Phishing er en kraftfuld teknik til at få folk til at afsløre information. Angriberen sender en e-mail, der ser ud til at være fra en legitim kilde, såsom en bank. Offeret klikker på det link, forsøger at logge ind på sin konto, og deres loginoplysninger bliver stjålet.

En phishing-kampagnes succes afhænger af, hvor realistisk den er. Dette kræver et sæt færdigheder, som mange cyberkriminelle ikke har, og det plejede at være en betydelig adgangsbarriere. Men phishing as a Service ændrer på det.

Så hvad er phishing as a service?

Hvad er phishing som en tjeneste?

Phishing as a Service (PaaS) er en del af en trend, hvor cyberkriminelle bliver tjenesteudbydere. I stedet for at udføre cyberangreb på egen hånd, hjælper de andre med at udføre angreb mod et gebyr.

Den er baseret på Software as a Service-forretningsmodellen, hvor kunderne får adgang til software mod et månedligt gebyr.

Dette giver cyberkriminelle en ny indtægtsstrøm, og det giver enhver mulighed for at udføre mere professionelle angreb.

instagram viewer

Hvordan virker PaaS?

PaaS-leverandører annoncerer deres produkter som phishing-sæt. De sælges primært på det mørke web, men nogle phishing-sæt er nu tilgængelige på overfladenettet (dvs. det almindelige internet).

Et phishing-kit indeholder alt det nødvendige for at starte en vellykket phishing-angreb. De inkluderer e-mail-skabeloner til at sende e-mails, som ser ud til at komme fra legitime virksomheder, samt skabeloner til websteder at sende ofre til. Nogle phishing-sæt indeholder også lister over potentielle mål.

Fordi phishing-sæt er målrettet dem uden tekniske færdigheder, indeholder de også ofte detaljerede instruktioner og kundesupport.

Phishing-sæt annonceres som produkter, der giver enhver mulighed for at tjene penge på at udføre phishing-angreb uanset deres færdigheder. Dette er en populær tjeneste for dem, der ønsker at blive involveret i cyberkriminalitet, men mangler den nødvendige viden.

Hvad sker der med de stjålne legitimationsoplysninger?

Efter at et offers legitimationsoplysninger er blevet stjålet, er der en række muligheder. Angriberen kan selv bruge legitimationsoplysningerne. Hvis det er en finansiel konto, kan de forsøge at overføre penge. Eller hvis det er adgang til et netværk, kan de bruge den adgang til at starte et ransomware-angreb.

Legitimationsoplysninger kan også videresælges på det mørke web. Dette giver nogen mulighed for at drage fordel af stjålne legitimationsoplysninger, selvom de faktisk ikke har brug for dem.

Nogle phishing-sæt er også designet til at opbevare en kopi af eventuelle legitimationsoplysninger stjålet og sende dem til phishing-sættets udgiver. Dette giver yderligere potentiel indtægt for phishing-kit-udgiveren. Det betyder også, at legitimationsoplysninger ofte sælges videre på det mørke web, selvom den person, der stjal dem, havde andre intentioner.

Hvorfor er PaaS et problem?

PaaS er et problem, fordi det fjerner barrieren for adgang til phishing. Normalt skal en cyberkriminel forstå HTML for at skabe en effektiv e-mail. De skal også forstå, hvordan man bygger et websted, der både virker realistisk og stjæler adgangskoder. Hvis nogen køber et phishing-kit, behøver de ikke disse færdigheder for at udføre et angreb.

PaaS gør folk, der allerede udfører phishing-angreb, mere succesfulde. En kampagnes succes er ofte begrænset af gerningsmændenes evner. Hvis denne person betaler for et phishing-kit, er det sandsynligt, at flere mennesker vil falde for deres angreb.

PaaS gør også retsforfølgning af phishing-angreb sværere.

Det giver folk, der er gode til at designe phishing-sæt, mulighed for at drage fordel af aktiviteten uden selv at udføre phishing-angreb. Hvis den person, der bruger et phishing-kit, bliver fanget, vil den person, der leverede phishing-sættet, sandsynligvis undgå retsforfølgelse. De kan så fortsætte med at sælge til andre.

Hvem er målrettet af phishing?

Phishing-angreb udføres mod både virksomheder og privatpersoner. Hvis en privatperson er målrettet, kan loginoplysningerne til deres økonomiske og personlige konti blive stjålet.

Et vellykket phishing-angreb på en virksomhed kan resultere i andre cyberangreb. Hvis angriberen stjæler legitimationsoplysningerne til et netværk, kan kundernes private oplysninger blive stjålet, eller ransomware kan installeres.

Sådan undgår du phishing

Selvom PaaS gør phishing-angreb sværere at opdage, kan de stadig undgås, hvis du forstår, hvad du skal kigge efter.

Tjek afsenderen

Phishing-e-mails er afhængige af, at modtageren ikke ser korrekt på afsenderens navn. Afsenderen kan bruge e-mail-spoofing for at virke legitim, men det er umuligt at undgå mindre stavevariationer.

Se efter formateringsfejl

PaaS-produkter inkluderer ofte meget realistiske e-mails, men de er stadig ikke så professionelle som den ægte vare. Se efter fejl i både formatering og anvendt sprog.

Uanset hvem afsenderen er, bør du klik aldrig på et link i en e-mail. Du bør heller aldrig downloade en e-mail-vedhæftet fil, medmindre du er sikker på, hvad den indeholder.

Vær på vagt over for anmodninger om oplysninger

Alle phishing-e-mails beder dig om at gøre noget. Du bør være mistænksom over for enhver e-mail, der beder dig om at give oplysninger eller logge ind på en konto.

Virksomheder bør uddanne medarbejdere

Phishing-angreb mod virksomheder er primært rettet mod medarbejdere. For at afbøde denne trussel skal alle medarbejdere uddannes i overensstemmelse hermed.

Virksomheder kan bruge anti-phishing-software

Software er bredt tilgængelig til at opdage phishing-e-mails og forhindre dem i at nå medarbejdernes indbakker. Selvom denne software ikke er et passende alternativ til medarbejderuddannelse, kan den reducere størrelsen af ​​den trussel, som medarbejderne står over for.

PaaS gør phishing til en større trussel

Phishing er en væsentlig trussel mod både private og virksomheder. Det fører til kontohack på enkeltpersoner og netværksindtrængen i virksomheder. PaaS tilføjer denne trussel ved at tillade enhver at udføre sådanne angreb uanset deres færdigheder.

Introduktionen af ​​PaaS øger ikke kun antallet af phishing, men gør også hvert angreb potentielt mere effektivt. Selvom phishing-e-mails ofte er indlysende, kan enhver, der bruger et betalt for phishing-kit, muligvis stjæle langt flere legitimationsoplysninger.

Kan din Netflix-konto blive hacket?

Læs Næste

DelTweetDelE-mail

Relaterede emner

  • Sikkerhed
  • Phishing
  • Svindel
  • Online sikkerhed
  • Cybersikkerhed

Om forfatteren

Elliot Nesbo (101 artikler udgivet)

Elliot er en freelance tech-skribent. Han skriver primært om fintech og cybersikkerhed.

Mere fra Elliot Nesbo

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!

Klik her for at abonnere