Du har måske allerede hørt om phishing, der kort sagt kan beskrives som en måde, hvorpå man snyder folk på nettet, ofte til at give loginoplysninger eller kreditkortinformation. Hermed kan man nemlig franarre penge eller oplysninger fra folk, som så kan bruges til afpresning. Når vi derimod snakker om spear phishing, så bliver selve processen mere konkret, personlig og specifikt.
Indhold
Spear phishing adskiller sig altså fra almindelig phishing ved, at der ikke blot er tale om at snyde en række mennesker ved f.eks. at lave en falsk loginside og sende et ondsindet link ud til højre og venstre. Nej, i stedet tages der udgangspunkt i en helt bestemt gruppe af mennesker, det kunne f.eks. være en afdeling eller en sektion i en given virksomhed, eller måske endda én specifik person.
Dette gøres ved at bruge personlig information, som er så specifik og unik, at det styrker angrebets effektivitet. Det kan virke særligt effektivt, fordi det faktisk ikke er selve den, der bliver udsat for angrebet, som er det egentlige mål. I næste afsnit kigger vi helt konkret på, hvordan man kan blive udsat for denne slags angreb, konkrete eksempler på forskellige angreb og derfra også, hvordan man så beskytter sig selv bedst muligt mod denne slags angreb.
Spear phishing fungerer, særligt fordi det med den rette efterretningsindhentning kan gøres enormt virkelighedstro. Det kan f.eks. inkludere private mailkorrespondancer, SMS’er fra din bank, oplysninger om din familie eller venner mv. Meget af den nødvendige information kan faktisk findes ved at fremsøge oplysninger, der ligger helt offentligt tilgængeligt. Dette kan f.eks. være på adressedatabaser som Krak og 118, men også sociale medier som Facebook og Instagram gemmer på et væld af information, der kan bruges mod en, og meget af det går under kategorien social engineering. Det kan være noget så simpelt som en avisartikel, hvor man blev interviewet, eller en teenageblog hvor man har svaret på en række spørgsmål, delt sin e-mail eller tanker om et emne.
Som nævnt vil selve målet ofte ikke være den specifikke gruppe eller den enkelte person, der bliver angrebet. I stedet skal det blot ses som en nøgle, en adgangsvej til en server eller større mængder data, hvorved de ondsindede aktører bag kan få fingrene i personfølsomme oplysninger eller erhvervsmæssige informationer, der kan have enorme konsekvenser. Dermed har spear phishing også den helt enorme ulempe, at angrebet først opdages, når det rammer det egentlige mål – og det kan være længe efter, at personen eller gruppen blev udsat for spear phishing. Og ofte er det sket på en helt anden platform, og uden at personerne selv har erkendt det.
Antallet af angreb inden for phishing, og specifikt spear-varianten, er desværre stigende. Dette både fordi mere og mere information findes online på flere og flere netværk, men også fordi det lader til at være en effektiv strategi, hvis man vil være sikker på at få ram på sit mål. Herunder kommer vi med en række eksempler på forskellige angreb, hvordan de kan foregå, og hvilke konsekvenser de kan have.
Dette er blot nogle af metoderne, hvorpå spear phishing foregår, og tit tages der flere metoder i brug på én gang mod samme mål, for at øge chancerne for at det lykkes.
Der er altså ingen tvivl om, at spear phishing kan have vidtrækkende konsekvenser, som kan koste dyrt for både virksomheder og private. Men hvad kan man gøre for at beskytte sig selv bedst muligt? Først og fremmest skal man bruge generel omtanke, når man færdes på internettet – både på arbejde og i det private. Dette er dog nemt at sige, men man kan f.eks. øge sin sikkerhed ved at bruge en VPN app.
Herunder finder du en række gode råd til at holde dig beskyttet:
Hvor rart det end kunne være, så er der desværre ikke nogen alt-i-én-løsning, der kan beskytte en fuldstændigt. I stedet må man ty til sin sunde fornuft, og hvis man opdager, at uheldet er ude, er det altid smartest at reagere så hurtigt som muligt. Skift kodeord, og få cuttet de relevante forbindelser. Er der tale om en adgangsvej til dit arbejde, bør du også informere deres sikkerhedsafdeling hurtigst muligt.