7.10 Fördjupning

Hur känner man igen ett phishing-brev?

Det som man ska reagera på är framför allt om man får ett e-brev som på ena eller andra sättet vill att man ska berätta hemligheter som kontonamn och lösenord. I dagsläget blir det allt svårare att känna igen ett phishing-brev. Tumregeln "Om jag får ett e-brev som ber mig skicka lösenordet, så är det lurendrejeri." gäller fortfarande, men det finns fler än ett sätt att skicka lösenord, inte bara i klartext.

Breven är ofta skrivna på väldigt dålig engelska, svenska eller en blandning av både och. Tyvärr blir språket allt bättre så man kan inte längre enbart lita på sin språkkänsla, det kan vara välskrivet, men ändå bluff. Ofta står det saker om uppgraderingar, det är ont om tid och du måste göra något inom t ex 24 timmar, annars blir du avstängd, eller dina filer raderas. Så fungerar det dock inte, du har alltid tid att fråga någon om råd, t ex din lokala Servicedesk.

Lite nyare phishing-brev går ut på att lura mottagaren att klicka på en länk i brevet. Länken leder till något som ser ut som en inloggningssida. Bara för att det ser ut att vara en inloggningssida betyder inte att det är det, istället skriver sidan upp det användarnamn och lösenord du skrev in och skickar till angriparen.

Varför sysslar någon med phishing?

Det finns pengar att tjäna på att skicka phishing-brev. Det finns en myt om att "hacking" och liknande bara görs av finniga tonåringar, till viss del är det säkert så, men i dagsläget sysslar även organiserad brottslighet med olika typer av datorintrång.

Phishing är en lukrativ bransch, föreställ dig att du har lurat 10 000 datoranvändare till att röja sina lösenord. Du har nu tillgång till 10 000 datorkonton som du inte betalar något för. Någon annan betalar för datorerna, underhållet, elektriciteten och lokalerna. Du har en kraftfull resurs som du kan hyra ut till någon annan. Någon annan i det här fallet kan vara ett oseriöst webbapotek som vill göra reklam för sin senaste variant av falsk Viagra och vill nå 2 miljoner potentiella kunder. Det webbapoteket inte vill göra, är betala $10 000 för att göra reklamutskick i form av radio- eller tidningsreklam. Då kan du erbjuda dem att för endast $200 få tillgång till dessa 10 000 datorkonton, för att snabbt få ut 2 miljoner reklam-e-brev (alltså spam).

Nu är din kundbas inte ett enda oseriöst webbapotek, utan hundratals, eller tusentals bolag. Du tjänar snabbt ihop miljoner genom att hyra ut någon annans datorkonton. Du får pengarna, någon annan står för kostnaderna, smart va?

Vilken skada orsakar phishing?

Det jobbiga med phishing är att det är en enorm multiplikationseffekt. Ett enda röjt lösenord orskar 10-tals, ibland 100-tals timmar av uppröjningsarbete efteråt.

Om ett datorkonto har läckt ut och använts av angriparen, så innebär det ofta att ägaren till kontot inte kan jobba som vanligt i ett antal timmar, eftersom en av de första akutåtgärderna är att spärra kontot.

Vidare tar incidenthanteringsgrupper emot, hanterar och besvarar hundratals externa spamklagomål från andra organisationer, alltså organisationer som har mottagit spam som har skickats från kapade konton.

Ytterligare skada kan vara att de organisationer som tagit emot spam för en stund slutar att lita på avsändarorganisationen, och svartlistar deras e-postservrar. Det innebär att ingen på den svartlistade organisationen kan skicka e-post till sina kollegor och vänner hos den som har svartlistat.

En typ av skada som blivit känd på sistone är att många högskolor har prenumerationer på dyra e-tidskrifter. Med ett datorkonto på högskolan, så har man gratis tillgång till dessa tidskrifter. Även detta går att hyra ut till utomstående. "Betala mig $10 så får du tillgång till dyra e-tidskrifter nästan gratis."

Hur skyddar man sig mot phishing?

Som vanlig datoranvändare är bästa skyddet en stor dos misstänksamhet. Lösenord och PIN-koder skall aldrig skickas som svar på e-post. Klicka inte på länkar eller filer utan att först ha tagit reda på om det är din supportorganisation som verkligenhar skickat e-brevet. Ring och fråga!

Som organisation behöver man jobba med kvaliteten på sina egna utskick. Om legitima utskick håller bättre kvalitet än phishing-brev, finns chansen att mottagarna ifrågasätter dåliga brev. Olika metoder för att höja kvaliteten är bland annat:

Enkla och billiga metoder

  • Skicka på både svenska och engelska (om båda språken används internt)

  • Hänvisa till saker som är svåra att fejka, som organisationsstrukturer, linjechefer inklusive korrekt namn, öppettider och telefonnummer.

  • Se till att informationen i brevet även går att hitta på den interna webben och hänvisa dit i brevet "Om du vill veta mera, gå till...".

  • Följ standardmallar för legitima utskick inom er organisation, skriv inte slarvigt!

Lite dyrare och svårare

  • Digital signering av utskick

  • Inkludera det personliga tilltalet i massutskick, dvs undvik "Kära kollega", använd istället "Kära Emil Emilsson"

Det absolut svåraste är dock att utbilda alla inblandade. Dels skall avsändarna av legitima utskick utbildas i att göra det på rätt sätt och att vara konsekventa, dels skall mottagarna utbildas i att förvänta sig en viss kvalitet på utskicken och ifrågasätta det som skiljer sig från det förväntade.


IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt