Så lurar hackern dig

Att knäcka lösenord och bryta sig in i skyddade nätverk kräver ofta stor teknisk specialistkunskap. Oftast är det betydligt enklare att lura av dig informationen direkt.

System med säkerhetsbrister lappas och lagas efterhand. Den som är intresserad av IT-säkerhet och äger en Windowsdator känner kanske till begreppet “Patch Tuesday”, den tisdag varje månad då Microsoft släpper sina säkerhetsuppdateringar.

Men hur förhåller man sig till mänskliga sårbarheter? Här nedan går vi igenom ett antal vanliga knep som angripare använder för att luras. Genom att känna till hur hackern jobbar kan du lättare syna bluffen.

Typer av attacker

Det finns många olika typer av attacker inom det som i säkerhetsvärlden kallas “social engineering”. Några känner du säkert igen, och andra kanske du börjar se nu när du får ett namn på dem.

Spam (skräppost)

Spam, eller skräppost på svenska, definieras som “oombedd” e-post. Ofta handlar det om irriterande reklam eller annan marknadsföring, men den är ändå viktig att hålla reda på eftersom det bland den harmlösa skräpposten också kan finnas e-brev med mer ondskefulla avsikter, till exempel att stjäla din eller organisationens information.

Phishing (nätfiske)

Den som ägnar sig åt nätfiske (phishing) trålar brett bland e-postanvändarna. Det är därför argumentet “Varför skulle någon vara ute efter mig?” fungerar så dåligt när det gäller nätfiskeattacker. Attacken är inte personlig – i stället är tanken att om nätet kastas över tillräckligt många så är det i alla fall några som fastnar.

Bedragarna har blivit allt skickligare på att få nätfiskemejlen att se trovärdiga ut. Ofta uppmanas du att klicka på en länk, och du kommer då till en webbplats som är en trovärdig kopia av en riktig webbplats, där du exempelvis uppmanas att mata in dina kreditkortsuppgifter.

Ett annat knep kan vara att använda url:er som ser trovärdiga ut, men som i själva verket är bluffar. Ett exempel skulle kunna vara www.rnicrosoft.se som är mycket likt www.microsoft.se man läser slarvigt. (Ser du inte skillnaden? Lilla r följt av lilla n kan vara ganska likt ett litet m i vissa typsnitt och i vissa sinnesstämningar.)

Stora seriösa IT-säkerhetsföretag erbjuder sina kunder tjänsten att skicka ut trovärdiga phishingmejl till kundernas anställda för att kunna mäta hur lättlurad personalen är, så att man sedan kan sätta in exempelvis utbildningar (eller samtal med chefen!). Vilken forskare skulle inte bli smickrad av en vänförfrågan på Linkedin från en känd kollega vid ett välrennomerat lärosäte?

Vad syftet med nätfisket är varierar – det kan handla om allt från att stjäla dina identitetsuppgifter till att installera skadlig programvara på din dator, till exempel utpressningsvirus.

Spear phishing (riktat nätfiske)

Medan vanliga nätfiskeattacker siktar brett, handlar spear phishing om motsatsen: riktade attacker mot exempelvis en person eller avdelning. Här har bedragaren gjort sin hemläxa och i förväg samlat in personlig information som gör att mejlet ser mer trovärdigt ut. Det skulle till exempel kunna handla om de fyra sista siffrorna i kreditkortsnumret eller ditt personnummer. Ett annat knep kan vara att få det att se ut som om mejlet kommer från din kollega eller chef.

Whaling (“valfångst”, jakt på storvilt)

Här handlar det om att gå på storviltet. (Man vill gärna skriva “de stora fiskarna”…) Här riktar bedragaren in sig på personer i högsta ledningen (“Bara du som är rektor på ett topp 100-universitet är bjuden på den här exklusiva tillställningen.”) eller på andra viktiga positioner i organisationen. Tanken här är att de här personerna antas sitta på mer kritisk information som kan vara av större värde för bedragaren.

Smishing (nätfiske via sms)

Medan traditionell phishing handlar om e-post, så blir det i stället “smishing” om bedrägeriet görs via sms.

Spim (nätfiske via chatt)

Kommer din skräppost inte via mejlen, utan i stället via din instant message-klient (Facebook Messenger, Whats App etc)? Då är det inte spam – utan spim (instant message förkortas “IM”).

Vishing (nätfiske via röstsamtal)

Om bedrägeriet görs via röstsamtal över nätet (Voice over IP, VoIP) talar man om vishing. Det kan kombineras med att man förfalskar det uppringande numret så att det ser legitimt ut.

Pretexting (scenariobaserat nätfiske)

En pretexting-attack har samma mål som en phishing-attack, men är på sätt och vis mer ambitiös i och med att den bygger på ett scenario som ska te sig rimligt för offret. Det finns alltså en uppdiktad historia, en förevändning, som angriparen använder. Själva den här historien kan sedan levereras via ett telefonsamtal, ett mejl eller något annat – eller en kombination av flera vägar.

Shoulder surfing (“axelsurfning”)

Men det är inte bara på distans som angriparna agerar. Shoulder surfing – att någon kollar över axeln på dig och ser vad du skriver på datorn – känns så vardagligt att det kan kännas ovant att tänka på det som en attack. Men görs det avsiktligt med syftet att tillskansa sig information, till exempel ett kontonummer eller ett lösenord, är det ett angrepp.

Det är kanske lätt att beskrivningen för tankarna till hur någon okänd kommer fram till ditt skrivbord i ett kontorslandskap på jobbet och börjar ställa onaturliga frågor samtidigt som personen sneglar på din skärm. Men det är också vanligt att man sitter på ett kafé eller på tåget och jobbar – en miljö där okänd personer är ett naturligt inslag som man inte tänker på.

Dumpster diving (leta i soporna)

Loppisar marknadsförs ibland med orden “Ditt skräp – någon annans fynd”. I informationssäkerhetssammanhang gäller det också din gamla postitlapp med det där lösenordet som du till slut lyckades lära dig utantill. Eller den där manualen till det nya lokalbokningssystemet som i en skärmdump råkade avslöja för den IT-kunnige bedragaren att ni kör en sårbar version av en applikation i ert nätverk.

Dumpster diving handlar i det här sammanhanget inte om att leta efter något ätbart i containrar, utan i stället om att hitta värdefull information i dina eller din organisations sopor.

Tailgating (“hänga på”-attack)

En tailgating-attack handlar om att “hänga på” någon in genom en dörr för att få tillgång till en plats man inte är behörig att vistas på – som då någon plankar in i tunnelbanan genom gå tätt efter någon genom spärrarna.

För att få den behörige att känna empati och därmed bli mer benägen att hjälpa till och öppna, kan bedragaren till exempel ha famnen full av lådor, sitta i rullstol eller hoppa på kryckor.

Impersonation (imitation)

Lyckas inte bluffen med kryckorna eller lådorna? Kanske går det bättre med blåställ, ett mystiskt mätinstrument och ett förfalskat papper från kommunen? I så fall handlar det snarare om impersonation, alltså att låtsas vara (imitera) någon som har behörighet att komma in – kanske för att putsa fönster eller mäta radon?

Här kan det också handla om att låtsas vara en person med högre status i organisationen än den som angrips. Kanske försöker angriparen via telefon eller e-post övertyga offret om att hen jobbar där och har rätt till en viss behörighet till ett system.

Hoax (bluff)

Det här handlar om bluffmejl som kanske inte direkt är bedrägerier i vanlig bemärkelse, men ändå försök att luras. Det kan handla om historier om svårt sjuka barn vars enda önskan är att deras mejl ska nå fram till 10 000 människor, eller mejlkedjor som går ut på att man ska besvara frågor och skicka vidare till tio av sina bästa vänner.

Men man riskerar också att bli en del av att skicka ett virus vidare, eller i ett listigt försök att samla in information om vänskapsrelationer då man uppmanas att skicka mejlet vidare till ens vänner, men också till avsändaren.

Watering hole attack (“vattenhålsattack”)

Här är analogin vattenhålet där de oskyldiga antiloperna samlas ovetande om att de hungriga lejonen lurar i buskarna.

På samma sätt tänker man sig att angriparen försöker komma åt en grupp eller avdelning på ett företag indirekt, genom att infektera en webbplats som offren ofta besöker och litar på. Angriparen har kanske gått bet när det gäller att lura personerna i gruppen i en spear phishing-attack, och i stället görs då en indirekt attack.

För att lyckas måste angriparen förstås klara av att infektera den aktuella webbplatsen så att offren utsätts för en malware-attack då de besöker den.

december 6, 2021

Inlägget postades i

Okategoriserade

Write a comment

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *