etterligningsangrep

Et etterligningsangrep er et forsøk på å få uautorisert tilgang til informasjonssystemer ved å forkle seg som autoriserte brukere.

I følge Security Magazine har det vært en svimlende 131 % økning i hvalfangst og etterligning av ledere mellom Q1 2020 og Q1 2021, med 55 % av cybersikkerhetsproffene som sier at en leder i selskapet deres har blitt forfalsket. Disse angrepene kostet bedrifter 1,8 milliarder dollar i tap bare i fjor.

Problemet er så utbredt at 1 av 3 226 e-poster mottatt (en gang hver 24. dag) av en leder er et etterligningsforsøk.

I denne artikkelen beskriver vi alt du trenger å vite om et etterligningsangrep, typene deres, hvordan du oppdager dem og hvordan du forsvarer organisasjonen din mot dem.

Hva er et etterligningsangrep?

Et etterligningsangrep er en form for sosial ingeniørkunst der en angriper utgir seg for å være en annen eller utgir seg for å være en legitim bruker (eller gruppe brukere), for å få tilgang til informasjon de ikke er autorisert til å ha.

I denne typen angrep vil angriperen ofte bruke sosiale ingeniørteknikker for å få informasjon om systemet og/eller målet, som å utgi seg for å være medlem av IT-avdelingen og be om påloggingsinformasjon.

Etterligningsangrep kan være personlig, over telefon eller online. Og kan være katastrofal hvis den ikke oppdages.

Hvordan utføres et etterligningsangrep?

Etterligning er når en ondsinnet aktør utgir seg for å være en legitim bruker eller tjeneste for å få tilgang til beskyttet informasjon. Etterligningsangrep er enkle å utføre og kan være svært skadelige, avhengig av hvilken type data angriperen prøver å få tak i.

Alt en angriper trenger å gjøre er å samle nok informasjon om en legitim bruker eller tjeneste til å lure andre til å tro at de er den de sier de er. Angriperen vil da prøve å få målet (eller målene) deres til å avsløre sensitiv informasjon som ellers ville vært beskyttet av sikkerhetstiltak.

I mange tilfeller vil angripere bruke e-post eller andre former for kommunikasjon for å forsøke etterligningsangrep. De vil sende e-poster som utgir seg for å være noen andre (kjent som spoofing), som kan inkludere phishing-e-poster som inneholder lenker som laster ned skadelig programvare til systemet til en intetanende bruker.

En annen metode som brukes av angripere er kjent som hvalfangst; dette innebærer å stjele identiteten til en leder eller eier og sende ut e-poster som ber ansatte overføre midler eller oppgi annen sensitiv informasjon. Fordi e-posten ser ut til å stamme fra noen i en autoritativ stilling, ville mange ansatte fulgt instruksjonene uten spørsmål.

Hvordan planlegges etterligningsangrep?

For å lage en plan for et etterligningsangrep, må hackere først samle informasjon om målet sitt. De vil ofte bruke offentlig tilgjengelig informasjon, som profiler på sosiale medier og den offentlig tilgjengelige informasjonen på selskapets nettsider. Hackerne kan bruke denne informasjonen til å skape en realistisk persona og begynne å samhandle med ansatte i målselskapet.

Hackeren vil kontakte de ansatte ved å bruke metoder som er i tråd med det som forventes av denne persona. Hackeren kan sende e-post, tekstmelding eller ringe ansatte ved å bruke en falsk bedrifts-e-postadresse eller telefonnummer som samsvarer med selskapets faktiske e-post eller telefonnummer i størst mulig grad – forskjellen er der, men den er nesten usynlig for det blotte øye.

Dette gir den ansatte en følelse av at de samhandler med en kjent person i sin organisasjon.

Her er et eksempel på e-postetterligning:

[email protected]

[email protected]

Som du kan se ovenfor, er forskjellene mellom de to e-postene subtile og enkle å gå glipp av, spesielt hvis du får hundrevis av e-poster per dag.

Når hackeren har fått tilliten til den ansatte, vil de sende dem en e-post som ser ut til å være fra en autentisk bedriftskilde. Disse e-postene inneholder ofte lenker til nettsteder som ber om personlig informasjon eller krever handling fra den ansatte (f.eks. last ned filer). Disse nettstedene og filene er infisert med skadelig programvare som lar hackere få tilgang til data, stjele personlig informasjon eller introdusere andre cyberangrep på selskapets nettverk.

Forfalskede avsenderadresser som disse blir avvist gjennom en streng DMARC-policy , som du kan bruke for at e-postene dine skal holde seg beskyttet mot etterligningsangrep.

Noen vanlige angrepstaktikker for etterligning

Det er flere måter angripere kan prøve å etterligne deg eller noen du kjenner. Her er noen vanlige taktikker:

1. Gratis e-postkontoangrep

Angriperen bruker en gratis e-posttjeneste for å sende meldinger fra en e-postadresse som ligner på den som brukes av målet. Denne taktikken kan brukes til å overbevise folk om å besøke et ondsinnet nettsted eller laste ned skadelig programvare eller oppgi informasjon som passord eller kredittkortnumre.

2. Fetterdomeneangrep

I Cousin Domain Attack oppretter angriperen et nettsted som ser nesten identisk ut med bankens nettsted – men ender med .com i stedet for .org eller .net, for eksempel. De sender deretter e-poster fra dette falske nettstedet: når folk klikker på lenker i disse e-postene, vil de bli ført til det falske nettstedet i stedet for deres ekte bankside.

3. Smidde konvoluttavsenderangrep

Angriperen vil opprette en e-post med en avsenderadresse som ser ut til å komme fra et kjent selskap, for eksempel "[email protected]" Fordi denne adressen ser legitim ut, omgår den de fleste e-postserveres filtre. Angriperen retter deretter mot ofre med budskapet deres, og lokker dem til å klikke på lenker eller åpne vedlegg som lar skadevare infisere datamaskinene deres.

4. Forfalsket header-avsenderangrep

Et header-avsenderangrep er en type e-postforfalskning som kan brukes til å lure folk til å tro at en melding er sendt av noen andre enn dens sanne kilde. I denne typen angrep blir "avsender"-feltet i en e-posthode endret til å inkludere en annen adresse enn den faktiske som sendte meldingen. Dette kan gjøres ved å endre enten "Fra:"- eller "Retur-Path:"-feltene, eller begge deler. Målet med disse angrepene er å få det til å se ut som om en e-post er sendt av noen andre – for eksempel en forretningsforbindelse eller venn – for å lure mottakere til å åpne meldinger fra noen de kjenner.

5. Kompromittert e-postkontoangrep

I dette angrepet får en angriper tilgang til en legitim e-postkonto og bruker den kontoen til å sende e-poster og meldinger til andre personer i organisasjonen. Angriperen kan hevde å være en ansatt med spesiell kunnskap eller autoritet, eller han kan utgi seg for en annen person som har spesiell kunnskap eller autoritet.

6. Administrerende direktør svindelangrep

I dette angrepet utgir angripere seg som administrerende direktør i et selskap og prøver å overbevise ansatte eller kunder om at de trenger tilgang til sensitiv informasjon. Angriperen vil ofte bruke sosiale ingeniørteknikker som phishing-e-post eller telefonsamtaler som får det til å se ut som om de ringer fra bedriftens IT-avdeling. De vil ofte bruke språk som er spesifikt for din bransje eller virksomhet for å høres mer legitimt og pålitelig ut mens de ber om sensitiv informasjon som passord eller kredittkortnumre.

7. Man-in-the-Middle (MITM) angrep

Denne typen angrep innebærer at angriperen avskjærer kommunikasjonen din med en legitim tjeneste og deretter videresender dem til den legitime tjenesten som om de var fra deg. På denne måten kan angriperen avlytte kommunikasjonen din, endre den eller helt forhindre at den skjer.

Hvordan gjenkjenne et etterligningsangrep?

En følelse av at det haster: Angriperen kan oppfordre mottakeren til å handle umiddelbart (for eksempel å sette i gang en umiddelbar bankoverføring, ellers vil kontoen deres bli permanent blokkert) ved å bruke en hastetone i e-postene. Dette presser ofrene til å handle uten å tenke.

Konfidensialitet: Angriperen kan indikere at informasjonen de ber om skal holdes privat, noe som antyder at avsløringen kan føre til alvorlige konsekvenser.

Forespørsel om å dele sensitiv informasjon: Angriperen kan be deg om informasjon som bare banken din vil vite, for eksempel kontonummeret eller passordet ditt. De kan også be deg om å dele bedriftslegitimasjonen din som er privat informasjon bare du har tilgang til. Dette vil igjen gi dem tilgang til bedriftens databaser og lekke sensitiv informasjon.

Endrede e-postadresser: Hvis du for eksempel mottar en e-post fra noen som utgir seg for å være fra «Amazon» som ber deg logge på og oppdatere kontoinformasjonen din, men e-postadressen faktisk er «[email protected]», kan dette være et etterligningsangrep.

Dårlig skrevet e-poster: Phishing-e-poster skrives dårlig, ofte med stave- og grammatikkfeil, da de vanligvis er massegenerert.

Tilstedeværelse av ondsinnede lenker eller vedlegg: Ondsinnede koblinger og vedlegg er en vanlig måte å utføre et etterligningsangrep på. Disse typer angrep kan identifiseres ved tilstedeværelsen av:

  •     Lenker som åpnes i en ny fane i stedet for i gjeldende fane.
  •       Vedlegg med merkelige titler eller filutvidelser (som "vedlegg" eller ".zip").
  •       Vedlegg som inneholder en kjørbar fil (som .exe).

Holde seg beskyttet mot etterligning

1. Bedrifter må være klar over at opplæring i nettsikkerhet er avgjørende for å beskytte seg mot denne typen angrep. Opplæringen bør inneholde:

  •  Hvordan angripere kan utgi seg for brukere og få tilgang til systemer
  •  Hvordan gjenkjenne tegn på at noen prøver å utgi seg for deg, slik at du kan iverksette tiltak før noen skade er gjort
  •  Hvordan forebyggende kontroller som tofaktorautentisering kan bidra til å forhindre uautoriserte tilgangsforsøk fra noen som prøver å utgi seg for deg

2. Selskapets e-postdomene bør også beskyttes mot etterligningsangrep. Dette betyr å ha strenge retningslinjer på plass for å registrere nye domener og kontoer i organisasjonen din, samt holde styr på hvem som har tilgang til hver enkelt slik at de kan fjernes om nødvendig.

3. Når du oppretter en e-postkonto for bedriften din, må du sørge for at den bruker et domene som er spesifikt for bedriften din. Ikke bruk "@gmail" eller "@yahoo" fordi disse domenene er for generiske og kan brukes av alle som vil utgi seg for deg. Bruk i stedet noe som "@dinbedriftsnavnhere.com" der firmanavnet ditt er i stedet for "dittbedriftsnavnher." På den måten, hvis noen prøver å utgi seg for deg ved å sende en e-post fra en annen e-postadresse, vil ingen tro dem fordi de vet hvilket domenenavn som passer til virksomheten din.

4. Bedrifter må vurdere å implementere e-postsikkerhetsløsninger som en DMARC-analysator som blokkerer etterligne domener fra å levere e-poster med mistenkelige vedlegg eller lenker (som phishing-e-poster) gjennom autentisering.

Ønsker du 24/7 beskyttelse mot etterligning? PowerDMARC er en leverandør av e-postautentiseringsløsninger – som tilbyr tjenester rettet mot å gjøre det mulig for bedrifter å sikre sin e-postkommunikasjon. Vi hjelper deg med å administrere domenets omdømme ved å sikre at bare e-poster fra autoriserte avsendere vil bli levert gjennom sikrede gatewayer, samtidig som vi beskytter det mot å bli forfalsket av nettkriminelle og phishere.

Siste innlegg av Ahona Rudra ( se alle )