Phishing (Nätfiske)

Vad betyder Phishing (nätfiske)?

Phishing är ett säkerhetsproblem där en förövare utger sig för att vara ett legitimt företag eller en ansedd person för att komma över privat och känslig information som kreditkortsnummer, personliga identifikationsnummer (PIN-koder) och lösenord.

Phishing bygger på tekniskt bedrägeri och social ingenjörskonst för att manipulera offret att vidta specifika åtgärder för angriparens räkning, till exempel att klicka på en skadlig länk, ladda ner och/eller öppna en skadlig e-postbilaga eller avslöja information som angriparen kan använda i en framtida attack.

Enligt ett gemensamt projekt som drivs av United States Cybersecurity and Infrastructure Security Agency (CISA) inleds 90 % av alla cyberattacker med nätfiske. En av de viktigaste anledningarna till att nätfiskeattacker är så vanliga är attackvektorns mångsidighet och den höga avkastningen på investeringar för cyberbrottslingar.

För att minska riskerna med nätfiske måste privatpersoner och organisationer prioritera utbildning om nätfiske, införa robust e-postfiltrering, överväga att använda molntjänster för nätfiskebekämpning och följa bästa praxis för säkert beteende på nätet.

Hur nätfiske fungerar: Indikatorer för nätfiskeattacker

I ett lyckat nätfiskeförsök är ett av bedragarens främsta mål att vinna offrets förtroende. För att uppnå detta använder bedragarna både tekniska och psykologiska taktiker för att få kommunikationen med potentiella offer att verka trovärdig och legitim.

För att skydda sig mot phishing-bedrägerier är det viktigt att känna till indikatorerna på en phishing-attack i e-post, röst- och textmeddelanden. Det är viktigt att vara försiktig med meddelanden som ber om personuppgifter som inloggningsuppgifter, kreditkortsnummer eller personnummer. Ett av de tydligaste tecknen är att meddelandet är oönskat och att det efterfrågar känslig information eller ber offret att verifiera känslig information. Legitima organisationer gör vanligtvis inte sådana förfrågningar via e-post, sms eller röstmeddelanden.

Om avsändarens kontaktuppgifter inte exakt stämmer överens med vad som förväntas av en legitim källa är det ett annat tecken på att det oönskade meddelandet kan vara ett phishingförsök. Nätfiskare använder ofta vilseledande e-postadresser som liknar en legitim enhet och telefonnummer som inte matchar den legitima enhetens riktnummer.

Vissa phishers använder dock komprometterade legitima e-postkonton eller telefonnummer för att genomföra sina attacker. Detta kan göra det svårare att upptäcka avvikelser i kontaktinformationen.

Det är därför andra faktorer, som meddelandets innehåll, utseende och det övergripande sammanhanget för begäran, också bör beaktas när man utvärderar äktheten i ett meddelande. Alla oönskade meddelanden där känslig information begärs verifierad bör betraktas som ett möjligt försök till nätfiske.

Typer av och exempel på utnyttjande av nätfiske

Phishing exploits kan anpassas för att möta behoven hos olika typer av mål och attackmål. Det är denna mångsidighet som gör att cyberbrottslingar kan välja det kommunikationsmedium som passar deras målgrupp och mål och kasta antingen ett brett nät som är utformat för att öka chansen att hitta ett sårbart mål – eller ett smalt nät som är utformat för att fånga ett specifikt offer.

Populära typer av nätfiske är t.ex:

9 different types of phishing attack

Nätfiske via e-post

Detta är den vanligaste typen av nätfiskeattack. Angriparen skickar ett e-postmeddelande som ser ut att komma från en legitim källa, t.ex. en bank, ett kreditkortsföretag eller en myndighet. Mejlet innehåller ofta en länk som, när den klickas på, tar offret till en falsk webbplats som ser ut som den riktiga webbplatsen. När offret anger sina inloggningsuppgifter eller annan känslig information på den falska webbplatsen kan bedragarna stjäla den.

Chatbottar som använder generativ AI har gjort det enklare än någonsin för nätbedragare att skapa e-postmeddelanden som ser ut att komma från en legitim källa.

Här är några exempel på phishing-bedrägerier via e-post:

  • Fakturabedrägeri: Bedragaren skickar ett e-postmeddelande som ser ut att komma från ett legitimt företag, t.ex. ett elbolag eller ett kreditkortsföretag. I mejlet står det att offret har en obetald faktura och han eller hon uppmanas att klicka på en länk för att betala den. Länken tar offret till en falsk webbplats som ser ut som en riktig webbplats. När offret har angett sina betalningsuppgifter på den falska webbplatsen kan bedragarna stjäla dem.
  • Bluff med återställning av lösenord: Bedragaren skickar ett e-postmeddelande som ser ut att komma från ett legitimt företag, t.ex. en bank eller en webbplats för sociala medier. I mejlet står det att offrets lösenord har återställts och de uppmanas att klicka på en länk för att ändra det. Länken tar offret till en falsk webbplats som ser ut som en riktig webbplats. När offret har angett sitt nya lösenord på den falska webbplatsen kan bedragarna stjäla det.
  • Bluff med teknisk support: Bedragaren skickar ett e-postmeddelande som ser ut att komma från ett legitimt tekniskt supportföretag. I e-postmeddelandet står det att offrets dator har ett problem och ber dem ringa ett visst nummer för att få hjälp. När offret ringer numret kopplas de till en bedragare som kommer att försöka övertyga dem om att ge dem fjärråtkomst till sin dator. När bedragaren har fjärråtkomst till offrets dator kan de stjäla deras personliga information eller installera skadlig kod.

Spear phishing

Detta är en mer riktad typ av phishing-attack där angriparen skapar ett meddelande som är specifikt anpassat till offret. Angriparens e-post kan till exempel handla om ett ämne som offret tidigare har visat intresse för eftersom det är relevant för deras arbete. När artificiell intelligens (AI) och maskininlärning (ML) används för personalisering är det mer sannolikt att e-postmeddelandet öppnas och att offret går på bluffen.

Här är några exempel på spear phishing-bedrägerier:

  • Riktad e-postbedrägeri: Bedragaren skickar ett e-postmeddelande som är särskilt anpassat till offret. I e-postmeddelandet kan offrets namn, företag eller annan personlig information nämnas. Personalisering gör det mer sannolikt att e-postmeddelandet öppnas, och offret är mer benäget att falla för bedrägeriet.
  • BEC-bedrägeri (Business Email Compromise): Bedragaren skickar ett e-postmeddelande som ser ut att komma från en legitim affärspartner, t.ex. en leverantör eller kund. I mejlet kan offret uppmanas att göra en betalning eller ändra sitt lösenord. Bedragaren använder ofta en känsla av brådska för att pressa offret att agera snabbt.
  • Bluff med hänvisning till auktoritet: Bedragaren skickar ett e-postmeddelande som ser ut att komma från en högt uppsatt chef vars namn offret sannolikt känner till. I e-postmeddelandet ombeds offret att överföra pengar till ett specifikt konto, vanligtvis utomlands. Bedragaren använder ofta en känsla av brådska för att pressa offret att agera snabbt.

Valfångst

Denna typ av spear phishing-attack syftar till att utnyttja en “mycket stor fisk”, t.ex. ett stort företags finansdirektör (CFO) eller någon annan chef på C-nivå.

Här är några exempel på whaling-bedrägerier:

  • Bedrägeri mot VD: Bedragaren skickar ett e-postmeddelande till Vice President of Finance som ser ut att komma från företagets Chief Executive Officer. I mejlet uppmanas det potentiella offret att omedelbart vidta en specifik åtgärd på uppdrag av bedragaren som i slutändan kommer att leda till ekonomisk förlust eller obehörigt utlämnande av känslig information.
  • Bedrägeri genom att utge sig för att vara leverantör: Bedragaren skickar ett e-postmeddelande till Vice President of Procurement som ser ut att komma från någon som offrets företag gör affärer med. Det falska e-postmeddelandet ber offret att godkänna betalning för en faktura som påstås vara “förfallen” eller ändra en leveransadress för en stor beställning.
  • Internt bedrägeri mot anställd: Bedragaren riktar in sig på Vice President of Sales och skickar ett e-postmeddelande som är utformat för att lura dem att vidta en specifik åtgärd som ger angriparen tillgång till känslig information i kundregister.

Smishing

Denna typ av nätfiske använder SMS för att kommunicera med offret. Textmeddelandena innehåller ofta en länk som, när den klickas på, tar offret till en falsk webbplats eller ber offret att lämna känslig information.

Här är några exempel på smishing-bedrägerier:

  • Bluff med paketleverans: Bedragaren skickar ett textmeddelande som ser ut att komma från ett fraktföretag, till exempel UPS eller FedEx. Meddelandet säger att offret har ett paket som väntar på dem och ber dem att klicka på en länk för att spåra det. Länken tar offret till en falsk webbplats som ser ut som ett riktigt fraktbolags webbplats. När offret har angett sin personliga information på den falska webbplatsen kan bedragarna stjäla den.
  • Bankbedrägeri: Bedragaren skickar ett textmeddelande som ser ut att komma från en bank, t.ex. Bank of America eller Wells Fargo. Meddelandet säger att offrets konto har äventyrats och ber dem att klicka på en länk för att verifiera sin information. Länken tar offret till en falsk webbplats som ser ut som den riktiga bankens webbplats. När offret har angett sina inloggningsuppgifter på den falska webbplatsen kan bedragarna stjäla dem.
  • Bluff med återställning av lösenord: Bedragaren skickar ett textmeddelande som ser ut att komma från ett populärt företag som Amazon eller eBay. Meddelandet säger att offrets lösenord har äventyrats och ber dem att klicka på en länk för att ändra det. Länken tar offret till en falsk webbplats som ser ut som en riktig webbplats. När offret har angett sitt gamla lösenord för att ändra det till ett nytt lösenord på den falska webbplatsen kan bedragarna stjäla det.

Vishing

Denna typ av nätfiske utförs via telefon. Angriparen använder sin egen röst, eller en AI-genererad röst, för att utge sig för att vara en representant från ett legitimt företag eller en legitim organisation.

Här är några exempel på vishing-bedrägerier:

  • Bluff med teknisk support: Bedragaren ringer upp offret och påstår sig vara från ett legitimt tekniskt supportföretag. De informerar offret om att deras dator har ett problem och ber om tillstånd att få fjärråtkomst till datorn. När bedragaren har fått fjärråtkomst till offrets dator kan de stjäla deras personliga information eller installera skadlig kod.
  • Bedrägeri genom att utge sig för att vara en myndighet: Bedragaren ringer upp offret och påstår sig vara från en statlig myndighet, t.ex. Internal Revenue Service (IRS) eller Social Security Administration. De kommer att informera offret om att de är skyldiga pengar och be dem betala dem via telefon. I den här typen av nätfiske kan bedragaren använda hot eller skrämsel för att pressa offret att betala.
  • Tävlingsbedrägeri: Bedragaren ringer offret och informerar dem om att de har vunnit ett pris i en tävling eller ett lotteri. De kommer att be offret att tillhandahålla personlig information, till exempel deras personnummer eller bankkontonummer, för att göra anspråk på priset. Bedragaren använder sedan offrets information för att stjäla pengar eller utföra identitetsstöld.

Krypto Phishing

Denna typ av bedrägeri riktar sig mot investerare och handlare i kryptovalutor. Bedragarna skickar e-post eller meddelanden som ser ut att komma från en legitim källa, t.ex. en kryptovalutabörs eller en plånboksleverantör. Mejlen eller meddelandena innehåller ofta en länk som, när den klickas på, tar offret till en falsk webbplats som ser ut som den riktiga webbplatsen. När offret anger sina inloggningsuppgifter eller annan känslig information på den falska webbplatsen kan bedragarna stjäla informationen.

Här är några exempel på krypto-phishingbedrägerier:

  • Bedrägeri med säkerhetsvarning: Bedragaren skickar ett e-postmeddelande som ser ut att komma från en kryptovalutabörs och varnar offret för att deras konto har äventyrats. I mejlet uppmanas offret att klicka på en länk för att verifiera sitt konto. Länken tar offret till en falsk webbplats som ser ut som den riktiga börsens webbplats. När offret har angett sina inloggningsuppgifter på den falska webbplatsen kan bedragarna stjäla dem.
  • Bluff med gåvor: Bedragaren skickar ett meddelande på sociala medier som ser ut att komma från en kändis eller influencer. Meddelandet ber offret att skicka kryptovaluta till en viss adress för att delta i en tävling eller kryptogivning. Adressen tillhör bedragaren och offrets kryptovaluta kommer att stjälas.
  • Bluff med förfalskad webbplats: Bedragaren skapar en falsk webbplats för kryptovalutor som ser ut som en legitim börs eller plånboksleverantör. Bedragaren gör sedan reklam för den falska webbplatsen på sociala medier eller andra onlineplattformar. När offren besöker den falska webbplatsen och anger sina inloggningsuppgifter kan bedragarna stjäla dem.

Attacker mot vattenhål

Denna typ av phishing-bedrägeri riktar sig mot webbplatser som yrkesverksamma inom en viss bransch eller ett visst marknadssegment sannolikt kommer att besöka.

Här är några exempel på bedrägerier med vattenhål:

  • Bedrägeri mot forum: Bedragaren komprometterar ett branschspecifikt forum eller en community-webbplats som yrkesverksamma inom ett visst område sannolikt kommer att besöka. När målgruppen besöker forumet infekteras deras enheter med skadlig kod, eller så skickas de till en falsk inloggningssida som samlar in deras uppgifter.
  • Bedrägeri mot personalportal: Bedragaren riktar in sig på en portal för personalförmåner eller ett intranät som anställda ofta besöker för att hantera sina förmåner, se lönebesked eller få tillgång till företagets resurser. Genom att kompromettera portalen kan angriparen stjäla de anställdas inloggningsuppgifter och personuppgifter eller till och med injicera skadlig kod i deras enheter. Denna information kan användas för företagsspionage eller ytterligare attacker inom organisationens nätverk.
  • Skadlig VPN-bluff: Angriparen skapar en falsk webbplats som erbjuder tillgång till kostnadsfria VPN-tjänster. Personer som registrerar sig för att använda de falska virtuella privata nätverken riskerar att få sina kreditkortsuppgifter stulna, privata foton och videor läckta eller sålda online och privata konversationer inspelade och skickade till angriparens server.

Malvertisements

Denna typ av phishing-attack placerar skadliga annonser på legitima webbplatser. När offren klickar på annonserna kommer de till en falsk webbplats som infekterar dem med skadlig kod.

Här är några exempel på bedrägerier med malvertisering:

  • Bedrägeri med Drive-by-nedladdning: Denna typ av bedrägeri inträffar när skadlig kod automatiskt installeras på en användares dator när de besöker en webbplats som har infekterats med skadlig kod. Den skadliga koden kan användas för att stjäla personlig information, installera annan skadlig kod eller ta kontroll över datorn.
  • Bedrägeri med popup-annonser: Denna typ av bedrägeri innebär att oönskade popup-annonser visas på användarens dator. Annonserna kan innehålla skadlig kod som kapar offrets webbläsare eller gör det möjligt för angriparen att röra sig i sidled genom offrets nätverk och leta efter andra sårbarheter att utnyttja.
  • Clickjacking-bedrägeri: Denna typ av bedrägeri går ut på att lura en användare att klicka på en skadlig länk eller knapp på webbplatsen. Länken eller knappen kan se ut att vara legitim, men den är i själva verket utformad för att installera skadlig kod eller stjäla personlig information.

Angler-phishing

Denna typ av phishing-attack använder populära sociala medier som Facebook och TikTok som attackvektor. Angriparen skapar falska konton på sociala medier för att interagera med riktiga användare på sociala medieplattformar och vinna deras förtroende. Så småningom skickar angriparen ett direktmeddelande (DM) eller lägger upp något på webbplatsen som innehåller en länk till en nätfiskewebbplats.

Exempel på bedrägerier mot sportfiskare är

  • Klagomål på sociala medier: I detta bedrägeri skapar angriparen ett falskt konto på sociala medier som ser ut som ett legitimt kundtjänstkonto för ett företag. De kontaktar sedan personer som har skrivit klagomål om företaget på sociala medier och erbjuder sig att “hjälpa” dem att lösa sina problem. Angriparen omdirigerar sedan offret till en nätfiskewebbplats som ber om offrets e-postadress, telefonnummer eller annan personlig information som angriparen kan använda för att stjäla offrets identitet.
  • Bedrägerier med gemenskapssidor: I det här bedrägeriet skapar angriparen en falsk community-sida som kräver personlig information som namn, adress eller telefonnummer innan åtkomst beviljas. När bedragaren har samlat in offrets information kan de använda den tillsammans med annan information för att begå bedrägeri eller identitetsstöld.
  • Bedrägerier med återbetalning: I detta bedrägeri skickar angriparen ett e-postmeddelande eller textmeddelande som verkar vara från ett legitimt företag, till exempel en bank eller ett kreditkortsföretag. E-postmeddelandet eller textmeddelandet säger att offret är skyldigt en återbetalning och ger offret en länk för att göra anspråk på det. Länken tar offret till en falsk webbplats som ser ut som det legitima företagets webbplats. När offret anger sina personuppgifter på den falska webbplatsen kan angriparen stjäla dem.

Psykologiska strategier som används vid nätfiske

Phishing-strategier för att få ett offer att utföra en specifik handling på uppdrag av angriparen utnyttjar ofta mänsklig psykologi. Genom att utge sig för att vara betrodda enheter, skapa en känsla av brådska eller vädja till offrets önskan att hjälpa till eller vara en del av en grupp kan en angripare få impulsiva svar.

Även om tekniska taktiker som e-postförfalskning, domänimitation eller leverans av skadlig kod är viktiga komponenter, är det den psykologiska manipulationen som ofta avgör framgången. Ironiskt nog är de flesta av de strategier som phishers använder välkända marknadsföringstekniker.

Psykologiska strategier som används för att genomföra framgångsrika attacker inkluderar:

  • Skapa en känsla av brådska: Phishers utformar ofta sin kommunikation så att den ger en känsla av brådska. Människor tenderar att prioritera brådskande ärenden och är mer benägna att agera impulsivt när de uppfattar ett tidskänsligt hot.
  • Inspirera till rädsla: Angriparens kommunikation kommer att hävda att offrets konto kommer att stängas av eller att rättsliga åtgärder kommer att vidtas om de inte agerar omedelbart. Rädda individer är mer benägna att reagera impulsivt.
  • Inspirerar till nyfikenhet: Angriparens kommunikation är utformad för att väcka offrets nyfikenhet genom att tillhandahålla felaktig information eller lockande detaljer som kommer att få dem att klicka på en länk eller öppna en bilaga för att lära sig mer.
  • Hänvisar till auktoritet: Phisherns kommunikation verkar komma från en auktoritet, t.ex. en VD, IT-administratör eller myndighetsperson.
  • Hänvisar till förtrogenhet: Angriparen använder offrets förtroende för ett känt varumärke, en organisation eller en person för att skapa en falsk känsla av säkerhet.
  • Skapa en känsla av knapphet: Angriparen skapar en känsla av exklusivitet eller begränsad tillgänglighet för att motivera offret att agera snabbt.
  • Inspirerar till skuldkänslor: Angriparens kommunikation är utformad för att få offret att känna sig skyldig eller skamsen för att inte ha följt en begäran genom att hävda att kommunikationen inte är den första som skickats.
  • Använda sociala bevis: Angriparen tillhandahåller falska vittnesmål, stöd eller referenser för att få begäran att framstå som trovärdig och socialt validerad.
  • Uppmuntrar till ömsesidighet: Angriparen erbjuder offret något av upplevt värde (t.ex. en rabatt eller freebie) i utbyte mot att de vidtar en önskad åtgärd.
  • Appellerar till det förflutna: Angriparens kommunikation innehåller en begäran som överensstämmer med en tidigare handling som offret är bekant med.
  • Appellerar till vänskap: Angriparens kommunikation efterliknar en kollegas eller väns skrivstil för att sänka offrets vaksamhet.
  • Inspirera till sympati: Angriparens kommunikation är utformad för att utnyttja offrets känsla av sympati och önskan att hjälpa angriparen ur en knipa.
  • Använda FOMO (rädsla för att missa något): Angriparens kommunikation utnyttjar offrets rädsla för att gå miste om en möjlighet eller händelse. Vanligtvis kommer bedragaren att hävda att omedelbar handling krävs för att delta.
  • Tilltalar fördomar inom en grupp: Angriparens kommunikation är utformad för att skapa en känsla av tillhörighet till en social grupp eller “ingrupp” som offret är bekant med. Nätfiskaren utformar nätfiskemail eller meddelanden som ser ut att komma från källor som delar en gemensam identitet eller egenskap med målet.

Tekniska tekniker som används vid nätfiske

De psykologiska strategierna ovan, i kombination med de tekniska taktikerna nedan, är vad som gör phishing-attacker så effektiva. När mottagare agerar på psykologiska triggers faller de ofta offer för de tekniska fällor som döljs i phishing-mail, vishing-telefonsamtal och sms-meddelanden. (Redaktörens anmärkning: Angripare som saknar de tekniska färdigheter som krävs för att utföra en attack kan köpa phishing-kit på dark web).

Tekniska taktiker som ofta används i nätfiskeattacker inkluderar:

  • Spoofing av e-post: Angriparen manipulerar e-postrubriker så att de ser ut att komma från en betrodd källa. Spoofing av e-post underlättas av svagheter i standardprotokollet för att skicka e-post, Simple Mail Transfer Protocol (SMTP). SMTP kräver inte att avsändaren kontrollerar att den “Från”-adress som anges är korrekt, vilket gör det relativt enkelt för angripare att förfalska denna information.
  • Manipulation av länkar: Angriparen använder falska länkar i e-postmeddelanden för att dirigera offren till skadliga webbplatser. Angriparna bäddar ofta in falska webbadresser med legitima underdomäner för att kringgå URL-filter.
  • Domänförfalskning: Angriparen köper domännamn som verkar vara legitima eftersom de liknar legitima och välkända domännamn.
  • Övertagande av underdomäner: Angriparen identifierar en organisations sårbara underdomäner och tar kontroll över dem för att hosta phishing-webbplatser.
  • Angreppsbaserade angrepp: Angriparen skickar phishingmejl med bilagor som innehåller makron eller skript som exekverar skadlig kod. I mejlen används vanligtvis social ingenjörskonst för att övertyga mottagaren om att aktivera makroinstruktionerna eller de skadliga skripten i bilagan.
  • Skadliga omdirigeringar: Angriparen använder dolda iframes eller JavaScript för att omdirigera offren från legitima webbplatser till phishing-sidor.
  • Drive-By-nedladdningar: Angriparen utnyttjar sårbarheter i offrets webbläsare eller programvara för att ladda ner och installera skadlig kod utan offrets vetskap.
  • Fördunklande tekniker: Angriparen använder kodnings- eller fördunklingstekniker för att dölja skadlig kod i e-postmeddelanden eller på webbplatser.
  • Dynamisk laddning av innehåll: Angriparen använder en webbtjänst eller ett JavaScript-ramverk, t.ex. React eller Angular, för att skapa dynamiskt innehåll som inte är inbäddat i webbplatsens kod. Dynamiskt innehåll som genereras i farten kan inte upptäckas med statisk analys.
  • JavaScript-baserade attacker: Angriparen infogar skadlig JavaScript-kod i e-postmeddelanden eller på komprometterade webbplatser för att leverera skadlig kod som möjliggör en ransomware-attack.
  • Man-in-the-Middle-attacker (MitM): Angriparen avlyssnar kommunikation mellan offret och en legitim webbplats för att samla in känsliga uppgifter.
  • Exfiltrering av data: Angriparen skickar data som stulits från offrets enhet till en server som angriparen kontrollerar, så att informationen kan användas senare.
  • Skörd av inloggningsuppgifter: Angriparen skapar falska inloggningssidor för populära tjänster för att samla in användarnamn, lösenord och andra autentiseringsuppgifter.
  • Kapning av sessioner: Angriparen stjäl aktiva sessionscookies eller tokens för att utge sig för att vara en användare och få obehörig åtkomst till dennes konton.
  • Tabnabbing: Angriparen utnyttjar användarens förtroende för flikar i webbläsaren genom att ersätta inaktiva flikar med phishing-sidor.
  • Homografattacker: Angriparen använder Unicode-tecken som liknar latinska tecken i domännamn för att lura offren.
  • Spoofing av innehåll: Angriparen manipulerar webbinnehåll på en komprometterad webbplats för att lura besökare att utföra handlingar som gynnar angriparen.
  • Vidarebefordran av e-post: Angriparen ställer in e-postfilter (regler) i komprometterade e-postkonton som automatiskt vidarebefordrar känsliga meddelanden som innehåller kontoinformation till angriparen.
  • DNS-spoofing: Angriparen manipulerar DNS-poster för att omdirigera användare till falska webbplatser när de anger legitima webbadresser.
  • Cross-Site Scripting (XSS): Angriparen injicerar ett skadligt skript i en webbsidas kod som utför en åtgärd för angriparens räkning. XSS kan användas för att stjäla sessionscookies, som kan innehålla inloggningsuppgifter eller annan känslig information som gör det möjligt för angriparen att utge sig för att vara offret.
  • Imitation av varumärke: Angriparen begär känslig information från offret genom att utnyttja det förtroende de har för ett visst varumärke.
  • SQL-injektion: Angriparen skriver in speciellt utformad SQL-kod i en webbplats inmatningsfält för att få obehörig åtkomst till databaser som webbplatsen använder. SQL-injektion är vanligare i samband med dataintrång och webbapplikationsattacker, men kan även användas i nätfiskeattacker för att samla in information eller leverera skadliga nyttolaster.

Hur man förhindrar nätfiskeattacker

Med hjälp av känslig information från en lyckad phishing-attack kan brottslingar skada offrens finansiella historik, personliga rykte och yrkesmässiga rykte på ett sätt som kan ta flera år att reparera. Kombinationen av psykologiska och tekniska element i nätfiskeattacker förstärker deras effektivitet och understryker vikten av utbildning i cybersäkerhet och robusta försvar för att motverka dessa hot.

Följande säkerhetsåtgärder rekommenderas för att förhindra att nätfiskeattacker lyckas:

  • Öppna aldrig e-postbilagor som inte är förväntade;
  • Klicka aldrig på länkar i e-postmeddelanden där personlig information efterfrågas;
  • Kontrollera en webbadress innan du klickar på den genom att hålla muspekaren över länken så visas den faktiska webbadressen som den leder till. URL:erna ska matcha varandra;
  • Klicka aldrig på länkar som börjar med HTTP istället för HTTPS;
  • Var misstänksam mot alla telefonsamtal som begär personligt identifierbar information (PII) eller överföringar av pengar från ett konto till ett annat;
  • Svara inte på mobilsamtal från okända nummer;
  • Om någon ringer och påstår sig komma från en myndighet eller ett legitimt företag, lägg på luren och ring numret på myndighetens eller företagets officiella webbplats;
  • Lämna aldrig ut kreditkortsnummer över telefon;Tillåt alltid uppdateringar av webbläsare, operativsystem och programvaror som körs lokalt på enheter med internetåtkomst;
  • Använd uppdaterade verktyg för datasäkerhet, t.ex. antivirusprogram och nästa generations brandväggar;
  • Kontrollera telefonnumret till en webbplats innan du ringer till det telefonnummer som anges i ett e-postmeddelande;
  • Använd starka lösenord och tvåfaktorsautentisering (2FA) för alla onlinekonton;
  • Rapportera misstänkta bedrägerier till det företag som phishern utger sig för att vara, samt till statliga myndigheter som Federal Trade Commission (FTC);
  • Om tillämpligt, be teamet för informations- och kommunikationsteknik (IKT) att se över och minska antalet företagskonton med åtkomst till viktiga data och enheter, begränsa delning av lösenord och minska möjligheterna till privilegieeskalering genom att begränsa åtkomstbehörigheterna.

10 tips to protect yourself against a phishing attack

Programvara mot nätfiske

Antiphishing-programvara kan ses som en verktygslåda för cybersäkerhet som använder ett brett spektrum av tekniker för att identifiera och neutralisera phishing-hot. Här är några viktiga egenskaper och funktioner hos programvarusviter mot nätfiske:

  1. Filtrering av e-post: Anti-phishing-lösningar innehåller ofta e-postfiltreringsfunktioner som skannar inkommande meddelanden efter misstänkt innehåll och analyserar avsändaradresser, e-postinnehåll och inbäddade länkar för att identifiera phishing-försök. Adaptiva e-postsäkerhetsappar kan upptäcka onormalt beteende och automatiskt begränsa en anställds åtkomst till känsliga data och system.
  2. Analys av länkar: Dessa verktyg inspekterar webbadresser i e-postmeddelanden för att verifiera deras legitimitet. De jämför länkarna med kända svartlistor över skadliga domäner och bedömer deras rykte.
  3. Innehållsanalys: Denna typ av anti-phishing-programvara analyserar e-postinnehållet och letar efter phishing-indikatorer som felstavningar, misstänkta bilagor eller förfrågningar om känslig information.
  4. Hotinformation i realtid: Många anti-phishing-tjänster förlitar sig på digitala immunsystem med realtidsflöden av hotinformation för att hålla sig uppdaterade om nya phishing-hot och taktiker. Detta hjälper till att snabbt identifiera och blockera nya typer av phishing-kampanjer.
  5. Maskininlärning och AI: Avancerad programvara mot nätfiske använder ML- och AI-algoritmer för att anpassa och förbättra sin detekteringsförmåga. De kan känna igen mönster som tyder på phishing-attacker, även i tidigare osedda hot.

Även om anti-phishing-programvara och anti-phishing-molntjänster är formidabla vapen mot cyberbrottslingar, är det viktigt att komma ihåg att mänsklig vaksamhet fortfarande är en kritisk komponent i effektiv cybersäkerhet. Ingen programvara kan ersätta behovet av att individer är försiktiga, skeptiska och välinformerade om phishinghot.

Utbildning i säkerhetsmedvetande bör gå hand i hand med lösningar mot nätfiske för att skapa en robust försvarsställning.

Relaterade termer

Margaret Rouse

Margaret Rouse är en prisbelönt teknisk skribent och lärare som är känd för sin förmåga att förklara komplexa tekniska ämnen för en icke-teknisk affärspublik. Under de senaste tjugo åren har hennes förklaringar publicerats på TechTargets webbplatser och hon har citerats som en auktoritet i artiklar av New York Times, Time Magazine, USA Today, ZDNet, PC Magazine och Discovery Magazine.Margarets idé om en rolig dag är att hjälpa IT- och affärsproffs att lära sig tala varandras högt specialiserade språk. Om du har ett förslag på en ny definition eller hur man kan förbättra en teknisk förklaring, vänligen maila Margaret eller kontakta…