Tema: det ryska cyberhotet, Sverige och Nato - Del 4 - Riktade phishingattacker

Henrik Petterson 9 juni, 2022

Introduktion

Globalt den vanligaste ingången i verksamheter

Phishing, eller nätfiske, är globalt sett den vanligaste formen av cyberattack och den som tyvärr också får de allvarligaste konsekvenserna för offret. Det beror främst på att en framgångsrik phishingattack alltid ger åtkomst till företagets insida och möjligheten att infektera datorn och i värsta fall hela nätverket med ransomware.

Det här är den fjärde delen i temat ”Det ryska cyberhotet”.

Del 1 – Undersökningen
Del 2 – Sårbarheter i system
Del 3 – Överbelastningsattacker
Del 4 – Riktade phishingattacker

Phishingattacker

Vid vanliga phishingattacker skickar angriparna ut e-post till en bred grupp helt okända mottagare. Meddelandet är enkelt och generellt och handlar oftast om en obetald faktura, en tjänst som har upphört att gälla eller ett oemotståndligt erbjudande med en länk till en sida infekterar besökaren med skadlig kod. Ofta är dessa typer av phishingattacker enkla att genomskåda, men kan leda till stora skador om en medarbetare råkar klicka eller öppna filen.

Putin sitter ner och tittar rakt in i kameran. Längst ner på bilden står det: Tema Ryssland

Riktade phishingattacker

En riktad phishingattack (även kallad spear phishing) är mycket svårare att upptäcka. Här registrerar angriparen ofta en domänadress som liknar företagets egna. Det kan handla om antingen en ändrad bokstav (foretagsnamnet.se i stället för företagsnamnet.se) eller en toppdomän som liknar företagets egna (företagsnamnet.es i stället för företagsnamnet.se).

Det är vanligt att angriparna också undersöker vilken information som finns publikt om företaget vid en riktad phishingattack. På sociala medier som exempelvis Linkedin finns alla medarbetare samt deras roller listade. Det blir då enkelt för en angripare att använda en persons identitet för att öka trovärdigheten.

Det här är ett scenario på hur en riktad phishingattack kan se ut. Angriparen har tagit IT-chefen Jonas Svenssons identitet och använder den fejkade e-postadressen jonas.svensson@företagsnamnet.es för att skicka ut en varning om misstänkt aktivitet på ditt konto. I brevet finns en länk till en webbsida som ser ut som företagets SharePoint, tillsammans med instruktioner för att bekräfta vilka inloggningar som du har gjort vid specifika tillfällen. Så fort du klickar på länken eller laddar ner Excel filen för att fylla i så infekteras din dator.

Ett annat intressant scenario är Apkoppor. Angriparen har sökt upp en identitet och meddelandet ser denna gång ut att komma ifrån anna.svensson@foretagsnamnet.se som arbetar på HR-avdelningen. Hon skickar en Excel fil där du ska bekräfta om du har varit i kontakt med följande personer som har Apkoppor. Den här typen av attack spelar på mottagarens nyfikenhet. Mottagaren är lika om inte mer intresserad av att veta vem det är som har fått Apkoppor, som för egen skull bekräfta eventuell fysisk kontakt. Av erfarenhet ifrån våra egna phishingtester vet vi att väldigt många användare faller offer för denna typ av riktad attack som spelar på mottagarens nyfikenhet.

Den skadliga koden

Efter att en medarbetare klickat på länken eller öppnat den bifogade filen infekteras datorn av skadlig kod (en payload) som oftast består av antingen en så kallad dropper eller en downloader. Droppen består av en eller flera olika typer av skadlig kod som installeras och sprids i nätverket. Downloadern är tystare i det att den endast skickar en signal till en angriparens kontrollserver om att den är installerad och aktiv. Downloadern väntar därefter på att angriparens kommandon.

Den skadliga koden

Efter att en medarbetare klickat på länken eller öppnat den bifogade filen infekteras datorn av skadlig kod (en payload) som oftast består av antingen en så kallad dropper eller en downloader. Droppen består av en eller flera olika typer av skadlig kod som installeras och sprids i nätverket. Downloadern är tystare i det att den endast skickar en signal till en angriparens kontrollserver om att den är installerad och aktiv. Downloadern väntar därefter på att angriparens kommandon.

Statsstödda ryska cyberattacker

I vår undersökning står riktade phishingattacker för 52% av alla ryska cyberattacker. Många internationella undersökningar pekar på en fördelning där phishing (riktade phishingattacker inkluderat) står för 80-90% av alla cyberattacker.

Att de riktade ryska phishingattackerna procentuellt ligger på en mycket lägre nivå än de globala beror till stor del på syftet eller uppsåtet med attackerna. Bortser vi ifrån invasionen av Ukraina sker ryska cyberattacker ofta med syftet att spionera och inhämta värdefull information. Den informationsinhämtningen var inte lika viktig vid och efter invasionen. Istället använder sig Ryssland av andra attackmetoder som i större utsträckning syftar till att störa och förstöra kommunikationen i Ukraina samt påverka dess underliggande informerande kanaler.

En slutsats som vi kan dra är att den statistiska fördelningen över attackvektorerna hade sett annorlunda ut om Ukraina aldrig invaderats. Nätfiske hade då stått för en mycket större procentuell del av attackerna, runt 74% totalt.

Åtgärder

Hur skyddar man sin verksamhet?

Det är svårt att skydda sin verksamhet mot phishingattacker. I dagsläget finns det ingen enkel enstegslösning för att förhindra attackerna. Det är också därför den här attackmetoden är så populär både globalt och för statsstödda ryska cyberattacker. Men det finns hopp.

För att göra skyddet mer överskådligt kan vi dela in skyddet i tre olika delar; medarbetare, it-stöd och teknik. Det är tre olika delar som tillsammans kan påverka utfallet av en phishingattack.

Medarbetare

Det är mottagarens medvetenhet om nätfiske som är det första som testas. En medarbetare får e-postmeddelandet med bilagan eller länken till den skadliga koden.

Är medarbetaren medveten om nätfiske och phishingattacker är risken betydligt mindre att länken klickas på eller att filen laddas ner och företagsdatorn infekteras. Människan är den första barriären men tyvärr också den som är mest sårbar.  

Medvetenhetsutbildningar belyser problematiken och öka medarbetarnas förmåga att identifiera skadlig e-post. Tyvärr visar våra egna tester som vi har gjort att det i regel alltid är minst en person på företaget som klickar på länken eller öppnar bilagan. Men att hålla nere antalet medarbetare som får sina datorer infekterade är positivt och underlättar IT-avdelningens hantering av attacken.  

Att testa sina medarbetare med hjälp av ett phishingtest är en kostnadseffektiv insats som ökar medvetenheten och testar både användare och IT-avdelningen. Då får man ett kvitto på hur medvetenheten ser ut och vilka åtgärder som man behöver göra motståndskraften. 

IT-stöd

IT-avdelningen är den avdelning på företaget som har kunskapen och förmågan att förhindra att phishingattacken övergår till ett större hot. Se till så att IT-personalen först och främst är medvetna om problematiken kring phishing, men också har tillräckligt med kunskap och verktyg för att hantera attacken.  

Träning, som antingen kommer i form av phishingtest eller cyber war games, skapar en bra och förberedande grund för potentiella framtida hot. Tillsammans med en åtgärdsplan och rutiner för hur IT-personalen ska hantera en phishingattack skapar man ett starkt och proaktivt skydd vilket är avgörande om informationstillgångarna lämnar kontoret eller inte. Man bör ha med sig att ju längre tid det tar att upptäcka och åtgärda en attack, desto större risk löper man för allvarligare konsekvenser.  

Teknik

Att införa tekniska åtgärder för att få bukt med nätfiskeattackerna ger effekt på de enklaste formerna av attacker. Ju mer avancerade och skräddarsydda de blir desto svårare får de tekniska systemen att upptäcka attacken.

Det första man bör göra när det kommer till de tekniska åtgärderna är att se till att organisationen har SPF, DMARC och DKIM aktiverat. Tillsammans bidrar de till ett ökat skydd och förhindrar att någon utomstående använder din e-postdomän för att skicka nätfiskeattacker till medarbetare i din organisation. Det finns även bra anti-phishinglösningar som kan hjälpa organisationen genom att bland annat blockera kända phishingwebbsidor och i realtid analysera och blockera misstänkta attacker. Det finns många tekniska åtgärder men man bör komma ihåg att en riktad phishingattack är mycket svår om inte omöjlig att upptäcka av ett system.

Lösningar

Det finns tekniska lösningar som kan minska påföljden av en phishingattack men de kan aldrig skydda organisationen helt fullt ut. Utgångspunkten man bör ha är att man förr eller senare kommer att råka ut för riktat nätfiske. Om det är en statsstödd rysk phishingattack eller en global utpressningsattack spelar ingen större roll, det tekniska skyddet ser likadant ut för båda typer av attacker.

Backup 

Finns det en öppen konflikt mellan länderna så löper organisationen större risk att få sin data förstörd. Har du en fungerande backup så finns möjligheten att återställa organisationens information oavsett vad som händer.

Segmentering / brandväggar 

Att dela upp nätverket och göra vissa delar helt oåtkomliga ifrån andra minimerar riskytan och förhindrar ryska angripare från att komma åt dina informationstillgångar. I kombination med det kan man även sätta upp logiska separationer där varje avdelning är separerad med en brandvägg i kombination med behörighetsstyrning.

Behörighetsstyrning

Dina medarbetare ska bara ha tillgång till den informationen som individen behöver i sitt arbete. Om en person råkar ut för en phishingattack och får sin dator infekterad så blir det svårare för angriparen att komma åt värdefull information. Med behörighetsstyrning sätter man helt enkelt ett extra lås på dörren.

Säkerhetsövervakning

Att övervaka nätverket och sätta upp regler för kommunikationen internt är en del av en lösning som bland annat, genom att titta på mönster och sätta upp regler, kan avslöja och larma IT-avdelningen om en potentiell phishingattack.

E-post gateway

En gateway fungerar ungefär som ett filter för inkommande e-post och identifierar och förhindrar de flesta enklare varianter av phishingmail från att nå organisationens personal. Det här är ofta en lösning som ingår i e-posttjänsten men man bör se över så att den finns. Även om den inte identifierar alla phishingattacker så hjälper den att underlätta trycket för IT-avdelningen.

Programvara 

Det finns även programvara som kan hjälpa till. Moderna attacker bygger på förmågan att kommunicera med tredjepartsservrar för att stjäla data. Genom att använda en programlösning som övervakar, upptäcker och förhindrar obehörig överföring av data i realtid, kan man förhindra att informationstillgångarna lämnar kontoret.

Att skydda sin organisation mot phishing är som sagt svårt och det finns ingen enkel lösning på hur man ska tackla problemet. Det är också därför den här attackvektorn används mest vid ryska statsfinansierade cyberattacker. Säkerheten hittar man som sagt i en rad olika åtgärder som involverar både medarbetare, teknik och IT-avdelningen. 

Det här är fjärde och sista delen i serien.
Vi hoppas att du tagit med dig något som kan hjälpa dig på vägen till en ökad insikt och skydd mot både ryska och globala cyberattacker. 

Tack för att du läst.