Nettkriminaliteten øker i høytider. Cyberkriminelle drar nytte av Black Friday, Cyber Monday og lignende salgsgimmicks. Hva kan bedrifter og enkeltpersoner gjøre for å beskytte seg mot de vanligste sesongsangrepene, som for eksempel phishing?
9 av 10 digitale angrep starter med et klikk på en phishing-lenke
Julen nærmer seg, og med det – tiden for å gi. Butikkene har startet sine salg, som Black Friday, Cyber Monday, og diverse førjulskampanjer.
Nettkriminelle er også fans av salg! Conscias SOC-team har merket en økende interesse for de såkalte «phishingsettene» på det mørke nettet. Dette er verktøy som alle relativt enkelt kan kjøpe og bruke i sin egen phishing-kampanje. Vi har også lagt merke til at mange av disse settene har et høytidstema. Det andre beviset på at nettkriminelle forbereder seg til høytiden er veksten i registrering av villedende webdomener.
Mens butikker lager kampanjer og legitimt prøver å få oppmerksomheten din, holder nettkriminelle seg også opptatt med phishing-annonser, falske nettsteder, e-poster osv. 9% av bedriftene i Norge har blitt utsatt for phishing i 2021, ref. Mørketallsundersøkelsen 2022 fra Næringslivets Sikkerhetsråd.
Ikke la phishing-angrep ødelegge høytiden din – i denne artikkelen kan du lese om hvordan ditt selskap kan bekjempe phishing, hvordan phishing-angrep fungerer og hvordan du som privatperson kan beskytte deg selv.
Typisk nettsvindel i høytiden
Nettsvindel skjer stadig og blir mer intens i høytiden. Følgende taktikker brukes: phishing-e-post og falske nettsider av kjente (og lokale) merkevarer.
Disse taktikkene er ofte knyttet til en kriminells kampanje. For eksempel vil en phishing-melding fortelle brukeren at de kan klikke på en lenke for å få rabatt. Linken fører dem til en falsk nettside, som kan være en utmerket kopi av den originale. Normalt vil kriminelle lage en falsk landingsside hvor kjøpet gjøres, da dette er den enkleste måten å få tak i transaksjonsdata. Mer sofistikerte nettkriminelle vil investere i å klone mesteparten av det originale nettstedet.
Det er også en mindre kjent, men svært effektiv måte å skaffe penger på som er verdt å nevne. Kriminelle registrerer nettsteder med navn svært like populære merker, dette er en teknikk som kalles Typosquatting. Det er vanligvis mange annonser på nettstedet til angriperne, og hvis siden er populær, kan dette gi dem høye annonseinntekter. I de fleste tilfeller kan slike nettsteder også inneholde skadelig programvare, som kan infisere offerets datamaskin. Slik merkevaremisbruk kalles også merkevareetterligning, og resultatet av det kan være at det originale merket blir mindre troverdig og til slutt mister sine kunder.
Phishing: teknisk gjennomgang
Conscias SOC oppdager «høytidsstemning» med tilhørende rabattkoder på det mørke nettet. Nettkriminelle tilbyr og kjøper stjålne data (stjålne e-postlister, organisert etter geografiske regioner, stjålne kildekoder til selgerens nettsted, stjålne kildekoder for nettstedkloner, phishing-sett osv.).
De mest populære «produktene»er phishing-kampanjesett. Disse gjør det mulig for angriperne å forenkle phishing-operasjonene sine og har innebygde verifiseringsbypass-mekanismer som 3DS (3-D Secure er en protokoll som tilbyr et ekstra lag med sikkerhet ved bruk av kreditt- eller debetkort på nettkjøp). I Europa er 3DS en veletablert protokoll, så det er viktig for kriminelle å ha muligheten til å omgå den.
Det neste trinnet i en phishing-kampanje er å koble til et falsk nettsted. Den falske nettsiden, som etterligner en legitim nettside, gjør det mulig for kriminelle å få tak i offerets data.
Når offeret foretar et kjøp på et slikt nettsted eller de legger inn sine kortdata, overføres dataene til phishing-rammeverket. Kjøpet etterfølges av en 3DS-verifiseringsbypass.
Mens offeret venter på 3DS-verifiseringskoden, bruker angriperne de innhentede kortdataene og foretar et kjøp på et annet nettsted. Denne uredelige transaksjonen utløser 3DS-verifiseringen. Siden dette gjøres umiddelbart, mottar offeret 3DS-verifiseringskoden for den uredelige transaksjonen og legger den inn på det falske nettstedet. Settet lagrer automatisk denne koden og utfører transaksjonen.
Hva som skjer deretter, avhenger av angriperens mål. Offeret kunne ha gjort et nettkjøp for noen andre i en annen nettbutikk eller bare overført pengene til angriperen. Det er viktig å understreke at denne typen kjøp (sikret med ekstra verifisering) avhenger av «offerets samarbeid» hver gang. Angriperen har vanligvis ikke en enhet som viser bekreftelseskoden (offerets telefon) og kan ikke gjenta transaksjonen selv til tross for at han har fått kredittkortdataene.
Misbruket er enklere hvis offeret bruker et kort og en nettbutikk der transaksjonene ikke bruker 3DS-systemet (eller noen annen verifiseringsmetode). I så tilfelle trenger angriperen kun kredittkortdataene.
WHITEPAPER
Cybersecurity and the human aspect
I dette whitepaperet ser vi nærmere på det menneskelige aspektet av cybersikkerhet og hvilke tiltak du kan innføre for å gjøre bedriften mer motstandsdyktig mot både eksterne og interne angrep.
Hva kan bedrifter gjøre for å forhindre phishing?
Det er ekstremt vanskelig å kombinere en førsteklasses brukeropplevelse med førsteklasses sikkerhet. Brukerne ønsker at handleprosessen skal være enkel og rask. Bedrifter optimaliserer hele tiden brukeropplevelsen og prøver å tilpasse seg kjøperens forventninger. Optimalisering fører ofte til at sikkerheten kompromitteres. Ytterligere verifikasjoner og bekreftelser oppleves som støy, og en typisk bruker liker dem ikke. Hastigheten må også tas i betraktning («Jeg må kjøpe dette før det blir utsolgt eller før varen ikke er rabattert lenger»), noe som også bidrar til at brukeren er mindre oppmerksom på phishing-forsøk.
På den annen side kan det være tekniske grunner til å justere sikkerhetsmekanismene på grunn av høy etterspørsel fra brukere, og ønsket om å unngå at transaksjonene blir bremset.
Nettkriminelle forstår dette veldig godt og drar nytte av det. Vi råder bedrifter til å fokusere den nødvendige oppmerksomheten på sikkerhetsmekanismer i nettbutikkene sine og sikre den nødvendige tekniske infrastrukturen for å utføre nettkjøp.
Det er sant at sluttbrukere er de vanligste ofrene for nettsvindel. Bedrifter kan imidlertid bli skadet av fall i inntekt og omdømme dersom deres kunder er ofre for phishing-angrep som involverer merkevaren. Det er derfor i deres interesse å holde forbrukerne informert. Vi anbefaler selskaper å varsle brukerne om svindel de oppdager og rapportere dem til nødvendige lokale myndigheter, som kan hjelpe med å gjøre brukerne oppmerksomme på truslene.
Hva kan brukerne gjøre?
I kampen mot nettsvindel kan det meste gjøres av brukere. Kunnskap og bevissthet er nøkkelen. Derfor bør du:
- Vær oppmerksom på e-postavsenderen: forskjellen kan ligge i en enkelt bokstav.
- Vær oppmerksom på e-postens innhold: for eksempel riktig bruk av norsk hvis du forventer en e-post fra en norsk nettbutikk.
- Vær oppmerksom på de tilbudte koblingene inne i e-posten. Sjekk URL-en ved å holde musen over lenken. Den faktiske destinasjonssiden vil vises nederst i venstre hjørne.
- Vær oppmerksom på e-poster som krever personopplysninger.
- Ikke kjøp (veldig) dyre varer på nettet eller sett betalingsgrenser.
- Sjekk alltid ektheten til en nettbutikk (HTTPS-tilkobling, riktig domeneadresse), og
- Hvis mulig, ikke kjøp varer når du er pålogget offentlig tilgjengelige datamaskiner eller nettverk (biblioteker, kaffebarer, hoteller …). Bruk VPN-er hvis du kan, eller foreta kjøpet fra en pålitelig enhet eller nettverk.
Hvordan kan vi hjelpe?
Conscia kan hjelpe selskaper med å redusere risikoen for svindel på nettet. Når det gjelder banker, kan vi oppdage om betalings- (kreditt-/debet) kortene deres (eller betalingskortene til brukerne deres) ligger for salg på det mørke nettet. Vi sporer også registreringen av falske domener og tilbyr avansert gjenkjenning av falske nettsider.
Vi publiserer også ThreatInsights nyhetsbrev gratis, hvor vi legger vekt på sentrale trender og hendelser i cybertrussellandskapet. Registrer deg og motta informasjon en gang i uken om de viktigste og nyeste cyberhendelsene i Europa en gang i uken, inkludert sårbarheter, forskning på skadelig programvare og aktiviteter på det mørke nettet.