Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Nu finns två jobbannonser ute: it-säkerhetsspecialist och junior systemadministratör.

Publicerad

Identifiera phishing - vad har hänt?

I den här delprocessen behandlas insamling samt analys av information och data för avgörande om en incident har inträffat.

Följande punkter behandlas :

Upptäcka och identifiera en Phishing-attack

Phishing, eller nätfiske på svenska, är en typ av attack som är mycket svår att skydda sig emot. Det finns några steg som kan vidtas för att mildra en eventuell attack. Dessa steg beskrivs under delprocessen Förebygga Phishing.

Phishing går ut på att lura till sig användaruppgifter, lösenord, kontouppgifter, kredikortsinformation. Dessa attacker riktas ofta mot organisationer som banker, e-handelsföretag eller allmän "on-line"-försäljning.

I de fall en organisation har fått phishing sidor installerade (som drabbar andra organisationer) i de egna näten så gäller samma regler som beskrivs i scenariot Identifiera Intrång. Det kan bero på att angripare lyckats ta sig in och installera phishing-sidorna i sårbara system.

Vad kan CERT-SE bidra med?

  • Information om Phishing

  • Länkar till mer information

  • Kontaktinformation till externa aktörer inom området

  • Hjälpa till med att stänga ner angripande IP-adresser

  • Kontakta ISP:er i andra länder
  • Kontakta CERT-organisationer i andra länder
  • Analys av insamlat data från en Phishing-attack

Förutsättningar och terminologi

Det som är annorlunda med en Phishing-attack jämfört med andra typer av angrepp är att de ofta sker utanför den drabbade organisationen. Alla steg inom attacken kan ske utanför organisationens nätverk. Upptäckandet av en phishing-attack sker oftast via en användare som lurats att besöka en phishing-sida via e-post, sociala nätverk eller andra metoder.

Vanligen vid en Phishing-attack så skickar angriparen ett mail till en användare med en länk till en fejkad webbsida som föreställer den angripna organisationens. Därefter luras användaren t.ex. att skriva in sina konto- eller kreditkortsuppgifter.

Mail header = brevhuvud (innehåller avsändande och vidarebefordrande IP-adress m.m.)

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är eller inte är vidtagna (glöm inte de viktigaste frågorna som finns i separat dokument.

  • Vad får organisationen att tro att systemet/organisationen är drabbad?

  • Vilka observationer är gjorda?

  • Hur upptäcktes problemet?

  • När upptäcktes problemet?

  • Vilka är drabbade; organisationen, kunder?
  • Vill drabbad dela med sig av information om incidenten till andra som drabbats av samma/liknande angrepp?
  • Vill drabbad dela med sig av info och erfarenheter till betrodd tredje part (EGC, FIRST)?

Insamling av data

Det som kan samlas in för att avgöra en normal phishing-attack är mailet som skickades till användarna. Det viktiga är att få tag på hela mailet med alla "mail headers" för att hitta avsändande IP-adress. Vidare analyser av annat data från phishing-sidan kan göras när organisationen har konstaterat att de är utsatta för en phishing-attack, detta beskrivs i dokumentet Begränsa Phishing.

Analys av insamlad information och data

I ett första steg så analyseras information och data för att faställa om en incident verkligen har inträffat eller inte. Om den analysen visar att en incident har skett så går incidenthanteringsprocessen in i nästa fas (begränsa). Den första analysen görs på phishing-mailet och phishing-sidan för att avgöra vilken typ av attack det rör sig om.

Länkar

Länkar till ytterligare extern information inom delprocessen

http://en.wikipedia.org/wiki/Phishing

http://www.antiphishing.org/

http://isc.sans.org/diary.html?storyid=429