{"id":149915,"date":"2023-04-11T14:07:18","date_gmt":"2023-04-11T14:07:18","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/phishing-via-e-post-exempel-och-upptackt\/"},"modified":"2024-06-21T14:25:44","modified_gmt":"2024-06-21T14:25:44","slug":"phishing-via-e-post-exempel-och-upptackt","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/sv\/blog\/phishing-via-e-post-exempel-och-upptackt\/","title":{"rendered":"Phishing via e-post: Exempel och hur man uppt\u00e4cker dem"},"content":{"rendered":"

Skydda dina kunder fr\u00e5n \u00e5rets mest skr\u00e4mmande bedr\u00e4gerier och l\u00e4skigaste kompromisser genom att l\u00e4ra dem att se hur man genomsk\u00e5dar de vanligaste f\u00f6rkl\u00e4dnaderna f\u00f6r malspam och phishing.<\/h4>\n

F\u00f6r att fira sista dagen av m\u00e5naden f\u00f6r medvetenhet om cybers\u00e4kerhet kastar vi ljus \u00f6ver tv\u00e5 av de mest popul\u00e4ra f\u00f6rkl\u00e4dnader som brottslingar anv\u00e4nder f\u00f6r att smyga sig f\u00f6rbi f\u00f6rsvaret och in i inkorgarna. Dela dessa med dina kunder som en p\u00e5minnelse om att de ska vara vaksamma och om vad du arbetar h\u00e5rt f\u00f6r att skydda dem fr\u00e5n dag ut och dag in.<\/p>\n

F\u00f6rkl\u00e4dnad nr 1: Office-dokumentation som uppmuntrar dig att aktivera makroner<\/strong><\/h2>\n

\"emotet<\/p>\n

Vad \u00e4r det?<\/strong><\/h4>\n

En klassiker. H\u00e4xan eller Dracula i malspamf\u00f6rkl\u00e4dnader. Angriparna skickar e-postmeddelanden till potentiella offer med en bifogad Office-fil (vanligtvis Word, men ibland Excel- eller Publisher-filer) eller en l\u00e4nk till filen. Dessa filer ser ofta ut som fakturor eller andra aff\u00e4rsrelaterade dokument f\u00f6r att skapa en k\u00e4nsla av br\u00e5dska. I den har angriparna g\u00f6mt skadliga makron som, n\u00e4r de aktiveras, startar en kedjereaktion av kommandon som vanligtvis resulterar i att skadlig kod laddas ner fr\u00e5n Internet och utf\u00f6rs.<\/p>\n

Den h\u00e4r tekniken har funnits i flera \u00e5r, och den forts\u00e4tter att anv\u00e4ndas flitigt av n\u00e5gra av dagens mest aktiva malwareoperationer, inklusive Emotet – enligt vissa m\u00e4tningar f\u00f6r n\u00e4rvarande det<\/em>mest utbredda malwarehotet<\/a>\u00a0<\/em><\/a>.<\/p>\n

 <\/p>\n

\n

48 % av skadliga e-postbilagor \u00e4r Office-filer.<\/strong><\/h3>\n

Symantec 2019 ISTR<\/a><\/p><\/blockquote>\n

 <\/p>\n

Varf\u00f6r \u00e4r det fortfarande s\u00e5 vanligt efter alla dessa \u00e5r? Svaret \u00e4r enkelt: Det fungerar helt enkelt.<\/p>\n

Vad g\u00f6r denna f\u00f6rkl\u00e4dnad effektiv?<\/strong><\/h4>\n

F\u00f6r det f\u00f6rsta \u00e4r Office-dokument en s\u00e5 v\u00e4lk\u00e4nd och allest\u00e4des n\u00e4rvarande del av det dagliga arbetet. I de flesta fall \u00e4r det inte praktiskt m\u00f6jligt att filtrera dem, och de anst\u00e4llda t\u00e4nker s\u00e4llan efter n\u00e4r de f\u00e5r dem. M\u00e5nga antivirus- och e-posts\u00e4kerhetsverktyg kan \u00e4ven ha sv\u00e5rt att analysera dessa filer f\u00f6r misst\u00e4nkt makrokod, s\u00e4rskilt om filen \u00e4r placerad i en zip-fil eller \u00e4r l\u00f6senordsskyddad.<\/p>\n

Dessutom h\u00f6jer angriparna alltmer sitt spel f\u00f6r att g\u00f6ra sammanhanget\u00a0<\/em>som filerna levereras i mer trov\u00e4rdigt. Ta till exempel Emotet-g\u00e4ngets elaka trick att stj\u00e4la e-postinneh\u00e5ll fr\u00e5n sina offer och anv\u00e4nda det f\u00f6r att skicka otroligt vilseledande e-postmeddelanden till offrets kontakter.<\/p>\n

Forskare p\u00e5 Talos beskriver taktiken genom att dela upp det h\u00e4r verkliga exemplet p\u00e5 e-post nedan:<\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

E-postmeddelandet ovan illustrerar Emotets sociala ingenj\u00f6rskonst. I det h\u00e4r exemplet har vi ett skadligt e-postmeddelande fr\u00e5n Emotet och i e-postmeddelandets text kan vi se en tidigare konversation mellan tv\u00e5 medhj\u00e4lpare till borgm\u00e4staren i en amerikansk stad.<\/p>\n

    \n
  1. Inledningsvis skickade Lisa ett e-postmeddelande till Erin om att placera annonser f\u00f6r att marknadsf\u00f6ra en kommande ceremoni d\u00e4r borgm\u00e4staren skulle n\u00e4rvara.<\/li>\n
  2. Erin svarade Lisa och fr\u00e5gade om vissa detaljer i beg\u00e4ran.<\/li>\n
  3. Lisa blev smittad av Emotet. Emotet stal sedan inneh\u00e5llet i Lisas e-postinkorg, inklusive detta meddelande fr\u00e5n Erin.<\/li>\n
  4. Emotet skrev ett attackmeddelande som svar till Erin, som utgav sig f\u00f6r att vara Lisa. Ett infekterat Word-dokument finns bifogat l\u00e4ngst ner.<\/li>\n<\/ol>\n

    Det \u00e4r l\u00e4tt att f\u00f6rst\u00e5 hur n\u00e5gon som f\u00f6rv\u00e4ntar sig ett e-postmeddelande som en del av en p\u00e5g\u00e5ende konversation kan falla f\u00f6r n\u00e5got s\u00e5dant h\u00e4r, och det \u00e4r en del av anledningen till att Emotet har varit s\u00e5 effektivt n\u00e4r det g\u00e4ller att sprida sig via e-post. Genom att ta \u00f6ver befintliga e-postkonversationer och inkludera riktiga \u00e4mnesrubriker och e-postinneh\u00e5ll blir meddelandena mycket mer slumpm\u00e4ssiga och sv\u00e5rare att filtrera f\u00f6r antispamsystem.<\/p>\n

    – Emotet \u00e4r tillbaka efter sommaruppeh\u00e5llet, Talos blogg<\/em><\/a><\/p><\/blockquote>\n

     <\/p>\n

    Hur man ser igenom f\u00f6rkl\u00e4dnaden<\/strong><\/h4>\n

    Eftersom dessa filer kan f\u00f6rkl\u00e4das till allt fr\u00e5n fakturor till leveransmeddelanden – och eftersom de till och med kan se ut att skickas fr\u00e5n personer som mottagarna k\u00e4nner till och litar p\u00e5<\/strong> – \u00e4r det b\u00e4sta s\u00e4ttet att skydda sig sj\u00e4lv att uppmuntra anst\u00e4llda att vara misst\u00e4nksamma n\u00e4r ett Office-dokument uppmanar dem att aktivera makron.<\/strong>\u00a0<\/strong><\/p>\n

    I m\u00e5nga fall \u00e4r det ett tecken p\u00e5 att n\u00e5got inte st\u00e4mmer.<\/p>\n

    Emotet hot akt\u00f6rer anv\u00e4nder en m\u00e4ngd olika lockelser f\u00f6r att \u00f6vertyga offren om att det \u00e4r n\u00f6dv\u00e4ndigt att aktivera makron, fr\u00e5n meddelanden som indikerar att dokumentet skapades i en annan version av Word till Microsofts licensiering eller aktiveringsguiden uppmaningar.<\/p>\n

    \"\"<\/p>\n

    K\u00e4lla: F\u00f6rsvar<\/a><\/em><\/p>\n

     <\/p>\n

    \"\"<\/p>\n

    K\u00e4lla: Bleeping Computer<\/a><\/em><\/p>\n

     <\/p>\n

    Om din kund arbetar i en milj\u00f6 d\u00e4r makron \u00e4r n\u00f6dv\u00e4ndiga och vanliga, \u00e4r det kanske inte praktiskt m\u00f6jligt att uppmuntra till \u00f6kad misst\u00e4nksamhet, men om s\u00e5 inte \u00e4r fallet kan du \u00e4ven \u00f6verv\u00e4ga att g\u00e5 ett steg l\u00e4ngre\u00a0 och blockera makron fr\u00e5n att k\u00f6ras i Office-filer fr\u00e5n Internet<\/a>.<\/p>\n

     <\/p>\n

    F\u00f6rkl\u00e4dnad nr 2: Varningar fr\u00e5n Office 365<\/strong><\/h2>\n

    Vad \u00e4r det?<\/strong><\/h4>\n

    Angripare \u00e4lskar att ta sig an inloggningsuppgifter till Office 365. De \u00f6ppnar d\u00f6rren f\u00f6r en v\u00e4rld av skadliga m\u00f6jligheter, inklusive ytterligare spear phishing och – tack vare hur vanligt det \u00e4r att l\u00f6senord \u00e5teranv\u00e4nds – ytterligare f\u00f6rs\u00f6k till \u00e5tkomst och sidof\u00f6rflyttning.<\/p>\n

    E-postmeddelandena har ofta formen av falska meddelanden fr\u00e5n Microsoft, d\u00e4r anv\u00e4ndarna informeras om att de har meddelanden som inte har levererats eller att de m\u00e5ste g\u00f6ra n\u00e5got f\u00f6r att forts\u00e4tta anv\u00e4nda sitt konto. Genom att klicka p\u00e5 l\u00e4nkarna i dessa e-postmeddelanden kommer mottagaren vanligtvis till en realistisk Microsoft-inloggningssida d\u00e4r anv\u00e4ndaren ombeds att ange sina inloggningsuppgifter.<\/p>\n

    \"\"<\/p>\n

    K\u00e4lla: Bleeping Computer<\/a><\/em><\/p>\n

     <\/p>\n

    Kampanjerna har \u00e4ven inkluderat falska r\u00f6stmeddelanden som i sj\u00e4lva verket \u00e4r HTML-bilagor. N\u00e4r filerna \u00f6ppnas spelar de upp en kort ljudinspelning och omdirigerar mottagaren till en falsk Microsoft-landningssida d\u00e4r mottagaren uppmanas att ange sitt l\u00f6senord f\u00f6r att f\u00e5 h\u00f6ra hela r\u00f6stmeddelandet.<\/p>\n

    \"\"<\/p>\n

    K\u00e4lla: McAfee<\/a><\/em><\/p>\n

    <\/h4>\n

    Vad g\u00f6r denna f\u00f6rkl\u00e4dnad effektiv?<\/strong><\/h4>\n

    Det \u00e4r mycket mer sannolikt att anv\u00e4ndarna litar p\u00e5 ett e-postmeddelande som ser ut att ha skickats fr\u00e5n Microsoft \u00e4n p\u00e5 ett ok\u00e4nt f\u00f6retag. Det \u00e4r en av anledningarna till att Microsoft \u00e4r det vanligaste f\u00f6retaget som utges f\u00f6r att vara ett falskt f\u00f6retag i phishing.<\/p>\n

     <\/p>\n

    \n

    Microsoft \u00e4r det fr\u00e4msta varum\u00e4rket som utg\u00f6ras av phishers, med i genomsnitt 222 unika Microsoft phishing-URL:er som dyker upp varje dag.<\/strong><\/h3>\n

    VadeSecure<\/a><\/p><\/blockquote>\n

     <\/p>\n

    Angriparna har valt taktiken att l\u00e4gga upp sina falska Microsoft-inloggningssidor p\u00e5 Azure Blob Storage-URL:er<\/a>, som anv\u00e4nder dom\u00e4nen windows.net och ett giltigt certifikat fr\u00e5n Microsoft. Det ger sidorna legitimitet och g\u00f6r det l\u00e4ttare f\u00f6r dem att passera filter.<\/p>\n

    \"\"<\/p>\n

    Som den h\u00e4r videon fr\u00e5n ett webbseminarium som vi gjorde med Huntress Labs vd Kyle Hanslovan visar kan angriparna till och med anpassa dessa sidor s\u00e5 att de inneh\u00e5ller namn och f\u00f6retagslogotyper fr\u00e5n offren, vilket ger dem \u00e4nnu mer legitimitet.<\/p>\n