Tag Archives: spear phishing

Spear phishing alltmer avancerat

Igår läste jag en intressant artikel i Computerworld om hur spear phishing, det vill säga riktat nätfiske, har blivit alltmer sofistikerat. Nätfiskarna gör mer och mer research innan de ger sig på sina offer och all information som finns till hands på nätet gör phishingförsöken mycket trovärdiga. Dave Jevans från Anti-Phishing Working Group säger till tidningen att ”They’re not going for a password anymore, they’re getting people to install crimeware on their computers.”

I TechWorld skriver Tomas Gilså om vad det är dagens hackare är ute efter – information och företagsdata. Mattias Lindholm på FRA säger att både dataintrång och andra angrepp ökar och bekräftar att angriparna inte är ute efter att visa upp sig längre. Nu hackas det yrkesmässigt och på allvar och man tar god tid på sig, inte sällan installeras kod som kan aktiveras vid ett senare tillfälle.

Det känns som om jag har tjatat om samma sak alltför länge nu och Tomas Gilså drar samma slutsatser i sin artikel – det är dags att ta säkerheten på större allvar och sluta ha okrypterad information på privata datorer och bärbara enheter.

Video: Social ingenjörskonst största risken på nätet

Den här kräver ingen närmare förklaring. Jag berättar lite om problemen med social ingenjörskonst och tar upp ett ganska intressant exempel.

Mer från bloggen om social ingenjörskonst och phishing:

 

Vad innebär stölden från Epsilon?

Epsilon, ett amerikanskt företag som hanterar e-post åt mängder av stora företag, utsattes för ett stort intrång i helgen. Stöldgodset utgjordes av mängder av e-postadresser. Någon kanske tänker att det inte är så illa om de inte även har lösenord, lite spam har ingen dött av?

I vissa fall kan det vara så, men i det här fallet har förövarna inte bara e-postadress utan även namn på kunderna. Dessutom vet de vilket företag innehavaren av adressen varit kund hos. Den som ofta bor på olika Hilton-hotell eller är kund hos JP Morgan Chase eller US Bank har lättare att svälja ett mejl som kommer från dessa företag.

Här bör vi av den anledningen oroa oss inte bara för vanligt nätfiske genom illa författade spamutskick. Det finns en reell risk för avancerad spear phishing, det vill säga målinriktade attacker på enskilda personer.

Vid sådana här incidenter kan det vara bra med några handfasta tips:

  • Klicka inte på länkar i mejl från exempelvis din bank.
  • Lämna inte över någon form av personlig information eller användaruppgifter via e-post.
  • Kontrollera URL:en i adressfältet. Är du säker på att den är korrekt? Tänk på att det är lätt att sätta upp en falsk sida som liknar den riktiga. Det går dock att se på adressen om allt står rätt till.
  • Använd gärna ett program för att hantera dina lösenord. Det gör det mycket enklare att faktiskt ha olika lösenord till olika sajter och det bör man ha. Lösenordsprogram som har funktionen att även skriva in lösenorden gör det bara på den riktiga sidan, det kan minska risken för dina användaruppgifter når fel personer.