Svindlende phishing: Undgå falske e-mails til og fra dig
Forestil dig det her:
Du sidder på dit kontor, og pludselig hører du lyden af en ny e-mail i din indbakke.
Hvem kunne det være?
Du bliver overrasket, når du ser, hvem afsenderen er.
Lars Løkke.
Hvorfor skulle han dog skrive til dig af alle mennesker i verden?
Hans navn alene får dig til at åbne e-mailen.
Den indledes med, at han roser dig til skyerne, hvorefter han spørger dig, om du er frisk på at samarbejde.
Hvem ville ikke samarbejde med Danmarks statsminister?
Videre i e-mailen står der, at Lars (I er nu på fornavn) beundrer dig så meget, at han gerne vil investere i dig.
Sikke en mulighed!
Alt det kræver er dine kontooplysninger.
Kan du se, hvor det bærer hen?
I nogle tilfælde vil det være åbenlyst, at sådan en e-mail i virkeligheden er sendt fra en svindler – og ikke Lars Løkke.
Problemet er bare, at svindlerne er blevet utroligt gode til at forfalske e-mails. De kan få det til at se ud som om, at afsenderen på e-mailen rent faktisk er den, som de påstår at være (som i ovenstående tilfælde).
Der har fx tidligere været eksempler på direktørsvindel – et trick, hvor svindleren i en e-mail påstår, at han er direktøren i et firma. Det kan svindleren gøre, fordi måden e-mails bliver sendt, tillader hvilken som helst computer at sende e-mails fra hvilken som helst afsender.
Det er smart, men det er ikke problemfrit:
Tænk over, hvis en svindler sendte skumle e-mails fra din e-mail-adresse. Eller hvis svindleren sendte dig e-mails fra en af dine bekendtes e-mail-adresser. Begge tilfælde kan udvikle sig katastrofalt.
Se bare her:
To danske virksomheder mistede 140 millioner kroner grundet phishing
Hvis du undrer dig; ‘Hvor galt kan det gå?’, kan dette måske ændre din holdning.
I marts, 2016, gik det nemlig gruelig galt for to danske virksomheder.
Det lykkedes svindlere at lokke astronomiske beløb ud af regnskabsmedarbejderne i begge virksomheder. Svindlerne påstod, at de var virksomhedernes topchefer, som skulle bruge et millionbeløb til at opkøbe nye virksomheder.
De godtroende medarbejdere faldt i fælden og overførte svimlende 140 millioner kroner til svindlerne.
Av!
Også erfarne mennesker bliver lokket af phishing
Man skulle tro, at mangel på teknologisk kompetence var den største årsag til, at phishing lykkes. Det er dog ikke nødvendigvis korrekt.
I et amerikansk studie blev 150 studerende adspurgt om deres vaner på de sociale medier, hvorefter de 6 uger senere modtog en venneanmodning fra en fremmed.
De, der accepterede venneanmodningen (hvilket de fleste gjorde), blev sendt en privatbesked, som imiterede et phishing-angreb med grammatiske fejl osv.
Beskeden så ud således:
“Got internship from my friend and she’s looking for more people urgently!!! If you are interested to intern and would like more details, please reply with you Student ID No., UB Email User name, Date of Birth (dd/mm/yy) within the next three days.”
Studiet ledte frem til, at jo hyppigere de studerende brugte Facebook, desto større tilbøjelighed havde de til at falde i phishing-fælden (og uddele deres personlige oplysninger).
Dermed er man altså ikke sikret blot fordi, at man er vant til at færdes på internettet.
Så hvad gør, at ellers begavede og erfarne personer (som dig og mig) falder i fælden?
Lad os se …
Psykologi og social engineering gør phishing uimodståeligt
Der er en række psykologiske årsager til, at phishing virker.
Ondsindede IT-kriminelle forsøger at påvirke psyken for at lokke en handling ud af ofret. Dette kaldes ‘social engineering’.
Fx blev mange danskere fornylig tilsendt en SMS fra et cambodiansk telefonnummer. Her forsøgte den (eller de) IT-kriminelle at lokke fortrolige oplysninger ud af ofret i et link, der efterligner NemID’s hjemmeside.
Jeg fik også SMS’en, men jeg opdagede hurtigt de umiddelbare tegn på svindel; Et udenlandsk telefonnummer, grammatiske fejl og et mistænkeligt domæne i linket.
Alligevel kan jeg forestille mig, at nogle danskere faldt i fælden. Og jeg kan også forestille mig, hvorfor de gjorde.
SMS’en misbrugte menneskers hang til vaner.
Vi mennesker danner vaner i vores hverdag for at spare energi på opgaver, som vi egentlig ikke behøver at tænke over.
At tage tøj på, sætte kaffe over eller spise morgenmad. Disse er for mange danskere blevet vaner, som vores hjerner sætter i gang uden nærmere eftertanke.
En anden vane er brugen af vores NemID-kort, som vi per automatik tager op, når vi skal logge ind på diverse online-tjenester.
Forestil dig besværet, hvis den vane skulle brydes, fordi dit NemID-kort pludselig blev ugyldigt. Det ville betyde, at din hjerne aktivt skulle gennemtænke endnu en handling i løbet af dagen – medmindre du selvfølgelig klikkede på linket i SMS’en.
Derfor klikkede folk på linket i SMS’en.
Andre phishing-angreb spiller endda endnu mere på den menneskelige psykologi – både som pisk og gulerod.
Et eksempel på en gulerod i phishing var, da IT-kriminelle sendte falske e-mails om overskyden SKAT (set på version2.dk).
Det er let at forstå, hvorfor man ville klikke på linket.
Tænk over det… 1442 kroner lige ned i lommen!
Pisken kunne derimod ses, da phishere udgav sig for at være NETS. De sendte falske e-mails om, at modtagerens konto var suspenderet (set på borger.dk).
Hvis du modtag e-mailen og ikke handlede, ville din konto ifølge de IT-kriminelle blive lukket på ubestemt tid. Dermed blev du ‘pisket’ til handling.
Som du kan se, læner phishing-angreb sig ofte op ad store varemærker. Det skaber en falsk autoritet, som får modtageren til at handle.
Teknologien bag phishing er relativt simpel, men der opdages alligevel fortsat nye metoder.
Her er nogle af dem:
6 udbredte phishing-metoder
#1 Phishing på de sociale medier
De IT-kriminelle slår til der, hvor befolkningen hænger ud. Og derfor er de IT-kriminelle hoppet med på de social medier.
Hele 67 % af danskerne over 16 år brugte nemlig sociale medier i 2014. Og sikkert endnu flere i år.
Der er forskellige varianter af snyderier på de sociale medier. Her er et par af dem:
- Falske hjemmesider, som ligner Facebook eller LinkedIn på en prik, så den IT-kriminelle kan lytte med, når du indtaster dine login-oplysninger.
- Venneanmodninger fra falske profiler, som sender dig beskeder med ondsindet indhold, hvis du accepterer.
- SPAM af links, som kan være inficeret med Ransomware eller andet malware. Her spilles der ofte på følelserne fx med grusomt eller sexuelt indhold (tænk clickbait på steroider) for at lokke brugeren til at klikke.
Tjek denne artikel på Facebook, hvis du vil se mere om, hvordan phishing kan se ud på Facebook.
#2 Smishing (SMS phishing)
SMS går hurtigt.
Vi læser og besvarer SMS, som var det en fysisk samtale. Og dette elsker de IT-kriminelle.
Vi så tidligere, hvordan Post Danmark (nu PostNord) fik deres navn misbrugt i en SMS med et link, der førte til en ondsindet installations-fil.
De IT-kriminelle kunne formå at gruppere deres SMS i den samtale, som modtageren tidligere har haft med Post Danmark. Dette skyldes, at alle i teorien med de rette værktøjer kan udfylde afsender-feltet.
Det skræmmende ved ovenstående eksempel er, at stavningen og grammatikken er perfekt. Derfor er det svært for modtageren at gennemskue.
#3 Spear phishing (personlige e-mails)
Spear phishing er en personlig slags phishing, som sendes til specifikke personer eller virksomheder.
Bagmændene samler først informationer om ofret, fx: personlig historie, interesser, aktiviteter, e-mail kontakter osv. Disse informationer bruges til at skabe en personlig og troværdig e-mail.
Dette trick er effektivt, fordi phishing e-mailen ser ud til at komme fra en person, som du kender.
#4 Whaling (fx CEO fraud)
Whaling er en gren af spear phishing rettet mod store profiler, fx direktøren i en virksomhed eller en politiker.
CEO fraud (direktørsvindel) er et godt eksempel på whaling. Her udgiver svindlerne sig for at være direktøren i en virksomhed, for derefter at lokke penge ud af en bestemt medarbejder (eksempelvis den økonomiansvarlige).
Da FBI kom frem med en varsel om CEO fraud i 2015, var der mistet hele 2,3 milliarder dollars ved denne type af snyd.
Selvom man skulle tro det, har de store profiler ikke altid den fornødne sikkerhed til at undgå whaling. Derfor er det en profitabel metode for de IT-kriminelle.
#5 Clone phishing
Ved clone phishing kopierer svindlerne en tidligere sendt, legitim e-mail.
Den kopierede e-mail sendes i en opdateret eller identisk version, men hvor svindleren har tilføjet en skadelig vedhæftning eller link.
Metoden misbruger den tillid, som blev skabt i den originale e-mail, og modtageren lokkes dermed til at åbne det inficerende indhold.
#6 Pharming (falske hjemmesider)
Pharming er en metode, hvor brugeren misledes over til en falsk hjemmeside uden at vide det, eller uden at give samtykke til det.
Brugeren videresendes til den falske hjemmeside, fordi den IT-kriminelle har inficeret brugerens computer eller server med en skadelig kode. Den falske hjemmeside er opsat til at ligne en ellers troværdig og kendt hjemmeside.
Med pharming kan svindlerne lokke fortrolige oplysninger ud af ofret.
Telia fik tidligere forfalsket deres hjemmeside af svindlere, som Telias svenske kunder blev lokket til gennem personlige e-mails. Det var altså en kombination af spear phishing og pharming.
Sådan beskytter du dig mod phishing til og fra dig
Blokér ondsindede e-mails med spamfilter
Spamfilter er en klassiker, som har eksisteret i mange år.
Det er et software, som automatisk filtrerer skumle e-mails fra, inden de lander i din primære indbakke.
Spamfilter fungerer ved at tjekke en række parametre på en indgående e-mail. Det tjekker eksempelvis overdreven brug af:
- sælgende ord (“gratis”, “tilbud”, “penge” osv)
- store bogstaver (“ÅBN DENNE EMAIL NU”)
- farvede bogstaver (“Hvordan går det?“)
- udråbsregn (“!!!!”)
- mm.
Der findes forskellige spamfiltre, som du kan bruge. It-afdelingen tilbyder blandt andet et, som tager en stor anddel af SPAM.
Opdag selv de klassiske phishing-kendetræk på lang afstand
Mange gange kan du selv opdage phishing.
Der er nemlig en række træk, som hyppigt indgår i forsøgene på at narre dig. Her er, hvad du bør være varsom med:
- E-mails sendt fra offentlige e-mail-adresser (@gmail.com, @hotmail.com osv.)
- Stavefejl og grammatiske fejl (“Jeg gerne vil hjælpe dig”)
- Uopfordrede vedhæftninger
- Generiske hilsner (“Dear sir”)
- Links til ugenkendelige hjemmesider eller hjemmesider, der er stavet forkert (“http://www.gooolge.dk”) – Hold musen over links, inden du klikker på dem (og pas på, at du ikke klikker ved et uheld!)
- Trusler eller fristelser, som skaber en hastende følelse (“Act now or your account will be deleted in 48 hours”)
Du kan også teste dig selv, dine venner eller kollegaer med Dell’s engelske phishing test.
Ovenstående kan hjælpe dig, men det er ikke en endelig facitliste for, hvordan du undgår at blive narret. Svindlerne bliver nemlig mere og mere snu til eksempelvis at personalisere e-mails.
Det kan altså være tæt på umuligt at gennemskue de falske e-mails. Hav derfor nogle forholdsregler, eksempelvis:
- Giv aldrig dine fortrolige oplysninger (bankkonto, CPR-nummer mm.) ud ved anmodning i en e-mail, på de sociale medier eller i en SMS.
- Kontakt den påståede afsender for at bekræfte, om beskeden er sandfærdig, hvis du har den mindste smule tvivl. Hvis du eksempelvis får en mistænkelig besked fra din bank, bør du ringe til dem og spørge ind til beskeden.
Undgå at svindlere misbruger din e-mail med Sender Policy Framework (SPF)
De fleste e-mails fra forfalskede afsendere kan blokeres med Sender Policy Framework (forkortet SPF).
SPF fungerer ved, at modtagerens e-mailprogram tjekker, om indkommende e-mails fra et domæne er sendt fra en autoriseret server hos domænets administrator.
Og på dansk:
Simpelt forklaret betyder det, at afsenderen, skal være godkendt af domæne-ejeren til at sende e-mails fra det anførte domæne.
Eksempel: Hvis jeg sender en e-mail fra frederik@mærsk.dk, skal Mærsk først godkende mig som afsender.
Som domæneejer fungerer det i praksis ved, at man godkender en række servere, som så får tilladelse til at sende fra ens domæne. Man godkender de servere, som man selv bruger til at sende e-mails – fx netværk, e-mailprogram mm.
Med Sender Policy Framework minimerer du altså risikoen for, at din e-mail bliver misbrugt. Det skal dog sættes rigtigt op – og mange store hjemmesider gør det forkert.
Derudover skal modtageren have opsat SPF-check. Det vil sige, at personens spamfilter eller Exchange server skal være opsat til at kontrollere, om den modtagne e-mail kommer fra et godkendt server.
Altså: SPF til afsenderen, og SPF-check til modtageren.
Hvis du er i tvivl om, hvordan SPF sættes op, kan du kontakte din mail-udbyder.
Hav en beredskabsplan i din virksomhed og formindsk de økonomiske konsekvenser
En beredskabsplan er afgørende.
Der bør handles, når en medarbejder får en phishing e-mail. Det bør fortælles til alle i virksomheden, at der er et angreb på spil.
Da rigshospitalet blev ramt af et phishing-angreb, viste Center for It, Medico og Telefoni, hvordan et effektivt beredskab kan se ud. De handlede ved at …
- udsende en popup-besked flere gange om dagen til alle medarbejderne, der advarede mod phishing-angrebet
- blokere afsenderen, så der hverken kunne (og kan) sendes e-mails til eller fra phishing-mailadressen
- systematisk fjerne de pågældende e-mails fra alle medarbejdernes indbakker
Det er godt gået, og sådan bør din virksomhed også handle i tilfælde af phishing.
SEPO - Sikker mail-løsning
SEPO er Danmarks førende og mest velafprøvede sikker mail-løsning til afsendelse og modtagelse af sikre mails. Med SEPO kan du nemt kryptere og signere alle din virksomheds e-mails i overensstemmelse med dansk lovgivning.
Konklusion
Har du nogensinde set et phishing-angreb?
Det kan have store konsekvenser for dig, hvis du hopper i fælden (som de to danske virksomheder, der mistede 140 millioner kroner).
Men hvis du følger de råd, som jeg giver dig i denne artikel, vil du være langt bedre sikret.
Hør også hvordan vi kan hjælpe med bl.a. backup, Baseline Security, Secure DNS, Anti-virus, IT-sikkerhedspolitik, Sikker e-mail udsendelse, samt bekæmpelse af malware og ransomware.
