Spear phishing: Varför e-postbedrägeri är ett växande problem
Det har skett en förändring: från spam i stora mängder till riktade e-postattacker. Läs mer här om varför riktade nätfiske-attacker ökar i snabb takt.
Det råder ingen brist på scener om cybersäkerhet i filmer och tv-serier. Hur realistiska de är tenderar dock att variera mycket. Vi har sett tusentals popupfönster blinka förbi i NCIS och en hackare tvingas göra sitt jobb under helt galna omständigheter i Swordfish.
Men även de värsta cybersäkerhetsscenerna i Hollywood kan lära oss något! Storytelling är ett av de enklaste sätten att utbilda, så dela gärna denna artikel med dina kollegor och låt dina favoritfilmer öka säkerhetsmedvetenheten inom din organisation.
Här är 3 gånger som Hollywood totalt missförstod cybersäkerhet och 3 gånger de faktiskt visste vad de talade om.
Tystnad.
Tagning!
Vi är alla väl medvetna om att James Bond-filmerna knappast är speciellt realistiska. Daniel Craigs roll som den brittiska superspionen har dock hyllats för att kännas verkligare hans föregångare. Denna scen får oss att ifrågasätta detta starkt.
Här ser vi Q försöka hacka sig in i Silvas dator. Till att börja med verkar han tycka att det är en bra idé att ansluta en okänd enhet till MI6:s nätverk. Spoiler alert: Detta är en gigantisk säkerhetsrisk som lämnar data, information och system sårbara för vad som kan finnas på datorn.
Som om detta inte vore nog, är vad som följer helt ärligt konfunderande. Bond känner igen ett ord i den krypterade datan och använder detta som en nyckel för att dekryptera resten. Vi känner att vi behöver betona detta: Kryptering fungerar inte så här.
Människor kan inte avkoda krypterade data med blotta ögat. Om det var möjligt, vore det inte en vidare värst säker metod att använda för hemligstämplad information.
Hantera inte okända enheter alls, men vi känner att detta inte är ett problem för de flesta av er.
Den viktigaste lärdomen är att det är säkert att skydda data med kryptering. Det är såklart möjligt att hacka sig in i krypterad information, men det är extremt svårt och kräver stor teknisk kunskap, avancerad mjukvara och massor av tid.
Summan av kardemumman: Skydda dina data med kryptering! Detta är ett GDPR-krav när du skickar känsliga personuppgifter digitalt. Men kryptering kan också skydda din organisations mest känsliga data från att hamna i fel händer.
Läs mer om e-postkryptering här.
För dig som kanske inte har hört talas om Numb3rs, var detta en amerikansk kriminalserie som pågick i sex säsonger. I denna scen ’avlyssnar’ teamet en chat mellan två hackare.
Problemet är… hackarna kommunicerar endast i 1337. Hur ska teamet någonsin veta vad som sägs? Lyckligtvis finns det en person på plats som kan agera tolk.
Ursäkta vår djupa suck. 1337, eller leetspeak, är i princip ett modifierat sätt att stava på och det används primärt på internet. För att inte tala om inom gaming-världen.
Det är korrekt att leetspeak skapades av hackare under 80-talet, och om denna serie utspelade sig då kanske det hade varit mer realistiskt att bara hackare skulle kunna tyda det. Men under 2009? När onlinespel som Counter Strike blev alltmer populärt? Vi tvivlar på det.
Låt oss göra ett test! Om du kan läsa texten nedan har du inga problem med att läsa leetspeak.
K4N dU lä54 D3774? då K4N DU LÄ54 3l1735P33k.
Vi går inte ens gå in på den komplicerade förklaringen av ett ”ganska primitivt” chatprogram.
Cybersäkerhet är inte något superkomplext koncept som bara IT-personal förstår. Det är absolut möjligt för alla i en organisation att förstå säkerhetsprocedurer. Allt som behövs är medvetenhet och utbildning.
Det är viktigt att veta att cybersäkerhet inte bara handlar om brandväggar, kryptering och hackare. Det innefattar också lösenordshantering, e-postetikett och medvetenhet av risker. Allt detta startar och slutar med användaren.
Okej, förstå oss rätt här: Sherlock är en fantastisk serie och vi är beredda att blunda för den här scenen för handlingens skull. Men det gör den inte mer realistisk.
I denna scen har Irene Adler skickat sin telefon till Sherlock. Tanken är att han ska förvara den säkert eftersom den är fylld med viktig information. Om innehållet i telefonen läcker kan det leda till Irenes död. När man försöker öppna telefonen står det ”I AM _ _ _ _ LOCKED” på skärmen. Genom att läsa av fysiska signaler från Irene, kan Sherlock lista ut att lösenordet är SHER LOCKED.
Det största problemet med denna scen är att Irene är porträtterad so mycket intelligent. Trots detta:
Även om detta avslöjande var underhållande är det högst otroligt att så pass viktig information skulle skyddas med ett så svagt lösenord.
Att gissa ett lösenord inom loppet av sekunder är dessutom en uttjatad kliché inom filmvärlden. Om du inte använder något som ’1234’ eller ditt eget efternamn är det inte möjligt att gissa sig till ett lösenord på två försök.
Även om det är högst osannolikt att ett sådant osäkert lösenord som vi såg i Sherlock skulle användas för något viktigt, lär scenen oss fortfarande att hantera lösenord på rätt sätt. Den data du har kanske inte utgör en fråga om liv eller död, som den gjorde för Irene, men den kan fortfarande vara värdefull för dig och din organisation.
Det säkraste sättet att skydda dina inloggningsuppgifter på är att skapa lösenord med hjälp av en generator och sedan förvara dem med en så kallad ’password manager’. Skriv aldrig ned något! Men låt oss inte gå händelserna i förväg, vi återkommer till denna punkt.
I denna scen spelar Rihanna en hackare som försöker få tillgång till kamerorna i ett museum. För att göra det behöver hon först ta sig in i en dator som tillhör chefen för avdelningen Visual Matrix Design. Hon listar ut vem som har denna position och söker upp honom på Facebook. Här ser hon att han är väldigt passionerad när det kommer till en viss hundras.
Baserat på detta skräddarsyr hon ett e-postmeddelande till honom med en länk som låter henne ta över hans dator om han klickar på den. Och såklart simmar han rakt in i hennes metaforiska nät och ger henne tillgång till sin dator.
Se upp för phishing, eller spear phishing i detta fall.
Detta är ett av de snabbast växande hoten inom cybersäkerhet och kriminella individer gör precis det som Rihanna gjorde i denna scen: De riktar in sig på en specifik person med rätt position inom ett företag. Vad de är ute efter varierar från data till pengar och allt däremellan.
Var därför alltid vaksam när det kommer till konstiga e-postmeddelanden och klicka inte på några suspekta länka. Läs denna artikel för att lära dig hur du känner igen ett phishingmeddelande.
Okej, så detta exempel är kanske lite daterat, men den har fortfarande en poäng. Klassiker är klassiker av en anledning, eller hur?
I denna scen hackar en ung man sig in i sin skolas dator för att ändra sina och sin väns betyg. Han gör detta genom att ringa upp datorn, något som moderna hackare absolut inte behöver göra längre, och sedan ange ett lösenord.
Han säger “De ändrar lösenordet varannan vecka, men jag vet var de skriver ned dem.”
Kommer du ihåg när vi sa att vi inte skulle gå händelserna i förväg? Här kommer vår poäng!
War Games har hyllats för att ha en av de mest realistiska hackningsscenerna genom tiderna. Detta eftersom folk faktiskt skriver ned sina lösenord, vilket är en gigantisk säkerhetsrisk. Tänk på hur många människor som rör sig under ett kontor under en dag – kollegor, städare, klienter, kandidater.
Detta är otaliga möjligheter för ett nedskrivet lösenord att hamna i fel händer. I denna scen påverkade det bara några betyg, med föreställ dig vilken skada detta skulle göra för ett företag eller en organisation…
Vi vet, lugna ned dig, cyberscenerna är inte de mest realistiska delarna av Jurassic Park… och detta är en film om klonade dinosaurier. MEN det finns något att ta med sig även här.
I denna scen har Nedry stängt ned hela Jurassic Parks system för att kunna lämna ön med några stulna provrör. Han gör detta genom att… låt oss hoppa över hur han gör det. Det är trots allt varken speciellt sanningsenligt eller hjälpfullt för vår poäng.
Det viktiga att ta med sig från detta är att hot som dessa inte alltid kommer utifrån.
Se upp för interna attacker, absolut, men det största problemet som vi bör vara medvetna om när det kommer till hot inom en organisation är den mänskliga faktorn.
I denna scen visste Nedry precis vad han gjort, men 57 % alla dataläckor i Sverige sker av misstag. Det kan handla om att någon inom en organisation inte var medveten om säkerhetsprocedurer, inte hade en tillräcklig utbildning eller var för stressad för att följa det rätta stegen.
Detta är varför cybersäkerhet bör ha individen i fokus. Med rätt träning och verktyg kan de trots allt gå från en organisations största säkerhetsrisk till den största tillgången.
Vi har precis lärt oss om risker som vi alla kan vara mer medvetna om, oavsett vilken yrkesroll vi har. Nästa steg är att implementera rätt teknologi.
SmartLockr erbjuder e-postsäkerhet som låter dig fokusera på ditt jobb, medan vi tar hand om att skydda dina data.
Det har skett en förändring: från spam i stora mängder till riktade e-postattacker. Läs mer här om varför riktade nätfiske-attacker ökar i snabb takt.
Det har nog inte undgått någon att Inera har lanserat sin tjänst SDK, eller Säker digital kommunikation. Läs om fördelarna med att ansluta till SDK.