Hva er forskjellen på phishing og spear phishing?

Skrevet av Karin Iannetta
Phishing vs spear phishing

Har du mottatt eposter fra aktører som PostNord, VIPPS, Facebook eller Helsenorge, selv om du ikke har bestilt noe på nettet eller vært hos legen? Du kjenner kanskje igjen melding om at din pakke ikke blir levert før du går inn på vedlagt link og betaler frakt først, eller at din brukerkonto er midlertidig utestengt og at det kan fikses ved å klikke på en link. Dette er klassiske eksempler på epostsvindel i Norge. De aller fleste har blitt utsatt for svindelforsøk gjennom denne angrepsmetoden. Nå ser vi også en økning i svindelmetoden spear phishing. Men hva er egentlig phishing og spear phishing? Og hva er forskjellen?

 
utsatt for phishing? Cyberon hjelper deg

Hva er phishing?

Phishing eller nettfisking er svindeleposter der angriperen forsøker å fiske ut sensitive opplysninger om deg eller arbeidsplassen. Uansett størrelsen på virksomheten din, så er epostkommunikasjon der de mest målrettede angrepene forekommer. Under et phishingangrep sender angriperen ut eposter til utallige mottakere der målet er at noen skal falle for budskapet, klikke på linken og kanskje legge inn kortopplysninger, personnummer, passord og brukernavn eller annen informasjon som kan misbrukes. Noen eposter inneholder ondsinnede vedlegg, som krypterer filene dine når du klikker på dem. Dette kalles ransomware og målet her er å holde filene dine som gisler til du betaler løsepenger.

 

Hva er spear phishing?

Phishing er som sagt svindelforsøk gjennom falske eposter med generisk preg som blir sendt til mange. Selv om spear phishing eller spydfisking også er svindelforsøk gjennom falske eposter, så er disse mye mer målrettet og skreddersydd til angrepsmålet - deg.

Målet er kanskje bedriften du jobber i eller et firma din arbeidsplass er leverandør for. Da har angriperen gjort noen undersøkelser i forkant. Kanskje har de funnet ut hva HR-sjefen eller lønnsansvarlig heter? Plutselig gir de seg ut for å være denne personen, som ber deg oppgi kontoopplysninger da det har skjedd noe feil med lønnssystemet. For du vil vel ha din lønn i tide?

 

Hvordan ser en spear phishing-epost ut?

En av fremgangsmåtene som har økt er å hente informasjon til spear-phishing-angrep gjennom sosiale medier. Se for deg at du har vært på en konferanse med flere av kollegaene dine. Dere legger ut et bilde på LinkedIn, og tagger hverandre, arrangøren og andre og takker for en flott konferanse om personvern eller hva det måtte være.

Dermed har du gitt angriperen en gyllen mulighet til å spisse svindeleposten godt:


“Hei xx. Takk for en vellykket konferanse igår. Hyggelig å se så mange kjente og nye ansikter, og vi gleder oss allerede til neste gang. Det ble tatt en del bilder i går, og vi ønsker gjerne å få lagt disse ut snarest. Ta gjerne en titt på denne linken arrangor.no/bilder, og gi beskjed om det er noen bilder du ikke vil skal ut. Vennlig hilsen arrangør xx”.

Klart du vil se om man var på noen av bildene som ble tatt? Eller?

 

Så hvordan oppdager du phishing-eposter?

Noen phishing-eposter er enkle å skjønne at er svindel, mens andre har gjort en mer imponerende jobb med å få de til å se troverdige ut. Røde flagg du likevel bør se etter:

  • Skrivefeil i tekster og linker​

  • Korte frister​

  • Unormale forespørsler fra kolleger​ og ledere

  • Sjekk avsender og domene​t - ser det riktig ut?

  • Er det sannsynlig at du skal motta en epost fra nettopp denne bedriften eller tjenesten? ​

  • Er det kanskje litt rart at du får eposter fra LinkedIn på jobbmail når det er med privatmail kontoen er satt opp med?

  • Om personen ber deg om person- og bankinformasjon

 

Hva gjør du når du blir utsatt for phishing?

Hvis du ikke har klikket på noe, lastet ned noe eller oppgitt sensitiv informasjon, så er det beste å ta et skjermbilde av eposten og dele med ledelsen og sikkerhetsansvarlig. Slik kan bedriften hindre at noen andre faller for svindelen. Du er garantert ikke den eneste som har mottatt eposten.

Derimot om du har klikket på noe, lastet ned noe eller oppgitt sensitiv informasjon og skjønner at dette ikke var ekte, så haster det å snakke med ledelsen og sikkerhetsansvarlig. Skaden er kanskje skjedd, men det betyr ikke at den ikke kan begrenses.

Oppgi informasjon om:

  • Hvem som klikket

  • Når det skjedde

  • Hva skjedde på enheten din - fikk du et notis med forespørsel om løsepenger? Trusler? Annet?

  • Hvilken enhet skjedde det på?

  • Skjedde det noe på de andre enhetene dine?

Last gjerne ned skjema for ansatte ved sikkerhetsbrudd, og ha et par kopier printet ut på arbeidsplassen.

 

Tren de ansatte på å avsløre phishing-angrep

Det er stadig enklere å utgi seg for å være en bekjent eller seriøs aktør. Når hele 85% av sikkerhetsbrudd kan spores tilbake til menneskelig svikt, er det ikke så rart at dette fremdeles er en attraktiv svindelmetode for angripere. Dessuten er det ganske kost- og tidsbesparende med høy sjanse for gevinst.

Svindel gjennom epost vil fortsette å øke. Derfor er det så viktig å trene de ansatte opp til hvordan de skal avsløre phishing og spear phishing-angrep. Det gir de en bedre sjanse til å motstå svindlerne, og bygger samtidig en tryggere arbeidsplass.

Tren opp dine ansatte til å oppdage falske eposter og meldinger ved å:

  • Vise hva de skal se etter

  • Teste de med eksempler på phishing

  • Hold korte sikkerhetskurs med relevante temaer

  • Informere de om hvor de skal melde i fra, og hva de skal gjøre om de faktisk har klikket på en falsk link eller vedlegg

Vil du automatisere sikkerhetsopplæringen for dine ansatte? Les mer om sikkerhetstesting og trening av ansatte.

 

Ønsker du sikkerhetstrening for dine ansatte gjennom Cyberon Security?

Kontakt oss på knappen under, så hører du straks
fra av en av våre IT-sikkerhetsspesialister

 
 
 
Karin Iannetta
Forrige

Høydepunkter Sikkerhetsfestivalen 2023 - dette må du få med deg
Neste

World Password Day: Kom i gang med multi-faktor-autentisering (MFA)