Phishing-angreb er nu utroligt almindelige. Denne metode til cyberkriminalitet kan være meget effektiv i datatyveri og kræver ikke en enorm mængde arbejde på basisniveau. Men phishing kommer også i mange former, hvoraf en er Adversary-in-the-Middle-angreb. Så hvad er Adversary-in-the-Middle phishing-angreb? Og hvordan kan du undgå dem?
Hvad er Adversary-in-the-Middle-angreb?
Et Adversary-in-the-Middle (AiTM) phishing-angreb involverer tyveri af sessionscookies for at stjæle private data og endda omgå autentificeringslag.
Du har sikkert hørt om cookies før. I dag vil de fleste websteder, som du klikker på, bede dig om tilladelse til at bruge cookies til at skræddersy din onlineoplevelse tættere. Kort sagt sporer cookies din onlineaktivitet for at forstå dine vaner. Det er små tekstfiler med data, der kan sendes til din server, hver gang du klikker på en ny webside, hvilket derfor giver visse parter mulighed for at overvåge din aktivitet.
Der er mange slags cookies derude. Nogle er nødvendige, og nogle er simpelthen ikke. AiTM-angreb handler om sessionscookies. Disse er cookies, der midlertidigt gemmer brugerdata under en websession. Disse cookies går straks tabt, når du lukker din browser ned.
Som det altid er tilfældet med phishing, begynder et AiTM phishing-angreb med, at den cyberkriminelle kommunikerer med målet, normalt via e-mail. Disse svindelnumre bruger også ondsindede websteder til at stjæle data.
AiTM-angreb har været et særligt presserende problem for Microsoft 365-brugere, hvor angribere har kontaktet mål og bedt dem om at logge ind på deres 365-konti. Den ondsindede skuespiller vil efterligne en officiel Microsoft-adresse i denne svindel, hvilket også er typisk i phishing-angreb.
Målet her er ikke kun at stjæle login-oplysninger, men at omgå ofrets multi-faktor autentificering (MFA) eller to-faktor autentificering (2FA) lag. Disse er sikkerhedsfunktioner, der bruges til at bekræfte et kontologin ved at anmode om tilladelse fra en separat enhed eller konto, såsom din smartphone eller e-mail.
Den cyberkriminelle vil også bruge en proxyserver til at kommunikere med Microsoft og være vært for den falske 365-loginside. Denne proxy giver angriberen mulighed for at stjæle sessionscookien og ofrets loginoplysninger. Når offeret indtaster deres loginoplysninger ind på det ondsindede websted, vil den derefter stjæle sessionscookien for at give falsk godkendelse. Dette giver angriberen mulighed for at omgå offerets 2FA- eller MFA-anmodning, hvilket giver dem direkte adgang til deres konto.
Sådan beskyttes mod AiTM Phishing-angreb
Selvom et AiTM-phishing-angreb adskiller sig fra et typisk phishing-angreb, kan du stadig bruge den samme praksis for at undgå førstnævnte, som du ville gøre sidstnævnte. Dette begynder med alle links, der er angivet i dine e-mails.
Hvis du modtager en e-mail fra en angiveligt betroet afsender, der angiver, at du skal bruge det medfølgende link til at logge ind på en af dine onlinekonti, skal du være forsigtig. Dette er et klassisk phishing-trick og kan være bekymrende let at gå glip af, især hvis angriberen bruger overbevisende eller presserende sprog for at overbevise dig om at logge ind på en konto så hurtigt som muligt.
Så hvis du modtager en e-mail, der indeholder nogen form for link, skal du sørge for at køre den gennem en link-tjek hjemmeside før du klikker. Oven i dette, hvis e-mailen angiver, at du skal logge ind på en konto, skal du blot søge efter login-siden på din browser og få adgang til din konto der. På denne måde kan du se, om der er nogle problemer, du skal løse på din konto uden at klikke på nogen form for givet link.
Du bør også undgå at åbne vedhæftede filer, der er sendt til dig fra en ukendt adresse, selvom afsenderen hævder at være en betroet person. Ondsindede vedhæftede filer kan også bruges i AiTM phishing-angreb, så du skal være på vagt over for, hvad du åbner.
Kort sagt, hvis der ikke er noget reelt behov for at åbne vedhæftningen, så lad den være.
Hvis du på den anden side mener, at du skal åbne vedhæftningen, skal du køre nogle hurtige tjek, før du gør det. Du bør tage et kig på filtypen for den vedhæftede fil for at afgøre, om den skal anses for mistænkelig. For eksempel er .pdf-, .doc-, zip- og .xls-filer kendt for at blive brugt i ondsindede vedhæftede filer, så vær forsigtig, hvis en given vedhæftet fil er en af disse filtyper.
Oven i dette, tjek konteksten af e-mailen. Hvis afsenderen hævder, at den vedhæftede fil indeholder et dokument, såsom et kontoudtog, men filen har filtypenavnet .mp3, du har sandsynligvis at gøre med en vildledende og potentielt farlig vedhæftet fil, da en MP3-fil ikke ville blive brugt til en dokument.
Se på afsenderadressen på enhver mistænkelig e-mail, du modtager. Selvfølgelig er hver e-mail-adresse unik, så en hacker kan ikke bruge en officiel firma-e-mailadresse til at kommunikere med dig, medmindre den er blevet hacket. I tilfælde af phishing vil svindlere ofte bruge e-mail-adresser, der ligner en organisations officielle adresse.
For eksempel, hvis du modtager en e-mail fra en, der hævder Microsoft, men du bemærker, at adressen læser "micr0s0ft" i stedet for "Microsoft", har du at gøre med et phishing-svindel. Kriminelle vil også tilføje et ekstra bogstav eller tal til en e-mailadresse, så den ligner meget, men ikke identisk med den legitime adresse.
Du kan endda afgøre, om et link er mistænkeligt, ved at se på det. Ondsindede websteder vil ofte have links, der ser usædvanlige ud. For eksempel, hvis en e-mail angiver, at det angivne link vil sende dig til en Microsoft login-side, men URL'en angiver, at det er et helt andet websted, skal du styre udenom. At tjekke webstedets domæne kan være særligt nyttigt for at undgå phishing.
Til sidst, hvis du modtager en e-mail fra en angiveligt officiel kilde, der er fyldt med stave- og grammatiske fejl, har du sandsynligvis at gøre med en svindler. Officielle virksomheder vil ofte sikre, at deres e-mails er skrevet korrekt, hvorimod cyberkriminelle nogle gange kan sjuske med deres kommunikation. Så hvis en e-mail, du har modtaget, er skrevet meget dovent, skal du være forsigtig med, hvordan du fortsætter.
Vær på vagt for at undgå AiTM phishing-angreb
Phishing er enormt udbredt og bruges til at målrette både enkeltpersoner og organisationer, hvilket betyder, at ingen virkelig er sikret mod denne trussel. Så for at undgå AiTM phishing-angreb og phishing generelt, skal du overveje ovenstående tip for at holde dine data sikre.