• Meny
  • Välj språk

Richard Magnusson — 09/07/21

Den nyligen släppta McAfee Threat Report visar att phishing fortfarande är en av de vanligaste strategierna för cyberkriminella.

De senaste åren har hittills varit tumultartade i världen av cybersäkerhet. Bara när vi ser tillbaka på de senaste 12-24 månaderna har vi ”SolarWind”-attacken, där cyberkriminella påverkade minst tre olika mjukvaruleverantörer som därefter ledde till att hackare trängde sig in hos minst 12 amerikanska federala myndigheter. Detta följdes sedan av Ransomware-attacken mot The Colonial Pipeline, som ledde till en kortvarig energikris efter att ha hindrat verksamheten för detta massiva olje- och gasföretag. Colonial Pipeline tog sig ur denna knipa genom att betala nästan 5 miljoner USD i kryptovaluta till ransomwaregruppen DarkSide.

Under de senaste veckorna har vi också sett en kritisk sårbarhet i Windows, som gör det möjligt för hackare att ta full kontroll över datorer och servrar. Vi har också sett en storskalig pågående attack mot det amerikanska teknikföretaget Kaseya. Nätverkshanterings- och fjärrstyrningsprogrammet som utvecklats av företaget blev påverkat och berörde cirka 60 av deras kunder. Eftersom många av dessa kunder är leverantörer av funktionstjänster med en egen kundbas är det följaktligen långt över 1000 berörda företag globalt, varav många har tvingats stänga ned medan problemet löses, inklusive Sveriges alldeles eget COOP.

Dessa attacker belyser en ökning av det som kallas en ”supply chain attack”. Det innebär att hackare skickar en skadlig kod till en betrodd programvara eller hårdvara för att få tillgång till 100- eller 1000-tals företag samtidigt. Medan Microsofts sårbarhet kräver tillgång till enskild server för att utnyttja den.

Men det har också kommit något bra från all denna aktivitet, särskilt från attacken mot The Colonial Pipeline, vilket uppmuntrade den amerikanska regeringen att skapa en arbetsgrupp mot ransomware-aktivitet. Nu har en stor del av kryptovalutans lösen återfåtts, vilket möjligen antyder att kryptoanonymitet kanske inte fullt existerar.

Det kan vara svårt att greppa vad som kunde ha gjorts för att förhindra ovanstående attacker, eller hur man stoppar it-brottslighet. Realistiskt sett kommer vi nog inte heller kunna göra det. Precis som med andra typer av brottslighet kommer det att fortsätta om det finns pengar att tjäna (eller att information att få ut).

Med allt detta sagt tänkte jag att jag skulle nämna några grundläggande och förebyggande åtgärder ditt företag kan tillämpa som skydd mot att cyberkriminella får tillgång till känslig information eller kontroll över era affärskritiska system.

Det finns ett kritiskt skede i hackers förfarande som kallas ”Initial Access”, när de försöker få tillgång till era system. Enligt en nyligen släppt hotrapport från McAfee, är Phishing fortfarande en av de vanligaste metoderna i detta skede.

Phishing är en typ av digitala bedrägerier där brottslingar försöker efterlikna legitima organisationer för att via e-post eller liknande stjäla känslig information.

Ett gynnsamt scenario för en cyberkriminell som använder en phishingstrategi är att kunna använda en exakt matchning av din domän, fast under en annan TLD (domännamnsändelse).

En exakt matchning av er domän under en annan TLD är ett av de lättaste sätten att förvilla era kunder eller anställda och därmed få dem att interagera med innehållet. Kanske laddar de ner en fil eller klickar på en länk. Innan ni vet ordet av det är har tredjepart fått access till er data och de kriminella letar efter sårbarheter i systemen.

Om ni dessutom aktivt marknadsför er eller har kunder i ett land där ni inte äger domänen, måste ni vara medvetna om att ni inte bara avstår er del av internet i den delen av världen till potentiellt cyberkriminella, utan också att ni skapar intresse och trafik åt dem. De kan exempelvis lägga upp en webbplats som är utformad för att samla in känslig information från anställda eller era kunder.

Den goda nyheten är att det finns några grundläggande strategier och policys som du kan tillämpa för att undvika detta.

Först och främst – Ha en tydlig domänstrategi

Registrera domännamn i de länder där du redan är eller tänker vara aktiv i framtiden, även om de inte genererar trafik, har de ett skyddande värde som kan spara dig mer än 1000 gånger investeringen av domänerna.

En annan vanlig phishing-teknik är Spoofing. Spoofing är e-postmeddelanden med en förfalskad avsändaradress (din domän), vilket möjliggörs genom att du inte har implementerat en process för autentisering.

Saknar ni rätt teknisk konfiguration innebär det att någon kan skicka ett e-postmeddelande från din domän. Men det finns även lösningar för att motverka spoofing.

Implementera DMARC.

Implementering av DMARC rekommenderas starkt och låter din sändande domän ange att dina e-postmeddelanden skyddas av SPF och / eller DKIM och berättar för en mottagare (som Gmail) hur man ska agera om någon av dessa autentiseringsmetoder inte är korrekta. Således kan du redan från början skydda både ditt företag, anställda och kunder från att någonsin få ett Spoofing-e-postmeddelande som använder din domän.

Tydlig strategi för användarbehörigheter

För att förhindra skada kopplat till att anställdas uppgifter sprids, är en mer proaktiv åtgärd att vidta noggrann hantering av varje anställds access/rättigheter. Fråga er själva ”vilken access behöver mina anställda ha för att de ska kunna göra sitt jobb effektivt?”. Ju mer begränsad access, desto mer begränsad kan skadan bli om en cyberkriminell skulle få tillgång till en anställds uppgifter.

Implementera en lösenordspolicy

Om de kriminella inte kan lura dina anställda att interagera med ett skadligt e-postmeddelande – kan de då få tillgång på andra sätt?

Ja, det kan ske! Detta görs genom att hackaren tar sig in via ett svagt lösenord eller har tillgång till ett lösenord som läckt ut. Lösenord till era system eller enheter bör ändras vid intrång av databaser och ni bör också ha vissa minimikrav när det gäller längd och teckenanvändning.

Det är att föredra att använda ett slumpmässigt genererat lösenord med minst tio tecken. Samtidigt som din policy bör tvinga anställda att byta lösenord, låt oss säga, var sjätte månad.

För att ligga steget före cyberkriminella är också tvåfaktorsautentisering att rekommendera. Då ser du till att det inte räcker med bara lösenord för att bryta sig in i era system.

Framför allt, det viktigaste och utan tvekan enklaste att göra är att utbilda era anställda. Förklara vad de behöver se upp för och varför – vilken skada kan orsakas?

Kanske borde en del av onboardingen med era nyanställda innehålla samtal om er policy och säkerhet. Förklara varför de måste följa vissa policys eftersom även den minsta avvikelsen från den övergripande policyn kan orsaka stora skador för både ert företag och era kunder.