Tema: det ryska cyberhotet, Sverige och Nato - Del 4 - Riktade phishingattacker

Henrik Petterson 9 juni, 2022

Introduktion

Globalt den vanligaste ingången i verksamheter

Phishing, eller nätfiske, är globalt sett den vanligaste formen av cyberattack och den som tyvärr också får de allvarligaste konsekvenserna för offret. Det beror främst på att en framgångsrik phishingattack alltid ger åtkomst till företagets insida och möjligheten att infektera datorn och i värsta fall hela nätverket med ransomware.

Det här är den fjärde delen i temat ”Det ryska cyberhotet”.

Del 1 – Undersökningen
Del 2 – Sårbarheter i system
Del 3 – Överbelastningsattacker
Del 4 – Riktade phishingattacker

Phishingattacker

Vid vanliga phishingattacker skickar angriparna ut e-post till en bred grupp helt okända mottagare. Meddelandet är enkelt och generellt och handlar oftast om en obetald faktura, en tjänst som har upphört att gälla eller ett oemotståndligt erbjudande med en länk till en sida infekterar besökaren med skadlig kod. Ofta är dessa typer av phishingattacker enkla att genomskåda, men kan leda till stora skador om en medarbetare råkar klicka eller öppna filen.

Riktade phishingattacker

En riktad phishingattack (även kallad spear phishing) är mycket svårare att upptäcka. Här registrerar angriparen ofta en domänadress som liknar företagets egna. Det kan handla om antingen en ändrad bokstav (foretagsnamnet.se i stället för företagsnamnet.se) eller en toppdomän som liknar företagets egna (företagsnamnet.es i stället för företagsnamnet.se).

Det är vanligt att angriparna också undersöker vilken information som finns publikt om företaget vid en riktad phishingattack. På sociala medier som exempelvis Linkedin finns alla medarbetare samt deras roller listade. Det blir då enkelt för en angripare att använda en persons identitet för att öka trovärdigheten.

Det här är ett scenario på hur en riktad phishingattack kan se ut. Angriparen har tagit IT-chefen Jonas Svenssons identitet och använder den fejkade e-postadressen jonas.svensson@företagsnamnet.es för att skicka ut en varning om misstänkt aktivitet på ditt konto. I brevet finns en länk till en webbsida som ser ut som företagets SharePoint, tillsammans med instruktioner för att bekräfta vilka inloggningar som du har gjort vid specifika tillfällen. Så fort du klickar på länken eller laddar ner Excel filen för att fylla i så infekteras din dator.

Ett annat intressant scenario är Apkoppor. Angriparen har sökt upp en identitet och meddelandet ser denna gång ut att komma ifrån anna.svensson@foretagsnamnet.se som arbetar på HR-avdelningen. Hon skickar en Excel fil där du ska bekräfta om du har varit i kontakt med följande personer som har Apkoppor. Den här typen av attack spelar på mottagarens nyfikenhet. Mottagaren är lika om inte mer intresserad av att veta vem det är som har fått Apkoppor, som för egen skull bekräfta eventuell fysisk kontakt. Av erfarenhet ifrån våra egna phishingtester vet vi att väldigt många användare faller offer för denna typ av riktad attack som spelar på mottagarens nyfikenhet.

Den skadliga koden

Efter att en medarbetare klickat på länken eller öppnat den bifogade filen infekteras datorn av skadlig kod (en payload) som oftast består av antingen en så kallad dropper eller en downloader. Droppen består av en eller flera olika typer av skadlig kod som installeras och sprids i nätverket. Downloadern är tystare i det att den endast skickar en signal till en angriparens kontrollserver om att den är installerad och aktiv. Downloadern väntar därefter på att angriparens kommandon.

Den skadliga koden

Statsstödda ryska cyberattacker

I vår undersökning står riktade phishingattacker för 52% av alla ryska cyberattacker. Många internationella undersökningar pekar på en fördelning där phishing (riktade phishingattacker inkluderat) står för 80-90% av alla cyberattacker.

Att de riktade ryska phishingattackerna procentuellt ligger på en mycket lägre nivå än de globala beror till stor del på syftet eller uppsåtet med attackerna. Bortser vi ifrån invasionen av Ukraina sker ryska cyberattacker ofta med syftet att spionera och inhämta värdefull information. Den informationsinhämtningen var inte lika viktig vid och efter invasionen. Istället använder sig Ryssland av andra attackmetoder som i större utsträckning syftar till att störa och förstöra kommunikationen i Ukraina samt påverka dess underliggande informerande kanaler.

En slutsats som vi kan dra är att den statistiska fördelningen över attackvektorerna hade sett annorlunda ut om Ukraina aldrig invaderats. Nätfiske hade då stått för en mycket större procentuell del av attackerna, runt 74% totalt.

Åtgärder

Hur skyddar man sin verksamhet?

Det är svårt att skydda sin verksamhet mot phishingattacker. I dagsläget finns det ingen enkel enstegslösning för att förhindra attackerna. Det är också därför den här attackmetoden är så populär både globalt och för statsstödda ryska cyberattacker. Men det finns hopp.

För att göra skyddet mer överskådligt kan vi dela in skyddet i tre olika delar; medarbetare, it-stöd och teknik. Det är tre olika delar som tillsammans kan påverka utfallet av en phishingattack.

Medarbetare

Det är mottagarens medvetenhet om nätfiske som är det första som testas. En medarbetare får e-postmeddelandet med bilagan eller länken till den skadliga koden.

Läs mer

Är medarbetaren medveten om nätfiske och phishingattacker är risken betydligt mindre att länken klickas på eller att filen laddas ner och företagsdatorn infekteras. Människan är den första barriären men tyvärr också den som är mest sårbar.

Medvetenhetsutbildningar belyser problematiken och öka medarbetarnas förmåga att identifiera skadlig e-post. Tyvärr visar våra egna tester som vi har gjort att det i regel alltid är minst en person på företaget som klickar på länken eller öppnar bilagan. Men att hålla nere antalet medarbetare som får sina datorer infekterade är positivt och underlättar IT-avdelningens hantering av attacken.

Att testa sina medarbetare med hjälp av ett phishingtest är en kostnadseffektiv insats som ökar medvetenheten och testar både användare och IT-avdelningen. Då får man ett kvitto på hur medvetenheten ser ut och vilka åtgärder som man behöver göra motståndskraften.

IT-stöd

IT-avdelningen är den avdelning på företaget som har kunskapen och förmågan att förhindra att phishingattacken övergår till ett större hot. Se till så att IT-personalen först och främst är medvetna om problematiken kring phishing, men också har tillräckligt med kunskap och verktyg för att hantera attacken.

Läs mer

Träning, som antingen kommer i form av phishingtest eller cyber war games, skapar en bra och förberedande grund för potentiella framtida hot. Tillsammans med en åtgärdsplan och rutiner för hur IT-personalen ska hantera en phishingattack skapar man ett starkt och proaktivt skydd vilket är avgörande om informationstillgångarna lämnar kontoret eller inte. Man bör ha med sig att ju längre tid det tar att upptäcka och åtgärda en attack, desto större risk löper man för allvarligare konsekvenser.

Teknik

Att införa tekniska åtgärder för att få bukt med nätfiskeattackerna ger effekt på de enklaste formerna av attacker. Ju mer avancerade och skräddarsydda de blir desto svårare får de tekniska systemen att upptäcka attacken.

Läs mer

Det första man bör göra när det kommer till de tekniska åtgärderna är att se till att organisationen har SPF, DMARC och DKIM aktiverat. Tillsammans bidrar de till ett ökat skydd och förhindrar att någon utomstående använder din e-postdomän för att skicka nätfiskeattacker till medarbetare i din organisation. Det finns även bra anti-phishinglösningar som kan hjälpa organisationen genom att bland annat blockera kända phishingwebbsidor och i realtid analysera och blockera misstänkta attacker. Det finns många tekniska åtgärder men man bör komma ihåg att en riktad phishingattack är mycket svår om inte omöjlig att upptäcka av ett system.

Lösningar

Det finns tekniska lösningar som kan minska påföljden av en phishingattack men de kan aldrig skydda organisationen helt fullt ut. Utgångspunkten man bör ha är att man förr eller senare kommer att råka ut för riktat nätfiske. Om det är en statsstödd rysk phishingattack eller en global utpressningsattack spelar ingen större roll, det tekniska skyddet ser likadant ut för båda typer av attacker.

Backup

Finns det en öppen konflikt mellan länderna så löper organisationen större risk att få sin data förstörd. Har du en fungerande backup så finns möjligheten att återställa organisationens information oavsett vad som händer.

Segmentering / brandväggar

Att dela upp nätverket och göra vissa delar helt oåtkomliga ifrån andra minimerar riskytan och förhindrar ryska angripare från att komma åt dina informationstillgångar. I kombination med det kan man även sätta upp logiska separationer där varje avdelning är separerad med en brandvägg i kombination med behörighetsstyrning.

Behörighetsstyrning

Dina medarbetare ska bara ha tillgång till den informationen som individen behöver i sitt arbete. Om en person råkar ut för en phishingattack och får sin dator infekterad så blir det svårare för angriparen att komma åt värdefull information. Med behörighetsstyrning sätter man helt enkelt ett extra lås på dörren.

Säkerhetsövervakning

Att övervaka nätverket och sätta upp regler för kommunikationen internt är en del av en lösning som bland annat, genom att titta på mönster och sätta upp regler, kan avslöja och larma IT-avdelningen om en potentiell phishingattack.

E-post gateway

En gateway fungerar ungefär som ett filter för inkommande e-post och identifierar och förhindrar de flesta enklare varianter av phishingmail från att nå organisationens personal. Det här är ofta en lösning som ingår i e-posttjänsten men man bör se över så att den finns. Även om den inte identifierar alla phishingattacker så hjälper den att underlätta trycket för IT-avdelningen.

Programvara

Det finns även programvara som kan hjälpa till. Moderna attacker bygger på förmågan att kommunicera med tredjepartsservrar för att stjäla data. Genom att använda en programlösning som övervakar, upptäcker och förhindrar obehörig överföring av data i realtid, kan man förhindra att informationstillgångarna lämnar kontoret.

Att skydda sin organisation mot phishing är som sagt svårt och det finns ingen enkel lösning på hur man ska tackla problemet. Det är också därför den här attackvektorn används mest vid ryska statsfinansierade cyberattacker. Säkerheten hittar man som sagt i en rad olika åtgärder som involverar både medarbetare, teknik och IT-avdelningen.

Det här är fjärde och sista delen i serien.
Vi hoppas att du tagit med dig något som kan hjälpa dig på vägen till en ökad insikt och skydd mot både ryska och globala cyberattacker.

Tack för att du läst.

Om
Senaste inläggen

Henrik Petterson

Marknad på Secify

Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

Senaste inläggen av Henrik Petterson

Rapport: Lägesbild vårdsektorn – Hot, utmaningar och risker som berör vårdsektorn - 2 april, 2024
Event: Informationssäkerhet är del av patientsäkerheten – dataskydd för sjukvården - 11 mars, 2024
Event: Informationssäkerhet är del av patientsäkerheten – dataskydd för sjukvården - 7 december, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.