Sådan kan vi bekæmpe den evige phishing-trussel

Phishing-beskeder hærger de danske indbakker og de er vanskelige at undgå. Der skal en trebenet strategi til at minimere truslen.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Phishing som fænomen er i støt stigning og sommeren er måske særlig slem, fordi chancen for at få bid kan være højere. Det har de fleste nok også bemærket i form af indbakker, sociale medier og telefoner, der bugner med falske beskeder. På telefonen kalder vi det ”smishing” (SMS) eller ”vishing” (voice).

Udsendelserne kan være udformet efter forskellige principper eksempelvis som en fejlagtig korttransaktion, der skal behandles af modtageren, en falsk udbetaling til en udenlands konto - også kaldet for direktørsvindel - eller i form af en afpresningsbesked med en trussel om offentliggørelse (af ikke eksisterende) sexoptagelser.

Direktørsvindel er et eksempel på meget målrettede beskeder, der forsøger at ramme en bestemt person – såkaldt spear-phishing. Denne angrebsform praktiseres også af aktører, der arbejder for en stat. Formålet kan så være at få adgang til fortrolige oplysninger eller at kunne give sig ud for ofret i angreb på andre.

Fælles for metoderne er, at de forsøger at lokke eller true dig til uforvarende at installere malware, afgive personlige oplysninger og/eller sende penge.

Skåret helt ind til benet er phishing den væsentligste angrebsvektor til de fleste typer af cyberangreb. Der skal en samlet strategi til at bekæmpe den.

Du undgår ikke phishing – anlæg en trebenet strategi

Det er umuligt helt at undgå det digitale bombardement af ondsindede beskeder og du skal gå ad tre veje samtidigt for at mindske skadevirkningen. Du skal have styr på:

  • Tekniske kontroller.
  • Procedurer.
  • Den menneskelige faktor.

Alle, der bestyrer et mail-domæne, bør indføre tekniske kontroller i form af mail-filtrering og teknologier som DMARC (Domain-based Message Authentication, Reporting & Conformance) og DNSSEC (Domain Name System Security Extensions), der gør det vanskeligt for svindlerne af angive en forfalsket afsenderadresse.

Desværre har 87 procent af 1.949 højere uddannelsesinstitutioner i EU stadig ikke implementeret DMARC ifølge en netop offentliggjort undersøgelse.

Metoden giver heller ingen garanti for at slippe for de irriterende beskeder. Både afsender og modtager skal nemlig have implementeret DMARC og den kan omgås, men det er et beskyttende lag sikkerhed.

Aftaler gør forskellen

De kriminelle bliver hele tiden dygtigere og dygtigere og i mange tilfælde kan phishing-beskeder se helt legitime ud.

Jeg blev eksempelvis kontaktet af en virksomhed, der fortalte, at angriberen havde registreret et domæne, der var næsten helt identisk med firmaets. Bogstavet g var blot skiftet ud med et q. Og så hjælper det ikke, at det rigtige domæne er beskyttet med DMARC.

I en mail, der også indeholdt den rigtige afsendersignatur, forsøgte de kriminelle så at få udbetalt et beløb via en direktørsvindel-mail.

Det blev opdaget, men forarbejdet var gjort meget grundigt.

Ved disse direktørsvindelforsøg er det vigtigt, at man har en fast aftale – helst en nedskrevet procedure – om, at medarbejderen skal ringe til chefen, selvom vedkommende er på ferie. På den måde er medarbejderen ikke utryg ved at ringe, og chefen vil helt sikkert hellere godkende en betaling via et kort telefonopkald end miste penge.

En anden vigtig procedure er regler for rapportering af phishing til it-afdelingen, så der hurtigt kan blive spærret for de ondsindede domæner, der bruges i phishing-kampagnen, så sagen kan efterforskes.

Den menneskelige faktor

Da vi ikke kan undgå al phishing i indbakken, er en væsentlig del bekæmpelse af phishing stadig undervisning af brugerne.

Phishing-problematikken kender vi naturligvis også i forskningsverdenen, og derfor har vi i DKCERT udviklet et awareness-værktøj, hvor universiteterne i samarbejde med os kan oprette deres egne virkelighedstro ’phishing-kampagner’ og efterfølgende uddanne brugerne mere målrettet.

Formålet er IKKE at udpege dem, der klikker på en mail, men at give en forståelse af det bagvedliggende mønster og at oplyse brugerne, så de er opmærksomme på de potentielle risici. Meningen er, at it-afdelingen kan klæde medarbejderne på til at blive bedre i stand til at håndtere truslen.

Det skal du lære dine brugere

De gode råd, som vi skal lære brugerne for at undgå phishing-problemer, er stadig:

  • Vær altid kritisk overfor mails - også selvom du tilsyneladende kender afsenderen. Adressen kan være forfalsket, eller afsenderens konto kan være kompromitteret.
  • Lad være med at åbne vedhæftninger, før du er sikker på afsenderen, selvom du er nysgerrig.
  • Lad være med at klikke på links i e-mails. Skriv eller kopier i stedet selv adressen ind i adressefeltet – så kan du også se, om den peger derhen, hvor du forventer.
  • Vær opmærksom på, at banker og myndigheder IKKE beder om personlige oplysninger via mail.
  • Er du det mindste i tvivl om ægtheden, så slet beskeden. Ring eventuelt til afsenderen for at kontrollere ægtheden.
  • Download gerne Forbrugerrådets app ”Mit digitale selvforsvar”, der advarer om kendte, igangværende phishing-kampagner.

Sammen skal vi gøre en forskel.

Oprindelig bragt på Computerworld Online den 26. juli 2019.

Keywords: