Cyberbrottsligheten ökar under årets avslutande helger. Brottslingar utnyttjar Black Friday, julhandeln och liknande begivenheter för bedrägerier. Läs om vad företag, organisationer och individer kan göra för att skydda sig mot de vanligaste bedrägerierna online under julhandeln, som nätfiske (phishing).
9 av 10 cyberattacker startar när någon klickar på en nätfiskelänk
Julen närmar sig och med den julhandeln online och shoppinghögtider som Black Friday. Den digitala världen är nära att rämna av ett stort antal annonser, mejlkampanjer, banners och allt annat som har att göra med försäljning.
Cyberbrottslingar gillar också julhandeln. Conscias Security Operations Center (SOC)-team har upptäckt en ökning av intresset för färdiga lösningar för nätfiske, så kallade “Phishing Kits”, på Dark Web. Det är verktyg som vem som helst kan köpa och enkelt använda för nätfiskekampanjer. Vi har lagt märke till att de flesta nätfiskeverktygen är baserade på julteman. Ett bevis till på att cyberkriminella förbereder sig för ökad handel är att antalet registreringar av vilseledande domännamn på webben ökar.
Medan handlare och marknadsförare sjösätter kampanjer som på legitima sätt tävlar om din uppmärksamhet, ägnar sig brottslingarna åt att skapa annonser för nätfiske, falska webbsidor och mejl, med mera. Olika undersökningar visar på ett mångfalt större antal nätfiskeförsök under slutet av året. Redan 2019 rapporterade till exempel Zscaler om en ökning på 400 procent för de 13 första dagarna av november, jämfört med samma period i oktober. Allt talar för en fortsatt ökning.
De vanligaste bedrägerierna online under julhandeln
Onlinebedrägerier genomförs ständigt och de blir mer intensiva inför julen. De vanligaste bedrägerierna online under julhandeln är nätfiske via mejl (finns även som tjänst – Phishing-as-a-Service (PHaaS) och falska webbsajter som ser ut att tillhöra välkända lokala aktörer.
De här bedrägerierna utförs ofta i form av kampanjer. Ett exempel är ett nätfiskemeddelande om att en mottagare kan klicka på en länk för att få en rabatt. Länken leder till en falsk webbsida, som kan vara en mycket naturtrogen kopia av en riktig webbsida. För det mesta finns det en falsk landningssida, på vilken ett inköp kan göras, eftersom det är det enklaste sättet att genomföra en transaktion. Det finns även mer sofistikerade exempel med att den största delen av en legitim webbsajt klonas.
Det finns också en mindre känd, men effektiv, metod att komma över pengar som förtjänar att nämnas. Brottslingar registrerar en webbplats med ett namn som är mycket likt ett populärt varumärke. Den metoden kallas för fulregistrering – Typosquatting. Det finns vanligtvis ett stort antal annonser på den falska webbsajten, som kan inbringa mycket annonsintäkter åt bedragarna om sajten blir populär. I de flesta fall innehåller sådana sajter också skadlig mjukvara, som kan infektera besökares datorer. Sådant missbruk av varumärken kallas även “brand impersonation”. Det kan medföra att de riktiga varumärken förlorar i förtroende.
Nätfiske: teknisk bakgrund
Conscias SOC märker av julstämning, med rabatter, på Dark Web. Cyberbrottslingar säljer och köper stulna data, som listor med mejladresser för olika länder, stulen källkod för handlares webbsajter, kod för klonade webbsajter, nätfiskeverktyg, med mera.
Bild 1 – Erbjudanden på Dark Web. Källa: RecordedFuture
Mest populära är verktyg för nätfiskekampanjer (phishing kit). Med sådana kan brottslingar enklare genomföra nätfiske. De innefattar till exempel funktioner för att ta sig förbi skydd som 3-D Secure för användning av kredit- och betalkort. Eftersom 3-D Secure används ofta i Europa är det viktigt för brottslingar att kunna kringgå det.
Bild 2 – Exempel på nätfiskeverktyg. Källa: RecordedFuture
Nästa steg i en kampanj för nätfiske, efter att ha skaffat ett verktyg, är att koppla in en falsk webbsida, som imiterar en legitim. En sådan gör att brottslingar kan få tillgång till besökares data.
När en besökare gör ett inköp på en sådan webbsida eller lämnar ifrån sig ekonomiska data, förs dessa data över till verktyget för nätfiske.
Att kringgå 3D-Secure
Därefter följer en rundning av 3D-Secure. När bedrägerioffret väntar på en kod för verifiering med 3D-Secure använder brottslingarna kortinformationen som lämnats för att göra ett inköp på en annan webbsajt. Det senare inköpet sätter i gång en ny verifiering med 3D-Secure. Det sker blixtsnabbt och offret får se koden för den bedrägliga transaktionen och verifierar den. Nätfiskeverktyget sparar den nya koden och genomför transaktionen.
Vad som sker härnäst är beror på brottslingarnas val. Offret kan ha gjort ett annat inköp, åt någon annan, på en annan e-handelssida, eller så förs pengarna helt enkelt över till brottslingarna. Det är viktigt att förstå att den här typen av falska inköp görs med köparens medverkan, vilken säkras med extern verifikation. Brottslingarna har vanligtvis inte tillgång till en enhet som visar koder för verifikationen, som offrets mobil, och kan inte genomföra fler bedrägerier med den kortinformation som de fått tillgång till.
Sådana här bedrägerier blir enklare att genomföra om offret använder ett kort och en e-handelssajt som inte använder 3-D Secure, eller liknande lösningar för verifiering. I sådana fall behöver brottslingarna bara tillgång till kortinformationen.
Det här kan företag göra för att förhindra nätfiske
Det är extremt svårt att kombinera en första klassens användarupplevelse med säkerhet i toppklass. Användare vill att köp ska genomföras enkelt och snabbt. Företag optimerar ständigt användarupplevelser och försöker uppfylla kunders förväntningar. Sådan optimering leder ofta till sämre säkerhet. Extra verifieringar och godkännanden känns besvärliga, de flesta användare gillar dem inte. Att det ofta är bråttom med inköp, av rädsla för att fyndvaror ska bli slutsålda, bidrar till att användares uppmärksamhet på nätfiskeförsök sviktar.
Det finns även tekniska skäl att justera säkerhetslösningar när trycket på en e-handelssajt är högt, för att undvika att transaktioner tar lång tid att genomföra.
Cyberbrottslingar förstår det här mycket väl och utnyttjar det. Vi råder företag att fokusera på sina säkerhetslösningar och att se till att ha tillräckligt kraftfull infrastruktur för att kunna erbjuda bra användarupplevelser online (som med fördel monitoreras med Full-Stack Observability, se vårt FSO whitepaper och –webinar).
Det är sant att det oftast är slutanvändare som blir offer för bedrägerier online. Men företag kan drabbas av både lägre intäkter och försämrad renommé, om deras kunder drabbas av nätfiske. Därför är det viktigt att informera kunderna om de faror som finns. Vi råder företag att berätta för sina kunder om de bedrägerier som de upptäcker och att informera myndigheter om dem, vilket kan bidra till ökad medvetenhet om problemen.
Det här kan användare göra
De vanligaste bedrägerierna online under julhandeln kan bäst motverkas av användarna. Kunskap och medvetenhet är nycklarna. Gör så här:
- Var uppmärksam på avsändaren av ett mejl. Skillnaden mellan en brottslings och en legitim avsändares adresser kan vara en enda bokstav.
- Var uppmärksam på ett mejls innehåll, till exempel om språkbruket är korrekt eller inte – tips i en äldre e-postsäkerhetsguide är fortfarande aktuella.
- Var uppmärksam på länkar som finns i ett mejl. Kontrollera dem genom att föra muspekaren över dem utan att klicka. Du ser den verkliga adressen för destinationen nere till vänster i webbläsaren. Det gör att du kan kontrollera om det är en legitim länk.
- Var uppmärksam på om du avkrävs personliga data i ett mejl.
- Köp inte dyra varor online. Du kan ange övre begränsningar för belopp.
- Kontrollera alltid att e-handelssajter är autentiska, till exempel om det finns HTTPS-anslutning och att domänadressen är korrekt.
- Om möjligt, köp inte varor från nätverk eller datorer som är allmänt tillgängliga, till exempel i bibliotek, kaféer och hotell. Använd VPN (virtuella privata nätverk) om du kan eller använd en pålitlig enhet eller ett pålitligt nätverk.
Hur kan Conscia hjälpa?
Conscia kan hjälpa företag att minska riskerna för bedrägerier online. För bankers räkning kan vi upptäcka om deras kredit- och betalkort, både de egna och deras användares, finns till salu på Dark Web. Vi kan också övervaka registreringar av falska domäner och varna i förväg om falska webbsajter.
Vi publicerar också det specialiserade nyhetsbrevet inom cybersäkerhet ThreatInsights helt kostnadsfritt. I det lyfter vi fram viktiga trender och händelser, vad gäller cyberhot. Anmäl dig och få information varje vecka om de senaste och viktigaste cyberhändelserna och incidenterna i Europa. Det inkluderar sårbarheter som trendar, undersökningar av skadlig kod och aktiviteter på Dark Web.