Nätfiske är en kraftfull teknik för att få människor att avslöja information. Angriparen skickar ut ett e-postmeddelande som verkar komma från en legitim källa som en bank. Offret klickar på den länken, försöker logga in på sitt konto och deras inloggningsuppgifter blir stulna.

Framgången för en nätfiskekampanj beror på hur realistisk den är. Detta kräver en kompetens som många cyberbrottslingar inte har och detta brukade vara ett betydande hinder för inträde. Men Phishing as a Service förändrar det.

Så vad är nätfiske som en tjänst?

Vad är nätfiske som en tjänst?

Nätfiske som en tjänst (PaaS) är en del av en trend där cyberbrottslingar blir tjänsteleverantörer. Istället för att utföra cyberattacker på egen hand, hjälper de andra att utföra attacker i utbyte mot en avgift.

Den är baserad på affärsmodellen Software as a Service där kunder ges tillgång till programvara i utbyte mot en månadsavgift.

Detta ger cyberbrottslingar en ny intäktsström och det gör att vem som helst kan utföra mer professionella attacker.

instagram viewer

Hur fungerar PaaS?

PaaS-leverantörer annonserar sina produkter som nätfiskepaket. De säljs i första hand på den mörka webben men vissa nätfiske-kit finns nu tillgängliga på ytwebben (dvs det vanliga internet).

Ett phishing-kit innehåller allt som krävs för att starta en framgångsrik nätfiskeattack. De inkluderar e-postmallar för att skicka e-postmeddelanden som verkar komma från legitima företag, samt mallar för webbplatser att skicka offer till. Vissa nätfiskepaket innehåller även listor över potentiella mål.

Eftersom phishing-kit är inriktade på personer utan tekniska kunskaper, innehåller de också ofta detaljerade instruktioner och kundsupport.

Nätfiske-kit annonseras som produkter som gör det möjligt för vem som helst att tjäna pengar på att utföra nätfiskeattacker oavsett deras kompetens. Detta är en populär tjänst för dem som vill engagera sig i cyberbrott men saknar nödvändig kunskap.

Vad händer med de stulna uppgifterna?

Efter att ett offers meriter har stulits finns det ett antal möjligheter. Angriparen kan själv använda inloggningsuppgifterna. Om det är ett finansiellt konto kan de försöka överföra pengar. Eller om det är åtkomst till ett nätverk kan de använda den åtkomsten för att starta en ransomware-attack.

Inloggningsuppgifter kan också säljas vidare på den mörka webben. Detta gör att någon kan dra nytta av stulna referenser även om de faktiskt inte har användning för dem.

Vissa nätfiske-kit är också utformade för att hålla en kopia av eventuella inloggningsuppgifter stulna och skicka dem till nätfiske-kit-utgivaren. Detta ger ytterligare potentiella intäkter för phishing-kitutgivaren. Det betyder också att meriter ofta säljs vidare på det mörka nätet även om personen som stal dem hade andra avsikter.

Varför är PaaS ett problem?

PaaS är ett problem eftersom det tar bort hindret för inträde till nätfiske. Normalt skulle en cyberbrottsling behöva förstå HTML för att skapa ett effektivt e-postmeddelande. De skulle också behöva förstå hur man bygger en webbplats som både verkar realistisk och stjäl lösenord. Om någon köper ett nätfiske-kit behöver de inte dessa färdigheter för att utföra en attack.

PaaS gör personer som redan bedriver nätfiskeattacker mer framgångsrika. Framgången för en kampanj begränsas ofta av förövarnas förmågor. Om den personen betalar för ett nätfiskekit är det troligt att fler människor faller för deras attacker.

PaaS försvårar också lagföringen av nätfiskeattacker.

Det tillåter människor som är bra på att designa nätfiske-kit att dra nytta av aktiviteten utan att själva utföra några nätfiskeattacker. Om personen som använder ett nätfiske-kit fångas, kommer personen som tillhandahållit nätfiske-kit sannolikt att undvika åtal. De kan sedan fortsätta att sälja till andra.

Vem är inriktad på nätfiske?

Nätfiskeattacker utförs mot både företag och privatpersoner. Om en privatperson är måltavla kan inloggningsuppgifterna för deras ekonomiska och personliga konton stjälas.

En framgångsrik nätfiskeattack på ett företag kan resultera i att andra cyberattacker inträffar. Om angriparen stjäl autentiseringsuppgifterna för ett nätverk, kan kundernas privata information stjälas eller ransomware installeras.

Hur man undviker nätfiske

Även om PaaS gör nätfiskeattacker svårare att upptäcka, kan de fortfarande undvikas om du förstår vad du ska leta efter.

Kontrollera avsändaren

Nätfiske-e-postmeddelanden förlitar sig på att mottagaren inte tittar på avsändarens namn ordentligt. Avsändaren kan använda e-postspoofing för att framstå som legitim, men det är omöjligt att undvika mindre stavningsvariationer.

Leta efter formateringsfel

PaaS-produkter innehåller ofta mycket realistiska e-postmeddelanden, men de är fortfarande inte lika professionella som den äkta varan. Leta efter fel i både formatering och språk som används.

Oavsett vem avsändaren är bör du göra det klicka aldrig på en länk i ett e-postmeddelande. Du bör heller aldrig ladda ner en e-postbilaga om du inte är säker på vad den innehåller.

Var försiktig med informationsförfrågningar

Alla nätfiskemeddelanden ber dig att göra något. Du bör vara misstänksam mot alla e-postmeddelanden som ber dig att lämna information eller logga in på ett konto.

Företag bör utbilda anställda

Nätfiskeattacker mot företag riktar sig främst mot anställda. För att mildra detta hot måste alla anställda utbildas därefter.

Företag kan använda anti-phishing-programvara

Programvara är allmänt tillgänglig för att upptäcka nätfiske-e-post och förhindra dem från att nå anställdas inkorgar. Även om denna programvara inte är ett adekvat alternativ till personalutbildning, kan den minska storleken på det hot som anställda står inför.

PaaS gör nätfiske till ett större hot

Nätfiske är ett betydande hot mot både privatpersoner och företag. Det leder till kontohack på individer och nätverksintrång i företag. PaaS lägger till detta hot genom att tillåta vem som helst att utföra sådana attacker oavsett deras kompetensuppsättning.

Införandet av PaaS ökar inte bara nätfiskefrekvensen utan gör också varje attack potentiellt mer effektiv. Även om nätfiske-e-postmeddelanden ofta är uppenbara, kan alla som använder ett betalt för nätfiske-kit kanske stjäla mycket mer referenser.

Kan ditt Netflix-konto bli hackat?

Läs Nästa

Dela med sigTweetDela med sigE-post

Relaterade ämnen

  • säkerhet
  • Nätfiske
  • Bedrägerier
  • Online säkerhet
  • Cybersäkerhet

Om författaren

Elliot Nesbo (101 artiklar publicerade)

Elliot är en frilansande teknikskribent. Han skriver främst om fintech och cybersäkerhet.

Mer från Elliot Nesbo

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Klicka här för att prenumerera