Fagblogg | NetSecurity

Hva er phishing, og hvordan unngår du det?

Skrevet av Netsecurity | 30. mars 2020 06:59:59 Z

Definisjonen på phishing ligger i selve begrepet: Noen forsøker å fiske og stjele med seg verdifull informasjon fra deg. Dette er et digitalt angrep som foregår så stille, og på en så profesjonell måte, at det kan ta lang tid før den som blir angrepet oppdager at noen har vært inne på datamaskinen, mobiltelefonen eller andre enheter som er tilkoblet internett. 

Phishing er noe alle bør forholde seg til og ta på alvor, da det er svært utbredt. Angriperne tjener store summer på folks digitale naivitet, og metodene for å lure oss blir stadig mer avanserte og utspekulerte. 

 

E-post som angrepsflate

Tidligere måtte en bruker utføre en handling for at phishing-angrepet kunne starte, typisk ved å åpne en e-post der noen oppfordrer en til å trykke på en lenke eller et vedlegg. Akkurat dét er lettere å være obs på nå som vi kjenner til denne metodikken, og mange har fått med seg at det er lurt å være på vakt mot slike instrukser i e-post. 

I phishingens spede begynnelse var det til en viss grad mulig å avgjøre med det blotte øye om en e-post med lenke eller vedlegg var legitim. Dette kom ofte til syne ved at teksten tydelig var oversatt i Google Translate, med merkelige formuleringer og dårlig grammatikk, eller at lenken helt tydelig ikke var “normal”. Slike tilfeller blir det stadig færre av, og e-postene, lenkene og utformingen av teksten blir mer og mer utstuderte og troverdige.

Linken kan være kamuflert slik at den ser ut som den går til et nettsted du besøker ofte, og dermed går ikke varsellampene nødvendigvis av. Når du så trykker på linken og kommer inn på nettsiden, er også den falske nettsiden designet såpass godt at det er vanskelig å skille den fra originalen. De fleste biter på når nettsiden de kommer til, ligner veldig på den siden de tror de går til, og legger derfor inn brukernavn og passord for å logge seg inn. 

Så fort angriperne har fått det de trenger, sendes du sømløst over til nettsiden du faktisk skulle besøke, og det kan derfor være snakk om at du tilbringer få sekunder på den falske siden. På den måten kan det gå lang tid før den som er angrepet, oppdager at noe ikke stemmer, og angriperne kan komme utrolig langt med den informasjonen de har fått tak i. Nå er det helt vanlig at en bruker har én innlogging linket til flerfoldige plattformer, mange bruker eksempelvis Facebook for å logge på flere ulike tjenester. Har angriperne fått innloggingen til ett sted, kan de plutselig boltre seg på mange av kontoene dine samtidig. 

 

Sårbare nettlesere og programvare

All programvare har til enhver tid en viss sårbarhet i seg, og nettlesere og e-postlesere er ekstra utsatte her. En av forbedringene som kommer med de jevnlige  programvareoppdateringene, er nettopp å tette slike sikkerhetshull. Et eksempel på dette er e-postleseren din. I dag kan det være nok bare å åpne en e-post for å sette angrepet i gang. Dersom du ikke oppdaterer e-postleseren din regelmessig, blir den raskt utdatert, og vil da fungere som en inngangsportal for hackerne. De kriminelle trenger ikke å bes to ganger, de går på der mulighetene byr seg. 

 

Dette kan du gjøre for å være forberedt

Når det gjelder forberedelse og forholdsregler for å unngå phishing, er det én god og én dårlig nyhet. Den gode nyheten er at det finnes flere grep du kan ta for å beskytte deg best mulig mot phishing. Den dårlige nyheten er at det er umulig å sikre seg mot disse angrepene.

Selv om angriperne stadig fornyer seg og gjør det vanskeligere for oss å avsløre dem, er ikke forsvarsstrategiene så annerledes enn de har vært tidligere. Du har hørt det før, og du kommer til å høre det igjen: Multifaktorautentisering, vedlikehold av programvare, og gode passord. 

 

Multifaktorautentisering og passord

En flerfaktor- eller multifaktorautentisering er en metode for tilgangskontroll, der du må bevise identiteten din før du får adgang. Systemet utfordrer deg som bruker dersom du ikke kan gjenkjennes på ditt vanlige mønster. Dersom du logger deg på fra en annen lokasjon eller enhet enn du vanligvis gjør, blir multifaktorautentisering aktivert. På den måten kan du bekrefte at du er deg. Dette betyr ikke at du trenger å bruke multifaktorautentisering på hver eneste innlogging og operasjon du skal utføre, men denne tilgangskontrollen bør være en del av rutinene der det er nødvendig. 

Den brutale realiteten er at du kommer til å bli lurt, og derfor bør du må planlegge for det verst tenkelige utfallet. I 2020 er multifaktorautentisering og et unikt passord for hver enkelt tjeneste et absolutt minimum. 

Mange opplever det som et mas og mener det er mye jobb å sørge for separate passord for de ulike tjeneste man bruker, men her finnes en enkel løsning: Passord manager. Skriver du inn et masterpassord, åpner du programmet, der du finner de passordene du har for de ulike tjenestene du skal logge på. En slik passordtjeneste gir lange, tilfeldige passord, som er langt tryggere enn passord du lager selv.

Et alternativ er å bruke en USB-nøkkel, som når den er plugget i, genererer de passordene du trenger. Det viktigste er å unngå at du har to passord du bytter mellom, som er lette å gjette seg til, for eksempel navnet og fødselsåret til barnet eller barnebarnet ditt. 

 

Hold programvarene dine oppdatert

Det finnes en sårbarhet i alle programvarer og applikasjoner, uavhengig av om de opererer på mobiltelefon, nettbrett eller PC. De aller fleste holder programvaren sin oppdatert og følger de vedlikeholdsrutinene som anbefales. Gjennomfør de oppdateringene som kommer, dette er en enkel måte å redusere angrepsflaten på.

Les også: Hva er applikasjonssikkerhet?

 

Vær ekstra på vakt

Når noen prøver å lure deg, er det som regel brukernavn og passord de er ute etter. Metodene for å få tak i denne informasjonen blir mer kreative og utspekulerte, og det er stadig vanligere at angriperne utgir seg for å være autoritetspersoner eller mennesker du kjenner. En variant kan være at sjefen din ber deg overføre penger til ham, at en venn sender e-post eller melding over sosiale medier og ber om økonomisk støtte i en krisesituasjon, eller lignende. 

Vi ser også at angriperne spiller på frykt og tidspress, og kan for eksempel si at du har 12 timer på å logge inn og bekrefte informasjonen din før den blir slettet, med en link til innlogging og en oppfordring om at du bør logge inn umiddelbart. Når en slik beskjed kommer fra en avsender som både visuelt og i tone ligner på den du tror det kommer fra, er det fort gjort å gå i fella. En god regel er derfor å være forsiktig med å trykke på lenker og vedlegg i e-poster.

En enkel regel som kan redde deg fra å gå i baret her, er å sjekke om situasjonen du får forespeilet, er reell eller ikke. Får du en e-post fra sjefen om å overføre penger eller logge deg inn så fort som mulig i nettbanken din, eller en Facebook-venn sender melding om at han sitter fast på en utenlandsk flyplass, bør du plukke opp telefonen og ringe vedkommende. Får du ikke tak i vedkommende, bør du sjekke med noen andre som bør være kjent med situasjonen, før du foretar deg noe. 

 

Gode vaner gir stor gevinst

Phishing er et reelt problem, et helt realistisk scenario for absolutt alle. Det er derfor umulig å helgardere seg mot å bli angrepet. Med enkle grep kan du stå mye bedre rustet, og det som er skissert opp her, er en liten innsats for en stor gevinst, en enkel løsning på et stort og komplekst problem.

Blir du overveldet av å lese om phishing og lurer på om du og din bedrift er godt nok forberedt? Ta kontakt med oss for en uforpliktende prat.