angrepp på personifiering

En personangrepp är ett försök att få obehörig åtkomst till informationssystem genom att förklä sig som en auktoriserad användare.

Enligt Security Magazinehar det skett en häpnadsväckande ökning med 131 % av valfångst och imitationer av chefer mellan första kvartalet 2020 och första kvartalet 2021, och 55 % av cybersäkerhetsproffsen säger att en chef på deras företag har blivit förfalskad. Dessa attacker kostade företagen 1,8 miljarder dollar i förluster bara förra året.

Problemet är så utbrett att 1 av 3 226 e-postmeddelanden (var 24:e dag) som tas emot av en chef är ett försök till imitation.

I den här artikeln förklarar vi allt du behöver veta om personifieringsattacker, deras typer, hur de upptäcks och hur du skyddar din organisation mot dem.

Vad är en imitationsattack?

Ett personangrepp är en form av social ingenjörskonst där en angripare låtsas vara någon annan eller utger sig för att vara en legitim användare (eller grupp av användare) för att få tillgång till information som han eller hon inte har rätt att ha.

I den här typen av angrepp använder angriparen ofta social ingenjörskonst för att få information om systemet och/eller målet, t.ex. genom att låtsas vara en medlem av IT-avdelningen och be om inloggningsuppgifter.

Utmaningsattacker kan ske personligen, per telefon eller online. De kan vara katastrofala om de inte upptäcks.

Hur utförs en imitationsattack?

Utmaning är när en illvillig aktör låtsas vara en legitim användare eller tjänst för att få tillgång till skyddad information. Det är lätt att utföra personangrepp och de kan vara mycket skadliga, beroende på vilken typ av uppgifter angriparen försöker få tag på.

Allt en angripare behöver göra är att samla in tillräckligt med information om en legitim användare eller tjänst för att lura andra att tro att de är den de utger sig för att vara. Angriparen försöker sedan få sitt mål (eller sina mål) att avslöja känslig information som annars skulle skyddas av säkerhetsåtgärder.

I många fall använder angriparna e-post eller andra former av kommunikation för att försöka göra personangrepp. De skickar e-postmeddelanden där de låtsas vara någon annan (så kallad spoofing), vilket kan inkludera nätfiskemeddelanden som innehåller länkar som laddar ner skadlig kod till en intet ont anande användares system.

En annan metod som angriparna använder är så kallad whaling, vilket innebär att man stjäl en ledares eller ägares identitet och skickar ut e-postmeddelanden där de anställda uppmanas att överföra pengar eller lämna annan känslig information. Eftersom e-postmeddelandet verkar ha kommit från någon i en auktoritativ ställning, följer många anställda instruktionerna utan att ifrågasätta dem.

Hur planeras imitationsattacker?

För att skapa en plan för en personifieringsattack måste hackare först samla in information om sitt mål. De använder ofta offentligt tillgänglig information, t.ex. profiler i sociala medier och offentligt tillgänglig information på företagets webbplats. Hackarna kan använda denna information för att skapa en realistisk persona och börja interagera med anställda på målföretaget.

Hackaren kontaktar de anställda med metoder som är i linje med vad som förväntas av den här personen. Hackaren kan skicka e-post, sms eller ringa anställda med hjälp av en falsk e-postadress eller ett falskt telefonnummer som i största möjliga utsträckning matchar företagets faktiska e-postadress eller telefonnummer - skillnaden finns där, men är nästan osynlig för blotta ögat.

Detta ger den anställde en känsla av att de interagerar med en känd person i organisationen.

Här är ett exempel på en kopia av ett e-postmeddelande:

[email protected]

[email protected]

Som du kan se ovan är skillnaderna mellan de två e-postmeddelandena subtila och lätta att missa, särskilt om du får hundratals e-postmeddelanden per dag.

När hackaren har fått den anställdes förtroende skickar han ett e-postmeddelande som ser ut att komma från en autentisk företagskälla. Dessa e-postmeddelanden innehåller ofta länkar till webbplatser som ber om personlig information eller kräver åtgärder av den anställde (t.ex. nedladdning av filer). Dessa webbplatser och filer är infekterade med skadlig kod som gör det möjligt för hackare att få tillgång till data, stjäla personlig information eller införa andra cyberattacker på företagets nätverk.

Sådana här förfalskade avsändaradresser avvisas genom en strikt DMARC-policyvilket du kan utnyttja för att skydda din e-post mot personifieringsattacker.

Några vanliga metoder för att angripa en personifiering

Det finns flera sätt för angripare att försöka utge sig för att vara du eller någon du känner. Här är några vanliga taktiker:

1. Gratis e-postkonto Attack

Angriparen använder en gratis e-posttjänst för att skicka meddelanden från en e-postadress som liknar den som används av målet. Denna taktik kan användas för att övertyga människor att besöka en skadlig webbplats, ladda ner skadlig kod eller lämna information som lösenord eller kreditkortsnummer.

2. Attack mot kusinernas domäner

Vid en kusin-domänattack skapar angriparen en webbplats som ser nästan identisk ut med din banks webbplats, men som slutar på .com i stället för .org eller .net, till exempel. När folk klickar på länkar i dessa e-postmeddelanden kommer de att komma till den falska webbplatsen i stället för till den riktiga bankens webbplats.

3. Attack med förfalskat kuvert som avsändare

Angriparen skapar ett e-postmeddelande med en avsändaradress som ser ut att komma från ett känt företag, till exempel "[email protected]". Eftersom denna adress ser legitim ut går den förbi de flesta e-postservrarens filter. Angriparen riktar sig sedan till offren med sitt meddelande och lockar dem att klicka på länkar eller öppna bilagor som gör att skadlig kod kan infektera deras datorer.

4. Attack mot förfalskad rubrik avsändare

En header sender-attack är en typ av e-postförfalskning som kan användas för att lura människor att tro att ett meddelande skickats av någon annan än den verkliga källan. Vid denna typ av angrepp ändras fältet "sender" i en e-posthuvudrubrik så att det innehåller en annan adress än den som faktiskt skickade meddelandet. Detta kan göras genom att ändra antingen fältet "From:" eller "Return-Path:", eller båda. Målet med dessa attacker är att få det att se ut som om ett e-postmeddelande har skickats av någon annan - t.ex. en affärspartner eller vän - för att lura mottagarna att öppna meddelanden från någon de känner.

5. Attack mot ett komprometterat e-postkonto

I denna attack får en angripare tillgång till ett legitimt e-postkonto och använder sedan kontot för att skicka e-post och meddelanden till andra personer i organisationen. Angriparen kan hävda att han är en anställd med särskild kunskap eller befogenhet, eller så kan han utge sig för att vara en annan person som har särskild kunskap eller befogenhet.

6. Bedrägeriattack mot VD

I denna attack utger sig angriparna för att vara ett företags VD och försöker övertyga anställda eller kunder om att de behöver tillgång till känslig information. Angriparen använder ofta social ingenjörskonst som phishingmejl eller telefonsamtal som får det att se ut som om de ringer från företagets IT-avdelning. De använder ofta ett språk som är specifikt för din bransch eller ditt företag för att låta mer legitimt och trovärdigt medan de ber om känslig information som lösenord eller kreditkortsnummer.

7. Man-in-the-Middle-attack (MITM-attack)

Den här typen av angrepp innebär att angriparen avlyssnar din kommunikation med en legitim tjänst och sedan vidarebefordrar den till den legitima tjänsten som om den kom från dig. På så sätt kan angriparen avlyssna din kommunikation, ändra den eller förhindra att den sker helt och hållet.

Hur känner man igen en personifieringsattack?

En känsla av brådska:Angriparen kan uppmana mottagaren att agera omedelbart (t.ex. initiera en omedelbar banköverföring, annars kommer kontot att blockeras permanent) genom att använda en brådskande ton i e-postmeddelandet. Detta pressar offren att agera utan att tänka efter.

Konfidentialitet: Angriparen kan ange att den information han eller hon ber om ska hållas privat, vilket innebär att det kan få allvarliga konsekvenser om den avslöjas.

Begäran om att dela känslig information: Angriparen kan be dig om information som endast din bank känner till, t.ex. ditt kontonummer eller lösenord. De kan också be dig dela med dig av dina företagsuppgifter som är privat information som bara du har tillgång till. Detta skulle i sin tur göra det möjligt för dem att komma åt ditt företags databaser och läcka känslig information.

Ändrade e-postadresser: Om du till exempel får ett e-postmeddelande från någon som utger sig för att komma från "Amazon" och ber dig logga in och uppdatera dina kontouppgifter, men e-postadressen i själva verket är "[email protected]", kan detta vara en personifieringsattack.

Dåligt skrivna e-postmeddelanden: Phishing-e-postmeddelanden är dåligt skrivna, ofta med stavnings- och grammatikfel, eftersom de vanligtvis är massproducerade.

Förekomst av skadliga länkar eller bilagor: Skadliga länkar och bilagor är ett vanligt sätt att genomföra en personifieringsattack. Dessa typer av attacker kan identifieras genom förekomsten av:

  • Länkar som öppnas i en ny flik i stället för i den aktuella fliken.
  • Bilagor med konstiga titlar eller filändelser (t.ex. "attachment" eller ".zip").
  • Bilagor som innehåller en körbar fil (t.ex. .exe).

Skydda dig mot imitation

1. Företagen måste vara medvetna om att utbildning i cybersäkerhet är nödvändig för att skydda sig mot den här typen av attacker. Utbildningen bör omfatta följande:

  •  Hur angripare kan utge sig för att vara användare och få tillgång till system.
  •  Hur du känner igen tecken på att någon försöker utge sig för att vara dig, så att du kan vidta åtgärder innan någon skada är skedd.
  •  Hur förebyggande kontroller som tvåfaktorsautentisering kan hjälpa till att förhindra obehöriga åtkomstförsök av någon som försöker utge sig för att vara du.

2. Företagets e-postdomän bör också skyddas mot personangrepp. Detta innebär att du måste ha strikta riktlinjer för registrering av nya domäner och konton inom organisationen, samt hålla reda på vem som har tillgång till varje domän så att de kan tas bort vid behov.

3. När du skapar ett e-postkonto för ditt företag ska du se till att det använder en domän som är specifik för ditt företag. Använd inte "@gmail" eller "@yahoo" eftersom dessa domäner är för generiska och kan användas av vem som helst som vill utge sig för att vara dig. Använd i stället något som "@yourbusinessnamehere.com" där ditt företagsnamn står i stället för "yourbusinessnamehere". På så sätt kommer ingen att tro på dig om någon försöker utge sig för att vara din agent genom att skicka ett e-postmeddelande från en annan e-postadress, eftersom de vet vilket domännamn som passar till ditt företag.

4. Företagen måste överväga att införa e-postsäkerhetslösningar som t.ex. DMARC-analysator som blockerar falska domäner från att leverera e-postmeddelanden med misstänkta bilagor eller länkar (t.ex. nätfiske) genom autentisering.

Vill du ha ett skydd dygnet runt mot utpressning? PowerDMARC är en leverantör av lösningar för autentisering av e-post och tillhandahåller tjänster som gör det möjligt för företag att säkra sin e-postkommunikation. Vi hjälper dig att hantera din domäns rykte genom att se till att endast e-post från auktoriserade avsändare levereras via säkrade gateways, samtidigt som vi skyddar den från att förfalskas av cyberkriminella och phishers.