Proaktiv IT-sikkerhet
 

Spydphiske (Spear phishing) - målrettet angrep mot en organisasjon

2007-01-19 [Malware discussion, Security terms, Social engineering]

22. januar 2007

I løpet av de siste årene er begrepet, phisking (phishing), blitt ubredt. Det ble først vanlig i sikkerhetsmiljøet, men ble raskt et normalt ord, som kunne brukes uten videre forklaring i vanlige nyhetsartikler og andre media.

I det siste er en spesiell form for phisking begynt å dukke opp - betegnelsen som brukes på dette er "spear phishing" eller "spydphisking".

De "vanlige" phiskeangrepene er rettet mot flere (vanligvis mange) mer eller mindre tilfeldige individer, med den intensjon å lure noen av dem til å gi fra seg sin personlige informasjon. Spydphisking, derimot, angriper normalt ikke tilfeldige individer, men peker seg ut en bestemt organisasjon. Dette kan være et phiskeforsøk fra en organisasjon mot en konkurrent (mest vanlig for industriell e-spionasje), fra en etterretningsorganisasjon mot et mistenkelig selskap, eller fra kriminelle mot lov-og-orden-organisasjoner.

Folk flest er til stadighet blitt advart mot phiskeangrep, som prøver å lure dem til å gi fra seg brukernavn og passord til banker osv. Trolig er det ikke mange av oss som lenger tror at en bank ber om for eksempel brukernavn, passord og kredittkortinformasjon per e-post. Ved spydphisking, lager en dyktig bakmann en ekstremt overbevisende, falsk e-post, som ser ut som om den for eksempel er sendt fra sjefen for IT-avdelingen. E-posten kan videre bli tilpasset slik at det blir åpenbart at den kommer fra den bestemte organisasjonen. I ethvert phiskeangrepscenario, er det gjerningsmannens evne til å manipulere, som avgjør hvor vellykket phiskeangrepet vil bli. Et spydphiskeangrep vil uansett ha størst sjanse for å lykkes.

Personen bak phiskeangrepet kan bruke flere forskjellige verktøy, når noen av personene i de utpekte organisasjonene blir "truffet av spydet". Hun kan installere en bakdør på den maskinen(e) som er "truffet", og dermed få tilgang til datamaskinen/nettverket, for å få tak i konfidensiell informasjon. Hun kan installere tasteloggere (keyloggers), som sender tastetrykkene for brukernavn og passord til angriperen. Hun kan installere virus som sender alle filer av en bestemt type, som maskinen som er angrepet har tilgang til, til angriperen. Osv. osv.

Forskjellig fra de mer vanlige phiskeangrepene, er spydphiskeangrep vanskeligere å forsvare seg mot. Det er minst to grunner til dette:

  • Angrepet er rettet mot et lite antall personer, og dermed vanskelig for sikkerhetsmiljøet å bli oppmerksom på, sørge for beskyttelse mot og advare om.
  • Siden angrepet er rettet mot personell i en bestemt organisasjon, kan manipuleringsteknikkene være veldig spesifikke.