Vad är en cyberattack?

Viktor Petersson 12 mars, 2024

Introduktion

En cyberattack kan flera olika vägar in

En cyberattack är en avsiktlig handling utförd av individer eller organisationer i syfte att tränga in i informationssystemet hos en annan individ eller organisation. Målet kan vara varierande, från att stjäla, ändra eller förstöra känslig information till att störa normala affärsprocesser.

Definition av cyberattack

En cyberattack är en medveten och ofta skadlig handling som utförs genom digitala nätverk och datorsystem. Den tar olika former av angrepp som riktas mot datorer, nätverksinfrastrukturer eller enskilda datoranvändare. Angripare kan vara olika aktörer, såsom enskilda individer, organiserade brottsliga grupper eller till och med statligt sponsrade grupper i vissa länder. Syftet med dessa attacker kan vara att stjäla information, förstöra data, kompromettera kommunikationssystem eller hindra tillgång till viktiga digitala tjänster.

Typer av Cyberattacker

Malware, en förkortning av ”malicious software”, är skadlig programvara som är designad för att skada eller utnyttja operativsystem. Malware kan ta olika former, såsom virus, trojaner, ransomware och spionprogram.
Virus är en form av skadlig programvara som har förmågan att kopiera sig själv och sprida sig till andra datorer eller filer. När ett virus infekterar en dator kan det orsaka skada genom att ändra, korrumpera eller förstöra filer och program.
Trojaner är skadlig programvara som lurar användare genom att utge sig för att vara legitim programvara eller filer. När de infiltrerar enheter kan de stjäla information, spionera eller installera andra skadliga program utan användarens tillstånd.
Ransomware är en typ av skadlig programvara som krypterar användarens filer och sedan kräver att offret betalar en lösensumma till den attackerande parten för att få tillgång till dekrypteringsnyckeln.
Spionprogram är skadlig programvara som installerar sig självt på enheter utan användarens tillstånd för att samla information, inklusive användaraktivitet och personliga data, utan användarens vetskap.
Phishing: Bedrägeriförsök där angriparen försöker komma över information eller bereda sig tillgång till system som denne ej skall ha tillgång till.
- Spear Phishing: All phishing där det inte skickas slumpmässigt utan attackeraren har valt ut och riktat attacken mot ett specifikt mål, målgrupp, visst land, region eller kundbas.
- Angler Phishing: Bedrägeriförsök som är noggrant planerade och skräddarsydda för en specifik individ och således ytterst svåra att identifiera.
- Whaling: En form av phishing där målet kan vara någon person högre uppsatt i ledningen men oftast riktat mot personer med hög behörighet i organisationens IT-infrastruktur.
- Smishing: Phishing över SMS eller andra snabbmeddelandetjänster.
- Vishing: Bedrägliga samtal där den ringande parten försöker komma över uppgifter eller bereda sig tillgång till system som denne ej skall ha tillgång till.

vad.ar.en.cyberattack.getty-images-qF3NvCxTCsM-unsplash

Clone-phishing / Reply-chain attack – Angriparen har lyckats skapa eller fått tillgång till en legitim e-post som mottagare har förtroende för. Med denna försöker angriparen därefter lura sina offer genom att bland annat fortsätta och utnyttja konversationer som redan är uppstartade. Vanligt är att skicka ut bluff-fakturor.
Social Engineering: En teknik för att lura en individ till att utföra handlingar som ej ligger i individens eller organisationens bästa intresse. Social Engineering används i flertalet attackförsök.
Denial-of-Service (DoS) och Distributed Denial-of-Service (DDoS) är former av attacker som har som mål att överbelasta en server, ett nätverk eller en digital tjänst genom att skicka en oproportionerlig mängd förfrågningar eller trafik. En viktig distinktion mellan dem är att vid en DDoS-attack använder angriparen vanligtvis ett botnät, som är en samling av många datorer eller enheter, för att skicka förfrågningar från ett brett spektrum av IP-adresser. Denna metod gör det betydligt svårare för den attackerade parten att filtrera ut den skadliga trafiken eftersom det inte finns en enkel, direkt källa att blockera.
En Man-in-the-Middle (MitM)-attack är när en angripare avlyssnar och manipulerar kommunikationen mellan två parter utan deras vetskap. Genom att placera sig mellan parterna kan angriparen stjäla information, infoga skadlig kod eller ändra meddelanden. Det är en allvarlig säkerhetsrisk som kan leda till förlust av känslig information.
SQL-injektion är en attack där angriparen utnyttjar säkerhetsbrister i applikationens databashantering genom att infoga skadlig SQL-kod i inmatade datafält. Det gör det möjligt för angriparen att komma åt, ändra eller ta bort data i databasen och kan leda till allvarliga konsekvenser som datastöld eller att säkerhet och integritet äventyras.
En Zero-Day Exploit är en typ av attack som utnyttjar en sårbarhet i programvara eller hårdvara som inte tidigare har upptäckts eller blivit känd för utvecklarna eller allmänheten. Denna typ av sårbarhet innebär att det inte finns någon tidigare känt sätt att skydda sig mot attacken när den inträffar, vilket ger angriparen en fördel. Eftersom sårbarheten är ny och okänd för utvecklarna, har de inte haft tid att skapa och distribuera en patch eller fix för att åtgärda problemet innan attacken inträffar. Därför kan Zero-Day Exploits vara särskilt farliga och utnyttjas för att skada system, stjäla data eller utföra andra skadliga handlingar innan sårbarheten upptäcks och åtgärdas.
DNS Tunneling är en teknik som utnyttjar Domain Name System (DNS) för att skicka icke-DNS-trafik över internet. Vanligtvis används DNS för att översätta domännamn till IP-adresser, så vi kan skriva google.com istället för IP-numret till Googles server. I fallet med DNS Tunneling manipuleras dessa förfrågningar och svar för att gömma annan typ av dataöverföring. DNS tunneling används ofta av angripare för exfiltrering av data från en organisation innan hotaktören nyttjar ett ransomware för att kryptera filerna hos organisationen.

vad.ar.en.cyberattack.getty-images-sV_kfdeO-Z4-unsplash

Command and Control (C&C): Command and Control (C&C) är en teknik där angripare övertar kontrollen över datorer eller system. Det möjliggör styrning och manipulering av de infekterade enheterna på avstånd. Angriparen kan utföra olika skadliga aktiviteter, inklusive spridning av skadlig kod och stöld av känslig information. C&C-tekniken är används av cyberkriminella för att genomföra spionage, sabotage och andra skadliga handlingar
Live of the Land (LotL) attack: Live off the Land (LotL) attack är en form av cyberattack som utnyttjar befintliga funktioner och verktyg inom ett operativsystem för att genomföra och maskera angrepp. Istället för att introducera ny skadlig kod, använder LotL-attacker redan befintliga systemresurser och verktyg för att kompromettera och navigera genom målsystemet. Genom att utnyttja dessa inbyggda funktioner blir det svårare för säkerhetsprogram att upptäcka och stoppa attacken eftersom skadlig aktivitet inte nödvändigtvis genererar misstänkt trafik eller avvikande beteende. På så sätt kan angriparen smidigt röra sig inom systemet, stjäla data, installera ytterligare skadlig kod eller utföra andra skadliga aktiviteter utan att väcka uppmärksamhet. Denna typ av attack är utmanande att förebygga eftersom den inte följer de traditionella mönstren för en konventionell attack och utnyttjar istället systemets egna resurser för att utföra skadlig verksamhet.
Cryptojacking: Cryptojacking är en form av cyberattack där en angripare olovligen får tillgång till ett eller flera system eller tjänster för att använda deras beräkningskraft för att utvinna digital valuta, såsom Bitcoin eller Monero. Istället för att traditionellt hacka och stjäla data fokuserar cryptojacking på att utnyttja systemets processorkraft för att utföra kryptografiska beräkningar som krävs för att generera eller validera transaktioner på ett blockchain-nätverk det som kallas mining. Angriparen installerar vanligtvis skadlig kod på offrets enhet eller nätverk, vilket gör att deras datorer eller andra enheter kan användas för mining utan deras medgivande eller kunskap. Detta kan resultera i prestandaproblem på de infekterade enheterna och ökad energiförbrukning. Cryptojacking kan utföras på individuella datorer, servrar eller till och med stora företagsnätverk och har blivit ett allt vanligare hot på internet.
Brute force: En teknik där angriparen automatiserat prövar många lösenord mot en tjänst eller enhet för att ”gissa” sig till det rätta lösenordet. Attackerna använder sig av fördefinierade lösenordslistor i kombination med ordlistor.
Insider Threat: En användare med legitim tillgång till ett system eller tjänst förstör eller stjäl information, eller bereder annan person tillgång till systemet för att göra detsamma.
Cross-Site-Scripting (XSS): Detta är en sårbarhet som tillåter angripare att injicera skadlig kod, oftast JavaScript, i webbsidor som sedan körs i besökarens webbläsare. Genom denna sårbarhet kan angripare utföra olika skadliga handlingar såsom stöld av information, loggning av tangenttryckningar och omdirigering till andra sidor. Det finns två huvudsakliga typer av XSS-attacker: lagrad och reflekterad, där skadlig kod antingen sparas permanent eller reflekteras tillbaka till användaren via osäkra webbsidor eller applikationer. För att förhindra XSS-attacker bör webbutvecklare sanera och validera all användargenererad data innan den visas på en webbsida och använda säkerhetsåtgärder som Content Security Policy (CSP).
Advanced Persistent Threat (APT): En attack som är skräddarsydd för att under lång tid kunna existera inom en miljö och kan anses väldigt sofistikerade. Teknikerna är oftast många och mycket av dessa hackers arbete går ut på att utse mål och planera tillvägagångssättet. Hotaktören jobbar hela tiden för att försöka vara så tyst som möjligt i förhoppning att undgå att bli upptäckt, och därför är dessa typer av attacker både mycket svåra att detektera men också problematiska vid upptäckt då det kan vara komplicerat att få ut hotaktören ur miljön. De grupper eller personer som sysslar med dessa attacker är ofta högt tekniskt kunniga och ofta välfinansierade med tydliga mål och planer över sina angrepp. När en hackergrupp av denna typ utgör ett hot mot samhället registrerar man dem som en APT-grupp för att sprida information om dem och vilka tekniker de gjort sig kända för att jobba med. Exempel på kända APT grupper är nordkoreanska Lazarus Group (APT38), iranska Charming Kitten (APT35) och ryska Fancy Bear (APT28).

Vanliga konsekvenser

Konsekvenserna av cyberattacker kan vara förödande och väldigt resurskrävande. De kan inkludera ekonomiska förluster till följd av stöld eller bedrägeri, kostnader för återställning av system, förlust av affärsmöjligheter och kundförtroende. På en personlig nivå kan individer drabbas av identitetsstöld, kreditkortsbedrägeri och en långvarig känsla av osäkerhet och misstro. På en större skala kan cyberattacker mot infrastruktur leda till avbrott i viktiga samhällsfunktioner som elnät, sjukvård och transport.

Så skyddar du dig

För att skydda dig och din organisation mot cyberattacker är det viktigt att vidta proaktiva och reaktiva säkerhetsåtgärder. Detta inkluderar att implementera starka säkerhetsprotokoll, som regelbunden uppdatering av programvara och system, användning av robusta antivirusprogram och brandväggar, samt att genomföra kontinuerlig övervakning av nätverkstrafik för att upptäcka och svara på misstänkta aktiviteter. Utbildning och medvetenhet är också avgörande, då många attacker börjar med en användare som oavsiktligt öppnar en infekterad fil eller klickar på en skadlig länk. Regelbundna säkerhetsutbildningar och övningar kan hjälpa till att minska risken för mänskliga misstag. Dessutom kan tjänster som CISO as a Service erbjuda expertis och ledarskap för att stärka din organisations cybersäkerhetsstrategi utan att behöva anställa en heltids-CISO.

Hantering av Cyberattacker

Ett effektivt svar på en cyberattack kräver en välplanerad incidenthanteringsplan som inkluderar identifiering av attacken, innehållning av skadan, utrotning av hotet, återställning av system och tjänster, och slutligen en efteranalys för att förbättra framtida svar. Det är också viktigt att ha en kommunikationsstrategi för att informera berörda parter, inklusive kunder, anställda och i vissa fall allmänheten och myndigheter. Att lära av incidenter och ständigt förbättra säkerhetsåtgärder är nyckeln till att stärka motståndskraften mot framtida attacker. I detta sammanhang kan ett Dataskyddsombud vara ovärderlig för att säkerställa att din organisation inte bara följer GDPR utan också upprätthåller högsta möjliga säkerhetsstandarder för personuppgifter.

Om
Senaste inläggen

Viktor Petersson

Senaste inläggen av Viktor Petersson

Vad är en cyberattack? - 12 mars, 2024

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.