Phishing har professionaliserats och finns bokstavligen tillgängligt som en »as a service«-tjänst idag, PHaaS komplett med Phishing-kit. De mest effektiva phishing-exemplen är extremt övertygande. Och därför farliga. Vad kan du som företag göra för att inte falla offer för nästa generations phishing-attack?
Mot Phishing as a Service (PHaaS)
Mellanstora företag som faller offer för en riktad phishing-attack förlorar i snitt 1,6 miljoner USD. Samtidigt ökade antalet phishing-attacker med 20 procent under 2021. Taktiken är i grunden enkel. Det handlar om social ingenjörskonst där en hotaktör skickar vilseledande meddelande som är utformat för att lura en person att avslöja känslig information eller installera skadlig programvara. Därmed öppnas dörren för ransomware, skadlig programvara, tillgång till autentiseringsuppgifter etc. Det är en effektiv metod eftersom den utnyttjar den mänskliga faktorn.
”De bästa” exemplen på nätfiskeattacker kan vara extremt svåra att känna igen och är mycket övertygande. Med den senaste tekniken kan cyberbrottslingar också arbeta enligt ”test-and-improve-metoden” och löpande justera taktiken och därmed öka sannolikheten för att ett offer öppnar ett meddelande som innehåller skadlig fil eller klickar på en länk. Phishing är särskilt effektivt när det handlar om leverantörskedjor, där ett trovärdigt e-postmeddelande (eller redan komprometterat meddelande) kan skapas så att det ser ut att komma från en partner i kedjan. Efter den initiala attacken går det att skada systemet med laterala rörelser.
Ökning av Phishing as a Service: Phishing-kit
Även om phishing är en vanlig attackmetod kräver det tekniska färdigheter. Därför har några av hotaktörerna börjat utveckla Phishing-kit, som de säljer på Darknet. De utvecklar phishing-webbsidor med högkvalitet som liknar legitima organisations webbsidor och erbjuder administrationspaneler som kan hantera stora volymmängder. I sin mest avancerade form, Phishing as a Service-modellen (PHaaS), innehåller erbjudandet även teknisk support och regelbundna kunduppdateringar. Eftersom attackerna därmed inte kräver någon teknisk expertis sänks inträdesbarriärerna för cyberbrottslingar.
Kärnan i PHaaS-modellen är ett bra phishing-kit. Ett av de mest populära phishing-kiten är Modlishka. Det är ett penetrationstestverktyg med öppen källkod som automatiserar phishingattacker och kan ta sig förbi tvåfaktorautentisering. När phishingoffer ansluter till Modlishka-servern skickar den omvända proxyn signaler till den imiterade webbplatsen. Offret får autentiskt innehåll från den legitima webbplatsen, men all trafik och offrets alla interaktioner med den legitima webbplatsen passerar och registreras på Modlishka-servern. När ett offer ansluter via servern loggas alla referenser som användaren anger automatiskt i Modlishkas back-end-panelen. Verktyget skapades av den polske forskaren Piotr Duszyński.
Modlishka är bara ett exempel på ett gratis open sourceverktyg med ett integrerat phishing-kit som är tillgängligt för alla. Med PHaaS kommer också kundsupport och regelbundna produktuppdateringar. Det gör tjänsten attraktiv för mindre tekniskt avancerade cyberbrottslingar och aktörer som vill initiera och hantera stora phishing-kampanjer. Under det senaste året har cyberbrottslingar på Darknet lanserat nya phishing-kit eller modifierat befintliga versioner av phishing-malware för att kunna genomföra ännu mer effektiva attacker.
Hur försvarar du dig mot phishing-attacker?
På Conscia CyberDefense är vi övertygade om att nätfiske kommer att förbli en av de mest populära vägarna till initial åtkomst och infektion. Det kommer sannolikt fortsätta att användas så länge det fortsätter vara en framgångsrik metod som ger access till användar- och företagskonton. PHaaS-modellen betyder att cyberbrottslingar snabbt och enkelt skapa och sprida framgångsrika kampanjer som de tjänar pengar på.
Det finns olika försvarstaktiker som skyddar ditt företag mot phishing. Nedan hittar du några av våra rekommendationer som kan hjälpa dig att upptäcka och stoppa attackerna:
- Designa om appens inloggningssida så att den får en kundspecifik vattenstämpel eller förändras beroende på tid. Informera om att om bilden eller vattenstämpeln inte syns är det inte den autentiska inloggningswebbsidan.
- Utför periodiska, filbaserade scanningar i miljön (till exempel med YARA) för att identifiera skadlig programvara. Själva webbinjektionen utförs ofta av skadliga malware-varianter.
- Använd endast HTTPS-anslutning på internet och se till att webbplatsen har legitimt SSL/TLS-certifikat innan du skickar känslig information till den.
- Håll mjukvara och appar uppdaterade
- Om möjligt använd multifaktorautentisering (MFA) och gå mot hårdvarubaserad autentisering med Fast ID Online (FIDO)-kompatibel hårdvara.
- Använd ett skräppostfilter som upptäcker virus, tomma avsändare etc., och blockera skadliga webbplatser med ett webbfilter.
- Hitta fulregistrering/typosquatting i ditt varumärke med hjälp av Cyber Threat Intelligence (CTI)
- Se till att de anställda känner till de senaste metoderna genom löpande user security awareness-utbildningar
- Använd CTI för att hitta aktuella, gamla och nya inloggningssidor.
Phishing as a Service kommer att fortsätta vara ett hot för organisationer och enskilda användare tills de börjar använda cybersäkerhetshygien (t.ex. starka lösenord, MFA, …) och höjer säkerhetsmedvetandet hos anställda med utbildning. Det kan göra hotaktörenas kampanjer olönsamma.
