Phishing er en enormt populær cyberkriminalitetstaktik, der bruges af trusselsaktører over hele verden. I årenes løb har phishing diversificeret sig til en række forskellige typer, herunder samtykke-phishing. Men hvordan fungerer samtykke-phishing præcist, og er det en trussel for dig?
Hvad er samtykkephishing?
Samtykke-phishing er en phishing-taktik, der kræver et vist niveau af godkendelse for at lykkes. Disse angreb involverer brugen af ondsindede apps for at få succes, hvor OAuth-apps er et særligt populært valg. Lad os gennemgå et eksempel på samtykke-phishing med en skadelig OAuth-app for at forstå, hvordan processen fungerer.
Som det ofte er tilfældet med phishing generelt, begynder samtykke-phishing-angreb med en e-mail, hvor angriberen hævder at være en officiel enhed. Fordi samtykke phishing bruges til at få adgang skylagringskonti, bruger vi Google Workspace som eksempel. Bemærk, at konti, der allerede er logget ind, er målrettet mod samtykke-phishing.
Lad os sige, at en angriber sender en e-mail til et mål, der hævder at være en Google-medarbejder. I denne e-mail vil angriberen fortælle målet, at de skal logge ind på deres Google Workspace-konto for at udføre en form for funktion. For eksempel kan målet få at vide, at de skal logge på for at bekræfte deres identitet.
Angriberen vil give et link i sin e-mail, som de hævder fører til Google Workspace-loginsiden. Hvis målet forbliver uvidende om fidusen, kan de klikke på linket.
Dette er det punkt, hvor samtykke-phishing adskiller sig fra typisk legitimationsphishing. I det næste trin af angrebet vil trusselsaktøren bruge en ondsindet app hostet af en legitim udbyder til at få adgang til ofrets data. Når offeret klikker på det ondsindede link, vil de blive ført til en tilladelsesside, hvor de bliver bedt om at give udbyderen vis adgang.
Fordi offeret mener, at de har at gøre med en legitim side, er det sandsynligt, at de vil give disse tilladelser. På dette tidspunkt har angriberen dog fået adgang til ofrets Google Workspace-konto.
Men hvorfor vil en angriber have adgang til en persons cloud storage-konto?
Effekterne af samtykkephishing
I cyberkriminalitetsspillet kan data være uvurderlige. Der er forskellige former for information, som en angriber kan udnytte til deres egen fordel, såsom betalingsoplysninger. Men det er usandsynligt, at en cloud-konto vil indeholde sådanne data. Så hvad er meningen med samtykke-phishing?
Mange angribere har en tendens til at målrette mod organisatoriske skylagerkonti for at få adgang til virksomhedsdata. Sådanne data kan være nyttige på en række måder.
For det første kan angriberen muligvis sælge de organisatoriske data på en mørk web-markedsplads. Sådanne ulovlige hjørner af internettet er enormt populære blandt cyberkriminelle, da der kan opnås enorme overskud via salg af data. Cyberkriminelle kan også stjæle virksomhedsdata og kræve en løsesum for deres tilbagevenden, hvilket kan vise sig at være mere rentabelt end blot at sælge disse data på det mørke web. Det vil sige, hvis de ikke også gør det...
Sådan forhindrer du samtykke-phishing
Samtykke phishing bruges ofte mod organisationer frem for enkeltpersoner (derfor er Google Workplace et godt eksempel; det er ideelt for virksomheder). Så det er vigtigt, at virksomhedsledere uddanner deres personale i, hvordan samtykke-phishing fungerer. Mange mennesker er fuldstændig ukendte med phishing og de røde flag, de skal holde øje med, så det kan være uvurderligt for virksomhedens sikkerhed at vise medarbejderne, hvordan de identificerer en eventuel svindel-e-mail.
Derudover kan det være værd at have en liste over forhåndsgodkendte apps, som en given medarbejder kan få adgang til på deres arbejdsenheder. Dette kan eliminere chancen for, at ethvert medlem af personalet ubevidst giver tilladelser til en ondsindet app.
Anvendelse af andre sikkerhedsforanstaltninger kan også være fordelagtigt, såsom anti-spamfiltre og To-faktor-godkendelse (2FA).
Beskyt dine data ved at vide, hvad du skal kigge efter
Samtykke phishing og phishing generelt kan have ødelæggende konsekvenser. Denne form for cyberangreb er bekymrende effektiv til at snyde ofre. Der er dog måder at opfange samtykke-phishing og stoppe det i sine spor. Gennem uddannelse og årvågenhed kan du beskytte dine data effektivt og holde dem ude af hænderne på ondsindede aktører.
