Får vår tekniker nån lön i maj?

På Nimblr arbetar vi med att utveckla världens bästa IT-säkerhetsutbildning för slutanvändare. Med regelbundna mikro-kurser och simulerade phishingmejl bygger vi en säkerhetsmedvetenhet och motståndskraft hos våra kunders anställda. Men vad händer egentligen när en av våra egna anställda utsätts för avancerad spear-phishing?

Uppdatera lönekontot

En solig dag i slutet av maj valde Nimblrs HR-ansvarige att arbeta hemifrån. Tuff trafik och barn som slutar skolan tidigare än vanligt gör att Caroline ibland väljer att jobba från hemmakontoret. Denna dag landade ett relativt vanligt mejl i Carolines inkorg. Mejlet såg ut att komma från en kollega, supportteknikern Gabriel, som arbetar på samma kontor som Caroline. Gabriel hade en enkel fråga; han hade bytt bank och bad Caroline att uppdatera hans kontonummer så att den stundande månadslönen hamnade på rätt konto.

‍Mejlets avsändare hade korrekt förnamn och efternamn, och det var undertecknat med samma namn, tillsammans med korrekt titel “Technical Support Specialist”. Ingenting var egentligen särskilt konstigt med varken mejlet eller förfrågan.

Träning ger färdighet

Istället för att uppdatera Nimblrs lönesystem med nytt kontonumret inför utbetalningen av maj månads löner fattade Caroline misstanke. Caroline deltar, precis som alla andra på Nimblr, i det automatiska träningsprogrammet, samma system som Nimblr levererar till sina kunder. Tack vare regelbunden Security Awareness-träning och simulerade phishing-meddelanden tog angreppet slut här. Gabriels lön kommer att betalas ut, till rätt konto, även i maj!

Mejlet som Caroline mottagit var ett så kallat spear-phishing-meddelande, skickat från ett nyligen skapat Gmail-konto. Det innehöll inga virus eller länkar, däremot ett bedrägligt meddelande som hade kunnat sätta stopp för Gabriels tilltänkta fredagsnöjen och skicka hans lön till en bedragare.

Att phisha en phishare

Efter att Caroline anmält incidenten till vår säkerhetsansvariga bestämde vi oss för att fortsätta dialogen med angriparen och samla mer detaljer om tillvägagångssättet. Det nya kontonumret angavs aldrig i det initiala mejlet, troligtvis för att minska risken att de mottagare som inte låtit sig luras skulle anmäla kontonumret till banken som i sin tur skulle kunna spärra det. Vi besvarade det falska mejlet och förklarade att det inte skulle vara några problem att uppdatera kontonumret, bara skicka uppgifterna till oss. Vi fick snabbt ett svar tillbaka, innehållande en bild av ett dokument med kontonumret dit angriparen ville att vi fortsättningsvis skulle skicka Gabriels lön. Nu kunde vi anmäla kontonumret till banken och förhoppningsvis stoppa framprovocerade inbetalningar till kontot.

‍

Spear-phishing med hjälp av AI?

Hur kunde bedragaren veta vem som var ansvarig för lönesystemet på Nimblr? Hur kunde de veta att Gabriel arbetade på samma företag, och att hans titel var just “Technical Support Specialist”? All information kan med lite efterforskning, eller genom en relativt enkel programkod, samt några logiska antaganden hämtas hem från LinkedIn.

‍Den här typen av bedrägerier är, i jämförelse med andra, mer generiska utskick, vanligtvis mer tidskrävande att skapa. Man kan dock anta att detta var ett av många meddelanden, som kanske helt automatiskt skapats med hjälp av AI, som matas med grundläggande uppgifter om många olika offer, och därefter spottar iväg tusentals anpassade bedrägliga mejl. 

Se upp och börja utbilda dina användare

Vi håller tummarna för att andra mottagare av liknande meddelande är lika förberedda som HR-ansvarig på Nimblr. Om du känner dig osäker på hur det står till med motståndskraften i din organisation rekommenderar jag att du bokar en demo med oss på Nimblr. Vi kan då berätta mer om hur du kontinuerligt kan träna, testa och hålla dina kollegor uppdaterade om de ständigt pågående attackerna på nätet.