6 anledningar till att din nätfiskestrategi inte funkar

Nätfiske är som att fiska i ett badkar – givet tillräckligt lång tid är sannolikheten hundra procent att förövarna lyckas hala in ett offer. När väl förövarna ser att organisationer är vanemässigt sårbara kommer de att fortsätta rikta in sig mot dem, och badkarsfisket fortsätter i evighet.

– Förövarna är högt motiverade och välfinansierade med det enda syftet att framgångsrikt attrahera bara en måltavla, men som organisation är din uppgift att skydda alla potentiella offer, säger Johanna Baum, vd och grundare av Strategic Security Solutions Consulting.

Att förbise eller missbedöma säkerhetshygienen ökar avsevärt mottagligheten för en attack. Men även om du följer ett oantastligt protokoll, har utbildat din personal, påmint dem om vikten av att verifiera misstänkt kommunikation, och håller dig uppdaterad om de senaste skumma kampanjerna som lurar de oaktsamma, så är din organisation, och kommer alltid att vara, sårbar.

Här är sex anledningar till att din nätfiskestrategi inte fungerar.

1. Allt mer trovärdiga och sofistikerade

Enligt Krissy Safi, global övningsansvarig för attacker och penetrationstester på Protiviti, utvecklar cyberkriminella hela tiden nya taktiker för att lura folk till att ge ifrån sig känslig information, och som ett resultat av det blir nätfiskeattackerna mer sofistikerade.

– Många lösningar mot nätfiske använder sig av taktiska regler för att upptäcka attacker vilka enkelt kan rundas av angripare som använder mer avancerade tekniker. Plus att med introduktionen av Chat GPT kommer det att bli en spridning av nätfiskemejl med perfekt grammatik och bra engelska, vilket gör det ännu svårare att identifiera nätfiskemejl som skickas av cyberkriminella, säger Krissy Safi.

Med Chat GPT och öppna källkods-versioner tillgängliga för förövarna blir företagets stulna data ett universalmedel för bedragare – en AI kan i realtid lära sig vad som fungerar och inte fungerar vilket ökar chanserna för att en attack kommer att hitta en villig måltavla.

Även utan att ta till chattrobotar blir angriparna skickligare, som i exemplet med intrånget hos kommunikationsföretagetet Twillo 2022. I det fallet kunde angriparna matcha anställdas namn och telefonnummer med hjälp av publika databaser.

Den sociala manipulationsattacken ”lyckades med att lura vissa anställda att ge ut sina inloggningsuppgifter”, skriver Twillo i en incidentrapport. ”Angriparna kunde sedan använda de stulna inloggningsuppgifterna för att få tillgång till våra interna system, där de kunde få tillgång till vissa kunddata”.

2. Lägger alla äggen i samma teknikkorg

Enligt Eric Liebowitz, it-säkerhetschef på Americas at Thales Group, ett företag baserat i Paris som utvecklar säkerhetsteknik för många avancerade branscher, försöker många organisationer lösa problemet med nätfiske enbart med hjälp av teknik. Dessa företag köper de senaste verktygen för att upptäcka misstänkt e-post och ger de anställda en kanal för att rapportera och blockera misstänkta meddelanden.

– Fastän det är väldigt bra kommer angriparna till syvende och sist att vara än mer sofistikerade. En av de stora sakerna som jag inte tror att organisationer fokuserar tillräckligt på är att träna sina anställda. De kan ha alla de bästa verktygen på plats, men om de inte övar personalen kommer de dåliga sakerna att hända, säger Eric Liebowitz.

Enligt Justin Haney, nordamerikansk chef inom säkerhet på Avanade, har vissa organisationer rullat ut de rätta verktygen och processerna för att motverka nätfiskekampanjer, men de har inte konfigurerat dessa verktyg på ett proaktivt och bra sätt.

– Exempelvis kan verktygen flagga och upptäcka skadliga meddelanden, men de blockeras inte automatiskt. Med tekniker som SIEM (security information and event management) och SOAR (security orchestration, automation, and response) borde organisationer sjösätta specifika instruktioner som svar på identifierade, potentiella nätfiskekampanjer, i motsats till mer manuellt analytiskt arbete, säger Justin Haney.

3. Ingen holistisk strategi för försvar på djupet

– Vissa organisationer med fallerade strategier mot nätfiske använder inte en holistisk strategi för djupförsvar. De kan fokusera på speciella tekniker – anti-nätfiske, multifaktorautentisering, datakryptering, ändpunkt- och mobilsäkerhet – och inte se till andra tekniker som motverkar risker längs kedjan av risker, till exempel att upptäcka komprometterade identiteter, säger Justin Haney.

Problemet med att inte implementera en holistisk strategi för djupförsvar och enbart luta sig mot anti-nätfiskeprogram är, enligt Bryan Willett, it-säkerhetschef på Lexmark, att det räcker med en enda framgångsrik attack för att ta ned hela systemet. Att lita på ett e-postbaserat tillvägagångssätt för sitt försvar, eller att luta sig tungt mot träning av användare, är i sig defekt, eftersom folk gör misstag och det räcker med ett enda för att en attack ska lyckas.

Det bästa sättet att skydda sig mot nätfiskeattacker är genom ett tillvägagångssätt med ett försvar i flera lager. Det inkluderar ett bra EDR-system (endpoint detection and response) på varje dator, ett starkt system för hantering av sårbarheter, och att slå på multifaktorautentisering för varje användare och administratörskonto. Till detta bör man även segmentera LAN/WAN för att begränsa spridningen från ett infekterat system.

– Genom att ta dessa försiktighetsåtgärder och implementera flera lager av försvar kan en organisation på bästa sätt skydda sig mot nätfiskeattacker. Vi måste anta att angriparna kommer att lyckas vid något tillfälle. Därför behöver vi försvara oss med det antagandet i tankarna genom att använda ett omfattande och lager-baserat tillvägagångssätt i vårt försvar, säger Bryan Willett.

4. Inte träna anställda 

Att utbilda anställda i att inte klicka på länkar eller öppna bifogade filer i e-postmeddelanden från okända avsändare är viktigt, men de behöver även utbildas i att känna igen falska meddelanden, säger Jim Russell, cio vid Manhattanville College i Harrison i New York.

– En av de viktigaste sakerna vi pratar om i vår utbildning är autentisk ton, vilket är ett av de viktigaste elementen för att känna igen ett falskt meddelande. Det är folk som kommunicerar lite personligt och snabbt i ett meddelande som utgör en av våra luckor i säkerheten, säger Jim Russell, som även fungerar som institutionens it-säkerhetschef.

– Men som tur är, är de flesta inom akademin är folk som skriver kompletta meningar. Och de kan ofta ha vanliga hälsningsfraser. Så till exempel är ”Hej Erik, hur är det?” ett typiskt sätt att introducera sig. Så om detta inte finns med, brister autenticiteten.

De anställda på Manhattanville College har också övats i att vidarebefordra alla misstänkta meddelanden till medlemmar av Russells team som kan avgöra deras autenticitet.

Kevin Cross, it-säkerhetschef på Dell Technologies håller med om att en framgångsrik anti-nätfiskestrategi behöver inleda med att väcka uppmärksamheten bland anställda på hur man identifierar nätfiske och förstår hur man ska rapportera det. Detta tillvägagångssätt är ett skifte bort från den vanliga ”klicka-inte-strategin” som tillämpas av många företag.

Kevin Cross säger att noll klick är ett opraktiskt och orealistiskt mål. I stället ger kunskapen om att rapportera misstänkta meddelanden säkerhetsteamen möjlighet att snabbt avgöra det potentiella hotet och motverka effekterna av att andra utsätts för en liknande attack. Och organisationer kan bygga in verktyg i sina e-postplattformar som gör det lättare för anställda att rapportera misstänkt e post.

Men den här typen av träning räcker inte tillräckligt långt, menar Jacob Ansari, nationell cybersäkerhetsexpert på Mazars, ett globalt företag inom revision, skatt och rådgivning.

– De flesta strategier mot nätfiske är begränsade i sin effektivitet eftersom de bara riktar sig mot toppen av det ökända isberget: användarbeteende, säger Jacob Ansari.

Att träna användare i att känna igen nätfiskeattacker är bara effektivt så länge som nätfiskeuppläggen går att skilja från legitima affärsaktiviteter, menar Jacob Ansari. Men alla ansträngningar är förgäves när de anställda förväntas att utföra det slags aktiviteter som liknar uppläggen i nätfiskeattackerna.

– Till exempel, ett företag som begär att användarna som en del av den normala verksamheten ska klicka på länkar från tredje parts-avsändare för att avsluta en bakgrundskontroll, eller anmäla sig till förmåner genom att ange personlig information i ett webbformulär på ett annat ställe, minskar värdet av övning inom anti-nätfiske, säger Jacob Ansari.

Som tillägg till utbildning anser Ansari att organisationer behöver engagera ledarskapet för att göra om affärsprocesserna så att de inte längre ter sig som uppläggen i nätfiske. Detta genom att minska användningen av länkar i meddelanden och begära att interaktioner mellan tredje part och anställda följer företagets standard för säker kommunikation.

– Företagen behöver även se till att alla delar av företaget, som HR, marknad och ekonomi, interagerar med tredje part och i sin kommunikation med hela företaget gör det på ett ansvarsfullt sätt för att undvika de betingelser som gör att nätfiske frodas, säger Jacob Ansari.

5. Brist på upprätthållande och motivation

Även om ett företag har bra utbildningar och en policy på plats, kan det hända att detta ändå inte är effektivt om det inte får konsekvenser för anställda som bryter mot reglerna, menar Krissy Safi på Protiviti. Om en anställd till exempel blir lurad av ett nätfiskemejl och inte rapporterar detta, borde det få konsekvenser för att uppmuntra till bättre beteende i framtiden.

På Manhattanville College måste anställda som går på nätfiskemejl slutföra ett visst antal övningsuppgifter online under tio dagar, säger Jim Russell. Om de bara klickar på en länk behöver de bara genomföra en övning, men om de faktiskt ger ut sina inloggningsuppgifter måste de slutföra tre övningar.

– Jag undersöker också listan över folk som har gått på nätfiskeförsök och identifierar de som har högre rättigheter, som höga chefer. Och de får cirka fem minuter i utvisningsbåset tillsammans med mig. Jag säger till dem att det inte finns någon Genèvekonvention som skyddar dem. Jag håller också koll på återfallsförbrytare och de som inte klarar övningarna, och även de får fem minuter i utvisningsbåset, och vi har ett av dessa pinsamma samtal, tillägger Jim Russell.

6. För stor tilltro till simulerade tester

En annan akilleshäl inom dagens nätfiskestrategier är att vissa företag tar sikte på att öva användare till att bli hundra procent ofelbara, menar Sushila Nair, cybersäkerhetschef på Capgemini.

– Det finns en utspridd premiss att det är användarnas fel att de faller för nätfiskeattacker, säger hon. Men organisationerna måste fråga sig själva ”Tittar vi på och mäter vi oss själva verkligen mot ett värde som säger att vi måste sikta på att hundra procent av våra användare inte faller för ett simulerat nätfisketest”?

Om testet är sofistikerat kommer fler att misslyckas, och om testet är ganska lätt då kommer alla att klara det med den äran, tillägger Sushila Nair.

Det är lockande för vissa ciso:s att presentera bättre mätvärden på hur ofelbara användarna är för styrelsen, men företagsledningen måste acceptera att en liten del av användarna kommer att klicka på länkar oavsett hur mycket företaget än övar dem, och under stressiga förhållanden kommer denna andel att öka.

Vad värre är, många organisationer kör simulerade nätfisketester som normaliserar klickande på länkar, säger Sushila Nair.

– Du kanske klickar på en länk som tar dig till en portal som säger ”Jäklar, du är lurad”.

Men att tvinga användare att träna som en del av en simulering har motsatt effekt – sannolikheten ökar att de klickar på länkar. Att slängas in i utbildningar för att de klickade på en länk under en stressig dag lär de flesta användare att avsky övningar, och att ta sig igenom dem – utan att vara uppmärksam – så snabbt som möjligt, lägger hon till.

– Inte nog med att det får den effekten, men det påverkar också det sätt som en användare kan reagera på nätfiskemejl, säger Sushila Nair.

– De klickar inte på ett udda mejl för att de tror att det är ett test, men de kommer heller inte att rapportera det.

Slutsatsen är att anti-nätfiskeprogram ofta misslyckas på grund av att folk är felbara. Människor gör misstag även om de utbildats och gör så gott de kan, säger Elizabeth Shirley, åklagare och styrelsemedlem för cybersäkerhets- och dataintegritetsteamet på Burr & Forman LLP.

– Människor är också känslosamma och har ofta en magkänsla för nätfiskemejl som skapar en känsla av brådska och nödvändighet, säger hon. Dessa omständigheter kommer inte att ändras. Och nätfiskemejl kommer att fortsätta, i alla fall för en överskådlig framtid.