E-post fortsätter att vara den dominerande attackvektorn mot företag och organisationer och nätfiske-kampanjer ökar i både intensitet och sofistikering. Men attackerna är inte jämnt fördelade, vissa personer får ta emot betydligt fler nätfiske-mejl än andra, och det har inte alltid att göra med att dessa personer arbetar i mer utsatta positioner inom sina organisationer.

Enligt en analysrapport från it-säkerhetsföretaget Proofpoint, som tagit ett grepp om ”den mänskliga faktorn”, blir attackerna allt mer människo- och identitetscentrerade i motsats till attacker mot infrastrukturen. Naturligtvis är det enklare att lura människor än maskiner.

Enligt rapporten utkristalliserar sig en grupp som kallas ”Very Attacked People” som drar på sig attacker mer än andra. Det som får denna grupp att sticka ut är att deras e-postadresser går att hitta på nätet. VAP:ar behöver inte vara höga chefer eller andra högprofilerade personer; korrelationen är låg eftersom endast sju procent av de högprofilerade personerna exponerar sina e-postadresser på nätet, till skillnad från hela VAP-gruppen där hela 36 procent av e-postadresserna går att finna genom en enkel sökning på nätet.

Det ser alltså ut som att exponering av e-postadresser på nätet är en stark riskfaktor. Det som dock komplicerar saken är att angripare lika gärna kan skicka nätfiske-mejl till generella adresser som info- och support-adresser, och dessa vill många organisationer av goda skäl ha kvar på sina webbsidor; i vissa fall är kontaktadresser till och med ett lagkrav, exempelvis för myndigheter.

Enligt Proofpoints rapport har nätfisket framförallt två syften som sticker ut. Huvudsyftet är att samla in inloggningsuppgifter för att kunna utföra senare attacker mot organisationen i fråga. Det andra syftet är att placera ut skadlig kod, i synnerhet bakdörrar, för att kunna få ett fotfäste inom offerorganisationens nätverk och utföra stölder av data eller bedrägerier under största möjliga diskretion. Väldigt explicita attacker som gisslanattacker ser ut att minska eftersom de lyckas allt mer sällan, det vill säga offren vägrar att betala.

Innovation, organisation och ledarskap – vad behöver du göra idag för att vara relevant imorgon? Det får du veta på CIO Governance den 12 september – boka plats här

Angriparna blir allt mer sofistikerade i hur de utformar sina attacker. Dels blir utskicken allt mer väldesignade och mycket svåra att visuellt skilja från äkta utskick (om sådana utskick överhuvudtaget görs), dels använder angriparna metoder för att undvika upptäckt även vid närmare inspektion av meddelandena, som exempelvis stulna eller felaktigt utfärdade certifikat. Även domäner med snarlika namn som originalen, eller med samma namn men på en annan toppdomän ökar. Som Computer Sweden skrivit nyligen kan 96 procent av alla företag i Sverige räkna med att ha minst en ”skuggdomän”, ett fenomen som är svårt att åtgärda.

Utskick som liknar dem från Microsoft Office 365 är den vanligaste förebilden bland utskicken, Närmare 25 procent av alla nätfiskemejl är gjorda för att se ut som att de kommer från Microsoft, men det mest ”framgångsrika” nätfiskemejlet det senaste året var ett utskick från ett bedrägligt företag vid namn ”Brain Food” som marknadsför livsmedelsprodukter som påstås förbättra både hälsan och intelligensen. Brian Food lyckades komma upp i 1,6 klick per utskickat e-postmeddelande, dubbelt så mycket som den näst mest klickade.

Det som trots allt är positivt är att över 99 procent av alla nätfiskemejl kräver någon form av mänsklig aktivitet för att bedrägeriet ska lyckas. Samtidigt som angriparna allt mer riktar sig mot människor är det också hos människorna möjligheten att motverka attackerna finns. Nätfiske är lika mycket en utbildningsfråga som en säkerhetsteknisk.

Läs också:
Varning för falska meddelanden om programuppdateringar
Microsoft: multifaktor-autentisering stoppar 99,9 procent av alla attacker