Phishing
Nätfiske (Phishing) - Metod
Phishing brukar översättas med nätfiske på svenska. Det är en bedrägerimetod som handlar om att skicka falska e-mail eller sms för att lura mottagaren att lämna ifrån sig känsliga uppgifter som angriparen kan använda i syfte att begå brott. Liknelsen med fiske kan förklaras med att de som försöker att luras med den här metoden brukar agna erbjudandet med någon form av bete som den attackerade förväntas svälja. Stavningen härstammar från telefonfiske (phone), en liknande form av fångstmetod. För att skilja fiske på nätet med vanligt fiske stavar man det phishing.
Social manipulation
Phishing är en form av social manipulation eller socialt bedrägeri, på engelska ”social engineering”. Det innebär man lurar användare att begå olika typer av ogenomtänkta handlingar, som till exempel att uppge kontouppgifter, lösenord eller annat som en bedragare kan ha nytta av.
Vanliga metoder i Phishing
Vanliga metoder vid phishing är att angriparen utger sig för att vara någon form av känd institution med legitimt ärende. Man kan också antyda möjligheter till ekonomisk vinst eller påskina att ett konto är hotat och att det är bråttom att klicka på en viss länk för att stoppa skeendet och rädda det som räddas kan. Phishing kan grupperas i ett antal olika metoder som nätfiske, där man försöker fånga några i ett stim, harpunfiske för riktade attacker och valfiske för storfångst.
Så här ser vokabulären ut:
Phishing (nätfiske)
Man skickar exempelvis ut ett stort antal mail som ibland kan vara ganska genomskinliga till sin karaktär. De kan utge sig från att komma från en bank, skattemyndigheten, post- eller distributionsfirmor eller andra kända institutioner. Ibland har avsändarna loggor eller mailadresser som är snarlika de kända förebilderna. Angriparna kan locka med snabbare skatteåterbäring eller hota med att ett konto är kapat. Mottagaren ska snabbt klicka på en länk och uppge personliga uppgifter som angriparen sedan kan utnyttja för egen vinning. De flesta genomskådar sådana bedrägerier, men för angriparna kan det räcka med att några av mottagarna fastnar i nätet.
Spear phishing (harpunfiske)
I de här fallen är angriparna mer sofistikerade och vänder sig till utvalda personer eller organisationer. Angriparna har ofta gjort ett gediget förarbete för att få meddelandet att se så trovärdigt ut som möjligt. Man har kanske tagit reda på en massa personlig information om mottagaren. Spear phishing riktar sig till nyckelpersoner som chefer och ansvariga på finansavdelningar, personer som har åtkomst till känslig information inom organisationen. Kan man locka ur dem kontouppgifter och lösenord kan det vara guld värt för bedragarna.
Whale phishing (valfiske)
Denna typ av phishing riktar sig mot höga befattningshavare som VD och andra höga chefer med tillgång till organisationens viktigaste resurser. Kan man på ett skickligt sätt manövrera en sådan nyckelperson att lämna ifrån sig organisationens viktigaste data kan det ställa till stor skada som kan vara mycket kostsam och ta lång tid att reparera.
Andra metoder
VD-bedrägerier
Dessa går ut på att utge sig för att vara en hög chef och skicka mail som ser ut att komma från dennes riktiga mailadress. Genom att skicka falska meddelanden därifrån kan man få anställda att utföra åtgärder som kan orsaka stor skada för organisationen.
Mänskliga faktorn
Vanliga metoder hos angripare är att utnyttja mänskliga egenskaper som nyfikenhet, godtrogenhet och impulsivitet. Man kan locka med vinster eller skrämmas med att något hemskt kan hända om man inte agerar tillräckligt snabbt. Man ska komma håg att seriösa företag aldrig begär att få konto- eller lösenorduppgifter via mail eller sms. Lämna aldrig ut sådana uppgifter. Klicka aldrig på okända länkar! En uppmaning som aldrig kan sägas för många gånger.
Vanligaste cyberattacken
Phishing är det allra vanligaste sättet att göra cyberattacker och metoderna blir alltmer sofistikerade. Det kan vara lätt att tro att man inte själv skulle gå på ett bedrägligt meddelande på datorn, men eftersom så många phishing-attacker lyckas så kan förmodligen vem som helst brista i uppmärksamhet och plötsligt åka dit på en smart attack. Ett bra sätt att öka vaksamheten är att utbilda organisationens medarbetare med phishing-träning under professionell ledning.
Har du behov av hjälp med Phishing? Läs mer om våra simulerade Phishing-kampanjer!