Phishing-angrep er nå utrolig vanlig. Denne metoden for nettkriminalitet kan være svært effektiv i datatyveri og krever ikke en enorm mengde arbeid på basisnivå. Men phishing kommer også i mange former, en av dem er Adversary-in-the-Middle-angrep. Så, hva er Adversary-in-the-Middle phishing-angrep? Og hvordan kan du styre unna dem?
Hva er motstander-i-midten-angrep?
Et Adversary-in-the-Middle (AiTM) phishing-angrep involverer tyveri av øktinformasjonskapsler for å stjele private data og til og med omgå autentiseringslag.
Du har sannsynligvis hørt om informasjonskapsler før. I dag vil de fleste nettsteder du klikker på, be om tillatelse til å bruke informasjonskapsler for å skreddersy nettopplevelsen din nærmere. Kort sagt, informasjonskapsler sporer din nettaktivitet for å forstå vanene dine. De er små tekstfiler med data som kan sendes til serveren din hver gang du klikker på en ny nettside, som derfor gir enkelte parter muligheten til å overvåke aktiviteten din.
Det finnes mange typer informasjonskapsler der ute. Noen er nødvendige, og noen er det rett og slett ikke. AiTM-angrep er opptatt av øktinformasjonskapsler. Dette er informasjonskapsler som midlertidig lagrer brukerdata under en nettøkt. Disse informasjonskapslene går umiddelbart tapt når du slår av nettleseren din.
Som alltid med phishing, begynner et AiTM phishing-angrep med at nettkriminelle kommuniserer med målet, vanligvis via e-post. Disse svindelene bruker også ondsinnede nettsteder for å stjele data.
AiTM-angrep har vært et spesielt presserende problem for Microsoft 365-brukere, med angripere som kontakter mål og ber dem logge på 365-kontoene sine. Den ondsinnede skuespilleren vil etterligne en offisiell Microsoft-adresse i denne svindelen, som også er typisk for phishing-angrep.
Målet her er ikke bare å stjele påloggingsinformasjon, men å omgå offerets multifaktorautentisering (MFA) eller tofaktorautentisering (2FA) lag. Dette er sikkerhetsfunksjoner som brukes til å bekrefte en kontopålogging ved å be om tillatelse fra en separat enhet eller konto, for eksempel smarttelefonen eller e-posten.
Nettkriminelle vil også bruke en proxy-server for å kommunisere med Microsoft og være vert for den falske 365-påloggingssiden. Denne proxyen lar angriperen stjele øktinformasjonskapselen og offerets påloggingsinformasjon. Når offeret skriver inn påloggingsinformasjonen sin inn på det skadelige nettstedet, vil den deretter stjele øktinformasjonskapselen for å gi falsk autentisering. Dette gir angriperen muligheten til å omgå offerets 2FA- eller MFA-forespørsel, og gir dem direkte tilgang til kontoen sin.
Slik beskytter du deg mot AiTM phishing-angrep
Mens et AiTM phishing-angrep er forskjellig fra et typisk phishing-angrep, kan du fortsatt bruke samme praksis for å unngå førstnevnte som du ville gjort sistnevnte. Dette begynner med eventuelle lenker i e-postene dine.
Hvis du mottar en e-post fra en angivelig pålitelig avsender som sier at du må bruke den medfølgende koblingen for å logge på en av nettkontoene dine, vær forsiktig. Dette er et klassisk phishing-triks og kan være bekymringsverdig lett å gå glipp av, spesielt hvis angriperen bruker overbevisende eller presserende språk for å overbevise deg om å logge på en konto så snart som mulig.
Så hvis du mottar en e-post som inneholder noen form for lenke, sørg for at du kjører den gjennom en nettsted for lenkesjekking før du klikker. På toppen av dette, hvis e-posten sier at du må logge på en konto, søk ganske enkelt etter påloggingssiden på nettleseren din og få tilgang til kontoen din der. På denne måten kan du se om det er noen problemer du må løse på kontoen din uten å klikke på noen form for kobling.
Du bør også unngå å åpne vedlegg sendt til deg fra en ukjent adresse, selv om avsenderen hevder å være en betrodd person. Ondsinnede vedlegg kan også brukes i AiTM phishing-angrep, så du må være forsiktig med hva du åpner.
Kort sagt, hvis det ikke er noe reelt behov for å åpne vedlegget, la det være.
Hvis du derimot mener at du må åpne vedlegget, kjør noen raske kontroller før du gjør det. Du bør ta en titt på filtypen til vedlegget for å finne ut om det skal anses som mistenkelig. For eksempel er .pdf-, .doc-, zip- og .xls-filer kjent for å brukes i ondsinnede vedlegg, så vær forsiktig hvis et gitt vedlegg er en av disse filtypene.
På toppen av dette, sjekk konteksten til e-posten. Hvis avsenderen hevder at vedlegget inneholder et dokument, for eksempel en kontoutskrift, men filen har filtypen .mp3, du har sannsynligvis å gjøre med et villedende og potensielt farlig vedlegg, siden en MP3-fil ikke vil bli brukt til en dokument.
Se på avsenderadressen til alle mistenkelige e-poster du mottar. Selvfølgelig er hver e-postadresse unik, så en angriper kan ikke bruke en offisiell firma-e-postadresse til å kommunisere med deg med mindre den er blitt hacket. Når det gjelder phishing, vil svindlere ofte bruke e-postadresser som ligner litt på en organisasjons offisielle adresse.
For eksempel, hvis du mottar en e-post fra noen som hevder Microsoft, men du legger merke til at adressen lyder "micr0s0ft" i stedet for "Microsoft", har du å gjøre med en phishing-svindel. Kriminelle vil også legge til en ekstra bokstav eller et nummer til en e-postadresse slik at den ser veldig lik ut, men ikke identisk, med den legitime adressen.
Du kan til og med finne ut om en kobling er mistenkelig ved å se på den. Ondsinnede nettsteder vil ofte ha lenker som ser uvanlige ut. For eksempel, hvis en e-post sier at den oppgitte koblingen vil sende deg til en Microsoft-påloggingsside, men URL-en sier at det er et helt annet nettsted, hold deg unna. Å sjekke domenet til nettstedet kan være spesielt nyttig for å unngå phishing.
Til slutt, hvis du mottar en e-post fra en angivelig offisiell kilde som er full av stave- og grammatiske feil, har du sannsynligvis å gjøre med en svindler. Offisielle selskaper vil ofte sørge for at e-postene deres er skrevet riktig, mens nettkriminelle noen ganger kan være slurvete med kommunikasjonen. Så hvis en e-post du har mottatt er skrevet veldig lat, vær forsiktig med hvordan du går frem.
Vær på vakt for å unngå AiTM phishing-angrep
Phishing er enormt utbredt og brukes til å målrette mot både enkeltpersoner og organisasjoner, noe som betyr at ingen er virkelig trygge fra denne trusselen. Så for å unngå AiTM phishing-angrep, og phishing generelt, bør du vurdere tipsene ovenfor for å holde dataene dine sikre.