Alle som har en telefon og kan motta anrop er utsatt for et påskuddsangrep. Påskuddsangripere kan ringe deg under falske påskudd, som å late som om de er fra en bedrifts tekniske avdeling eller et annet team med tilgang til passord, for å manipulere deg og få informasjon. Disse angriperne kan selge eller misbruke disse dataene, så du bør aktivt beskytte informasjonen din.
Så hva er å forutse? Hvordan kan du beskytte deg selv?
Hva er påskudd?
påskudd, en form for sosial ingeniørkunst, oppstår når en hacker bruker villedende midler for å prøve å få tilgang til et system, nettverk eller annen informasjon. Angriperen maner frem et falskt scenario, kjent som påskuddet, og utgir seg for å være en erfaren person, som et IT-personell, HR-sjef eller til og med en myndighetsagent. Dette angrepet kan skje online og personlig.
Påskudd startet i Storbritannia på begynnelsen av 2000-tallet da journalister som lette etter saftige scoops på kjendiser brukte ekstreme tiltak for å spionere på dem. Konkurransen mellom nyhetsmerkene var hard, noe som førte til at journalister oppfant nye måter å få privat informasjon på.
For det første var det så enkelt som å snoke på målkjendisens talepost. Taleposter kom med en standard PIN-kode som mange brukere ikke gadd å endre, og journalistene utnyttet dette. Hvis standard-PIN-koden hadde blitt endret, gikk noen så langt som å ringe målene sine og utgi seg for å være teknikere fra telefonselskapet. De ville få tak i talepost-PIN-ene og få tilgang til informasjon skjult der.
Vanligvis føles påskuddsscenarier som om de krever mye hast eller sympati fra det potensielle offeret. Angriperne kan bruke e-post, telefonsamtaler eller tekstmeldinger for å komme i kontakt med målene sine.
Elementer av et påskuddsangrep
I et påskuddsscenario er det to hovedelementer: "karakteren" som spilles av svindleren og "plausibel situasjon" ment å lure målet til å tro at karakteren har rett til informasjonen de er etter.
Tenk deg at du prøver å behandle en transaksjon, og den går ikke gjennom. Du får ikke pizzaen du har bestilt, og nettbutikken er stengt. For en skuffelse! Men det er ikke alt. Noen minutter senere, ved en uforklarlig feil, finner du ut at kontoen din ble debitert.
Like etter ringer angriperen og kommer i karakter, og utgir seg for å være en kundeserviceagent fra banken din. Fordi du forventer en samtale, faller du for denne plausible situasjonen og gir ut kredittkortinformasjonen din.
Hvordan fungerer påskudd?
Påskudd utnytter svakheter i identitetsverifisering. Under taletransaksjoner er fysisk identifikasjon nesten umulig, så institusjoner tyr til andre metoder for å identifisere kundene sine.
Disse metodene inkluderer å be om bekreftelse av fødselsdato, pårørende, antall avkom, kontaktadresse, mors pikenavn eller kontonummer. Det meste av denne informasjonen kan fås på nettet fra målets sosiale mediekontoer. Pretexters bruker denne informasjonen for å "bevise" ektheten til karakteren deres.
Svindlerne bruker din personlige informasjon for å få deg til å avsløre mer sensitiv informasjon som de kan bruke. Å få denne personlige informasjonen krever nøye undersøkelser fordi jo mer spesifikke dataene som innhentes er, jo mer tvunget vil du være til å gi fra deg enda mer verdifull informasjon.
Svindlere har også andre direkte kilder til informasjon enn sosiale medier. De kan forfalske telefonnummeret eller e-postdomenenavnet til organisasjonen de utgir seg for å gi mer troverdighet til den sannsynlige situasjonen som selges til målet.
3 bemerkelsesverdige påskuddsteknikker
Det finnes ulike påskuddsteknikker som svindlere og hackere bruker for å få tilgang til sensitiv informasjon.
1. Vishing og Smishing
Disse teknikkene er veldig like. Vishing angrep involvere å bruke taleanrop for å overtale et offer til å gi fra seg informasjonen svindleren trenger. Smishing svindel, derimot, bruker SMS eller tekstmeldinger.
Vishing har større sjanse for suksess fordi mål er mer sannsynlig å ignorere tekstmeldinger enn direkte anrop fra tilsynelatende viktig personell.
2. Åte
Agn innebærer å bruke en stor belønning for å samle inn informasjon og kan også inkludere forfalskning av en pålitelig kilde.
Svindleren kan utgi seg for å være en advokat som hevder at du har en arv fra en fjern slektning og trenger dine økonomiske detaljer for å behandle transaksjonen. Høytstående personell i en målorganisasjon kan også bli ofre.
En annen vanlig manøver er å slippe av en konvolutt som inneholder en flash-stasjon med selskapets logo og en melding om å jobbe med et presserende prosjekt. Flash-stasjonen ville være lastet med skadelig programvare som hackerne ville bruke for å få tilgang til selskapets servere.
3. Scareware
I denne metoden bruker hackerne frykt som en taktikk. Et bemerkelsesverdig eksempel er en pop-up på et usikkert nettsted, som forteller deg at det er et virus på enheten din, og deretter ber deg laste ned et antivirusprogram som faktisk er skadelig programvare. Scareware kan også distribueres ved hjelp av e-poster og lenker i tekstmeldinger.
Hvordan beskytte deg selv mot påskuddsangrep
Påskuddsangrep er så utbredt at det nesten ikke er mulig å stoppe dem helt. Imidlertid kan det tas skritt for å dempe dem betydelig.
Ett trinn er e-postanalyse. Å se på domenenavnet til en e-post kan gi et innblikk i om den er forfalsket eller ekte. Imidlertid kan påskuddsangrep forfalske e-postdomener så se nesten identisk ut med originalen, noe som gjør det ekstremt vanskelig å få øye på disse påskuddene.
Men med utviklingen av kompleks AI-teknologi har e-postanalyse blitt mer tilgjengelig. AI kan nå oppdage phishing-mønstre og se etter tegn på påskudd. Den kan identifisere uregelmessigheter i trafikken og falske e-postvisningsnavn, samt setninger og tekst som er vanlig med påskuddsangrep.
Brukerutdanning er selvfølgelig viktig. Ingen bør be om bankpassord, kredittkort-pin eller serienummer. Du bør umiddelbart rapportere en forespørsel om noen av disse til de aktuelle myndighetene. Videre minner du familie, venner og ansatte om ikke å klikke på ukjente lenker og unngå å besøke usikre nettsteder kan være nok til å forhindre at skadevare kommer inn i bedriftens servere.
Ikke fall for påskuddssvindel
Å fiske ut en påskuddsoperasjon er kanskje ikke lett, men det er enkle grep du kan ta for å unngå å bli offer. Ikke klikk på lenker på usikre nettsteder, og ikke avslør påloggingsdetaljene dine til noen. Det er bekreftede kundeservicelinjer på bankens nettplattform. Når en kundeserviceagent kontakter deg, sørg for at tallene samsvarer med den offisielle linjen.