid via en webbläsartillägg som är enkelt att installera, med noll latens. På så sätt kan skadliga avsikter upptäckas innan slutanvändarens enhet ansluter till den angriparkontrollerade webbservern. Med ett proaktivt förhållningssätt till nätfiske kan din organisation ligga före alla angripare – AI eller människa.