E-mail-baserede angreb har været et primært kompromis for virksomheder, siden e-mail blev meget brugt. Mens det oprindeligt startede som en måde at levere malware til at sabotere eller ødelægge virksomhedens aktiver, indså angriberne hurtigt, at der var mere at vinde. Når adgangsoplysninger var inden for rækkevidde, sammen med betalingskortdata og værdifulde ID-data, blev e-mail-angreb omdannet til e-mail-phishing-angreb.
Phishing defineres bedst som et forsøg på at få adgang til oplysninger eller legitimationsoplysninger fra slutbrugere ved at udgive sig for at være en potentielt legitim kilde til e-mail eller opkald. Et e-mail-phishing-angreb udføres ofte ved efterligning, spoofing eller domæne-squatting for at få en e-mail-oprindelsesadresse til at vises fra en legitim kilde, såsom Microsoft eller AWS. Angriberen håber, at brugeren vil klikke på et link i e-mailen og enten give legitimationsoplysninger eller e en vedhæftet malware.
ing af malware kan give angriberen et lille fodfæste i netværket, at de vil fortsætte med at eskalere eller pivotere for at bevæge sig gennem netværket uden varsel. Når angriberen først er inde, kan angriberen opnå følsom information eller implementere noget meget mere ondsindet, såsom ransomware.
E-mail-phishing er tilbage
Fordi e-mail-phishing har eksisteret i et stykke tid, antager mange, at det er mindre af en trussel nu, end det var engang. Det modsatte er sandt. Som alt andet inden for cybersikkerhed er kampen mod e-mail-phishing et kat og mus-spil, hvor forsvarerne næsten altid reagerer på angriberne. Efterhånden som cybersikkerhedsteams, værktøjer og forskningsgrupper identificerer mønstre for at hjælpe med at forsvare en organisation, drejer angriberne sig for at undgå dette forsvar og kommer med nye angrebsmetoder.
Der har været en genopblussen af phishing-angreb i de seneste år. Mange værktøjer, herunder G-suite og O365, tilbyder ressourcer til at hjælpe med at mindske risikoen for et phishing-angreb. Disse værktøjer er gode til at fange lavteknologiske massephishing-kampagner gennem maskinlæring og flokviden, men de er ikke skudsikre. Angribere er blevet mere sofistikerede med teknikker, der kan undgå den første opdagelse fra disse værktøjer, hvilket efterlader medarbejderne i frontlinjen for at forsvare virksomheden. Den eneste rigtige måde for organisationer at beskytte sig selv på er at sikre, at slutbrugerne er fuldt uddannede og er meget opmærksomme på hver e-mail, der kommer ind.
Forstå virkningen
Efterhånden som organisationer har forbedret sikkerhedsposition og forebyggelsesfunktioner, er angribere blevet sværere at få adgang til. På grund af dette er angriberne vendt tilbage til at bruge phishing som den primære måde at komme ind i organisationer på.
Ifølge Ponemon 2021 Phishing-undersøgelsen er organisationers gennemsnitlige omkostninger ved phishing steget næsten 5x siden 2015. Desuden er tabet af produktivitet fordoblet på samme tid for medarbejderne. Produktivitetstab kan skyldes, at legitimationsoplysninger er låst, systemer, der skal reimages, eller brugere ikke kan arbejde under undersøgelsen.
Da den største omkostning er det arbejde, der kræves for at genvinde og omdisponere de berørte brugeres aktiver, er der stigende omkostninger, efterhånden som medarbejderne flytter til en mere fjern stilling.
Når sikkerhedsbevidsthed ikke er nok
For at bekæmpe e-mail-phishing-svindel har mange virksomheder træning i sikkerhedsbevidsthed, der guider medarbejderne til at opdage og undgå almindelige angreb. Men beviserne for dens effektivitet er blandede. Undersøgelser viser, at mange medarbejdere ikke giver deres fulde opmærksomhed til sikkerhedstræning. Yderligere kan lange sessioner skabe frustration og negative associationer til de metoder, der kræves for sikkerhed.
Undersøgelser har vist, at træning skal være kort og regelmæssigt for at være effektiv. Fordi phishing-angreb hurtigt forbedres, skal medarbejderne øve sig i at opdage de mest opdaterede svindelnumre. Men selvom dette er kendt, mangler mange organisationer incitamentet eller budgettet til at investere i det høje niveau af bevidsthedstræning, der er nødvendig for at reducere deres samlede risiko.
Det bedste forsvar
Problemet med e-mail-phishing forsvinder ikke. Hvordan kan enkeltpersoner og virksomheder beskytte sig selv mod phishing-angreb? Langt fra en simpel løsning, det bedste forsvar er en flerstrenget tilgang.
For at starte skal virksomheder implementere værktøjer til at hjælpe med at opdage og fjerne phishing-angreb, der let kan identificeres fra indbakker. Denne metode er effektiv, fordi den reducerer muligheden for menneskelige fejl. Selvom sikkerhedstræning mangler, kan en organisation overleve et angreb, hvis den aldrig når en medarbejders indbakke.
Det næste skridt er at implementere et robust trænings- og uddannelsesprogram for medarbejdere i, hvordan man identificerer og rapporterer phishing-angreb. Sidstnævnte er kritisk og let overset. At have en aktiv -loop, så organisationen kan gennemgå mislykkede phishing-forsøg, kan hjælpe it med at stålsætte netværket mod lignende angreb i fremtiden. Medarbejdersikkerhedstræning bør involvere præsentationer og praktisk praksis gennem simulering.
Organisationer skal forklare, at simuleret phishing-træning ikke er beregnet til at fange en person, men at hjælpe dem med at forstå, hvordan man identificerer phishing og fortsætte med at finpudse deres sikkerhedsfærdigheder. Endelig bør en organisation se efter at implementere yderligere responsværktøjer og protokoller, der involverer overvågning af brugeraktivitet.
Hvad er det næste for phishing?
Efterhånden som organisationer forbedrer værktøjer, forebyggelse og detektionsmuligheder, vil vi fortsat se angribere udvikle sig. Vi forventer at se flere lavteknologiske shotgun-phishing-kampagner fra organisationer, der håber at slippe igennem opdagelsen og fange kun én person.
Det er dog mere sandsynligt, at angribere vil dreje for at møde en ny bølge af taktik og teknologi. Denne udvikling sker nu. Flere og flere phishing-angreb kommer ind via SMS-tekst (Smishing) for at omgå virksomhedens kontrol. Ifølge cybersikkerhedsrådgivning Netværkssikret, vil vi også se højere udnyttelse af open source-intelligens til at efterligne betroede leverandører eller endda for at kompromittere en leverandør for at tillade angreb at blive lanceret mod deres kunder.
Uanset den aktuelle tendens for angreb, kan det antages, at phishing vil forblive en af de største indledende kompromisvektorer for angribere.
