Phishing har länge varit ett vanligt sätt för någon illasinnad att få tillgång till lösenord och komma åt någon annans konto, och på det sättet få tillgång till information eller använda kontot för att sprida phishing eller annan skadlig kod vidare.

Tillvägagångssättet är ofta väldigt enkelt för en angripare att sätta upp. Det går till och med att köpa färdiga verktyg för phishing som en angripare kan använda.

  • En angripare sätter upp en server som prepareras med ett phishing-kit för ändamålet. Oftast klonas en legitim sida och används för phishingförsöket.
  • Angriparen tar sedan hjälp av någon spamtjänst som gör ett massutskick till användarna med innehåll som länkar till servern. Oftast har mailet en dramatisk framtoning, det kan t.ex. vara mottagarens e-postkonto är fullt eller på väg att stängas av.
  • Mottagaren klickar på länken i mailet och kommer då till en sida där e-postadress och lösenord efterfrågas.
  • Mottagaren matar in sina uppgifter, dessa samlas ihop och skickas till ett annat ställe där angriparen kan få tillgång till dessa uppgifter.
  • Angriparen kan sedan använda dessa uppgifter för att logga in på mottagarens konto och därifrån hämta information och även använda kontot för andra typer av angrepp.
Ett nyligen upptäckt försök som vi analyserat

Idag analyserade vi ett försök där någon försökte tillskansa sig e-postadress samt lösenord från användare. Mailet som kom ville ge sken av att användarens konto var på väg att plockas bort om inte användaren verifierade detta genom att klicka på länken i mailet.

När vi väl har klickat på länken så kommer vi till en sida där vi ombads att skriva in vår e-postadress och sedan klicka på Verify, på sidan finns även en nedräkningstimer som räknar ner hur lång tid innan vårt konto kommer att stängas av. Lägg märke till att det aldrig efterfrågas vilket konto som verifikationen gäller.

När vi klickar på Verfiy så ombeds vi att skriva in vårt lösenord för kontot.

När vi sedan har gjort detta och återigen klickat på Verify så får vi en bekräftelse på att vårt konto har blivit uppgraderat.

Nu har angriparen fått tag i vår e-postadress samt lösenord och kan då logga in med detta på den riktiga tjänsten för att få tag i information eller sprida phishingen vidare för att få tag i fler adresser och lösenord. Efter en liten stund så görs det en redirect från bekräftelsesidan till en rysk e-postsida.

Vad kan göras för att skydda sig mot phishing?

Försöket likt det ovan är bara en i mängden, vi ser dagligen att liknande mail fastnar i våra spamfilter eller i vår sandlåda. Metoden har använts länge och vi ser inget som tyder på att det kommer att avta, snarare tvärtom.

  • Det första är att säkerställa att spamfiltret fungerar och att länkar kontrolleras. Här går det att ta hjälp av olika externa Blocklists för att ytterligare höja skyddet. I vår tjänst Supervision Mail så använder vi både Blocklists från vår spamfilterleverantör samt externa för att höja skyddet mot spam.
  • Ett sätt att skydda sig kan vara att använda tvåfaktorsautentisering för tjänster som är nåbara från internet. Detta gör att enbart ett lösenord inte räcker för att logga in och ta del av informationen.
  • En annan viktig del i att upptäcka denna typ av angrepp är att övervaka varifrån i världen lyckade inloggningar sker. Sker inloggning från ”riskländer” eller länder där inloggningen inte borde gjorts så kan detta vara ett tecken på att kontot har blivit kapat. Med vår tjänst SOC360 kan vi både hjälpa till med övervakning utav lyckade och misslyckade inloggningar och larma när inloggning sker från andra länder.

Anders Gunnarsson
Security Analyst