Enhver, der har en telefon og kan modtage opkald, er modtagelige for et påskudsangreb. Påskud angribere kan ringe til dig under falske forudsætninger, som at foregive at være fra en virksomheds tekniske afdeling eller et andet team med adgang til adgangskoder, for at manipulere dig og indhente oplysninger. Disse angribere kan sælge eller misbruge disse data, så du bør aktivt beskytte dine oplysninger.
Så hvad er at foregive? Hvordan kan du beskytte dig selv?
Hvad er påskud?
påskud, en form for social engineering, opstår, når en hacker bruger vildledende midler til at forsøge at få adgang til et system, netværk eller andre oplysninger. Angriberen fremtryller et falsk scenarie, kendt som påskud, der foregiver at være en erfaren person, som en it-medarbejder, HR-chef eller endda en regeringsagent. Dette angreb kan forekomme online og personligt.
Påskud startede i Storbritannien i begyndelsen af 2000'erne, da journalister, der ledte efter saftige scoops på berømtheder, brugte ekstreme foranstaltninger til at udspionere dem. Konkurrencen mellem nyhedsmærker var hård, hvilket fik journalister til at opfinde nye måder at få privat information på.
For det første var det så simpelt som at snoke på målberømthedens telefonsvarer. Voicemails kom med en standard PIN-kode, som mange brugere ikke gad ændre, og det udnyttede journalisterne. Hvis standard-PIN-koden var blevet ændret, gik nogle så langt som at ringe til deres mål og udgive sig for at være teknikere fra telefonselskabet. De ville få fat i voicemail-pinkoderne og få adgang til information skjult der.
Generelt føles påskudsscenarier normalt, som om de kræver en stor grad af påtrængning eller sympati fra det potentielle offer. Angriberne kan bruge e-mails, telefonopkald eller tekstbeskeder til at komme i kontakt med deres mål.
Elementer af et påskudsangreb
I et påskudsscenarie er der to hovedelementer: "karakteren", der spilles af svindleren og "plausibel situation" betød at narre målet til at tro, at karakteren har ret til den information, de har er efter.
Forestil dig, at du forsøger at behandle en transaktion, og den går ikke igennem. Du får ikke den pizza, du har bestilt, og netbutikken er lukket. Hvilken rædsel! Men det er ikke alt. Et par minutter senere finder du ved en uforklarlig fejl ud af, at din konto blev debiteret.
Kort efter ringer angriberen og kommer i karakter og udgiver sig for at være en kundeserviceagent fra din bank. Fordi du forventer et opkald, falder du for denne plausible situation og giver dine kreditkortoplysninger.
Hvordan virker påskud?
Påskud udnytter svagheder i identitetsbekræftelse. Under taletransaktioner er fysisk identifikation næsten umulig, så institutioner tyer til andre metoder til at identificere deres kunder.
Disse metoder omfatter anmodning om bekræftelse af fødselsdato, pårørende, antal afkom, kontaktadresse, mors pigenavn eller kontonummer. De fleste af disse oplysninger kan fås online fra målets sociale mediekonti. Pretexters bruger disse oplysninger til at "bevise" ægtheden af deres karakter.
Svindlerne bruger dine personlige oplysninger til at få dig til at afsløre mere følsomme oplysninger, som de kan bruge. At få disse personlige oplysninger kræver omhyggelig forskning, fordi jo mere specifikke de opnåede data er, jo mere tvunget vil du være til at opgive endnu mere værdifuld information.
Svindlere har også andre direkte informationskilder end sociale medier. Det kan de forfalske telefonnummeret eller e-mail-domænenavnet på den organisation, de efterligner, for at tilføje mere troværdighed til den plausible situation, der sælges til målet.
3 bemærkelsesværdige påskudsteknikker
Der er forskellige påskudsteknikker, som svindlere og hackere bruger til at få adgang til følsomme oplysninger.
1. Vishing og Smishing
Disse teknikker er meget ens. Vishing angreb involvere at bruge taleopkald til at overtale et offer til at opgive de oplysninger, som svindleren har brug for. Smishing scams, på den anden side bruge SMS eller tekstbeskeder.
Vishing har en større chance for succes, fordi mål er mere tilbøjelige til at ignorere tekstbeskeder end direkte opkald fra tilsyneladende væsentligt personale.
2. Lokkemad
Baiting involverer at bruge en stor belønning til at indsamle oplysninger og kan også omfatte falske en pålidelig kilde.
Svindleren kunne foregive at være en advokat, der hævder, at du har en arv fra en fjern slægtning og ville have brug for dine økonomiske oplysninger for at behandle transaktionen. Højtstående personale i en målorganisation kan også være ofre.
En anden almindelig manøvre er at aflevere en konvolut indeholdende et flashdrev med virksomhedens logo og en besked om at arbejde på et presserende projekt. Flashdrevet ville være fyldt med malware, som hackerne ville bruge til at få adgang til virksomhedens servere.
3. Scareware
I denne metode bruger hackerne frygt som taktik. Et bemærkelsesværdigt eksempel er en pop-up på et usikkert websted, der fortæller dig, at der er en virus på din enhed og derefter beder dig om at downloade et antivirusprogram, der faktisk er malware. Scareware'et kan også distribueres ved hjælp af e-mails og links i tekstbeskeder.
Sådan beskytter du dig selv mod påskudsangreb
Påskudsangreb er så udbredte, at der næsten ikke er nogen måde at stoppe dem fuldstændigt. Der kan dog tages skridt til at begrænse dem betydeligt.
Et trin er e-mail-analyse. At se på domænenavnet på en e-mail kan give et indblik i, om det er spoofet eller ægte. Det kan dog påskudsangreb spoof email domæner så se næsten identisk ud med originalen, hvilket gør det ekstremt svært at få øje på disse påskud.
Men med udviklingen af kompleks AI-teknologi er e-mail-analyse blevet mere tilgængelig. AI kan nu spot phishing-mønstre og se efter tegn på påskud. Det kan identificere uregelmæssigheder i trafikken og forfalskede e-mail-visningsnavne, såvel som sætninger og tekst, der er almindelige med påskudsangreb.
Brugeruddannelse er naturligvis afgørende. Ingen bør bede om din bankadgangskode, kreditkortpinkode eller serienummer. Du bør straks rapportere en anmodning om nogen af disse til de relevante myndigheder. Desuden minde din familie, venner og medarbejdere om ikke at klikke på ukendte links og undgå at besøge usikre websteder kan være nok til at forhindre indtrængen af malware i din virksomheds servere.
Fald ikke for påskudssvindel
Det er måske ikke let at udfiske en påskudsoperation, men der er enkle trin, du kan tage for at undgå at blive offer. Klik ikke på links på usikre websteder, og afslør ikke dine loginoplysninger til nogen. Der er verificerede kundeservicelinjer på din banks online platform. Når en kundeservicemedarbejder kontakter dig, skal du sikre dig, at numrene svarer til den officielle linje.
