Phishing er blevet en forretning
Cyberkriminalitet, selvom den er lukrativ, kan have begrænsninger. Historisk set, for at blive en succesfuld hacker, skulle du have viden og færdigheder til at skabe dine egne angreb fra bunden. Men alt det har ændret sig med udbredelsen af phishing as a service.
Nu kan enhver blive cyberkriminel på ingen tid – alt, hvad de behøver at vide, er, hvor de skal lede, og hvad de vil betale.
Hvad er phishing as a service?
Phishing as a service, eller PaaS, er en forretningsmodel, hvor dygtige cyberkriminelle sælger adgang til de værktøjer og den viden, der kræves for at udføre et phishing-angreb ved hjælp af en software as a service model.
Cyberkriminelle ‘leverandører’ bruger fora på the dark web til at annoncere og sælge ‘phishing-kits’, som er værktøjssæt der indeholder alt, hvad der er nødvendigt for at udføre et phishing-angreb, inklusive databaser med mål og færdiglavede e-mail-skabeloner.
Nogle leverandører er mere specialiserede – de kan tilbyde adgang til samordnet open source-intelligens (OSINT) for at gøre det muligt for cyberkriminelle at skabe meget overbevisende angreb, eller adgang til den back-end-kode, der er nødvendig for at skabe phishing-hjemmesider, der efterligner velkendte virksomheders hjemmesider for at indsamle legitimationsoplysninger.
Phishing as a service er en måde for kyndige hackere at tjene penge på deres phishing-færdigheder med mindre risiko for at blive fanget. Og for kunderne er det en hurtig og nem måde at udføre et phishing-angreb på professionelt niveau.
Ved at gøre disse værktøjer let tilgængelige, har PaaS væsentligt sænket de tekniske og økonomiske barrierer for adgang til cyberkriminalitet, hvilket åbner dørene for uerfarne hackere, så de kan begynde at lancere deres egne angreb.
Hvorfor er phishing as a service et problem?
Udbredelsen af PaaS skaber problemer for mange organisationer. Ved at sænke adgangsbarriererne har PaaS tilskyndet en ny generation af cyberkriminelle til at prøve deres kræfter med phishing – og investeringsafkastet for dem er stort.
Phishing as a service har gjort phishing mere profitabelt – cyberkriminelle behøver ikke længere bruge tid på at bygge deres egne e-mailskabeloner eller falske websteder for at stjæle værdifulde data.
Alt, de skal gøre, er at downloade et sæt fra en PaaS-leverandør og følge instruktionerne for at starte deres angreb. Derudover betyder PaaS også, at eksisterende individuelle cyberkriminelle nemt kan øge frekvensen af deres angreb.
Hvordan kan organisationer beskytte sig selv?
Der er ikke meget, som individuelle organisationer kan gøre ved selve PaaS-industrien. Organisationer kan dog beskytte sig selv mod den øgede mængde af angreb, der er produceret ved hjælp af PaaS.
Mange organisationer vælger at investere i cybersikkerhedstræning for at hjælpe deres medarbejdere med at opdage phishing-mails. Cybersikkerhedstræning fungerer bedst, når det er en kombination af simulerede cyberangreb og awareness-træning. Træningen kan kombineres med intelligent teknologi og løsninger, der bruger en zero-trust arkitektur, for at skabe en stærk sikkerhed.