Vad är harpunfiske?

Harpunfiske är en riktad e-postbluff med ett enda syfte: Att skaffa sig åtkomst till känsliga data utan behörighet. Till skillnad från nätfiskebluffar, som går ut på breda, spridda skurar av angrepp, siktar man med harpunfiske in sig på en specifik grupp eller organisation. Avsikten är att stjäla immateriella tillgångar, ekonomiska data, affärshemligheter eller militära hemligheter samt andra sekretessbelagda data.

Så här går det till: Ett e-postmeddelande kommer in, till synes från en tillförlitlig källa. Men meddelandet dirigerar i själva verket den intet ont anande mottagaren till en falsk webbplats fylld av skadlig programvara. I de här e-postmeddelandena används ofta sluga knep för att få offrets uppmärksamhet. Till exempel har FBI varnat för harpunfiskebluffar via e-postmeddelanden som verkar komma från ett nationellt centrum för utsatta barn.

Inte sällan ligger statligt understödda hackare och hacktivister bakom de här attackerna. Cyberbrottslingarna gör samma sak i syfte att sälja sekretessbelagda data vidare till myndigheter och privata företag. De här cyberbrottslingarna använder personanpassade angreppssätt och social ingenjörskonst för att skapa meddelanden och webbplatser med ett övertygande, personligt tilltal. Det gör att även högt uppsatta måltavlor inom en organisation, till exempel toppcheferna, kan komma att öppna den här sortens e-post i tron att den är säker. Ett sådant misstag räcker för att cyberbrottslingarna ska kunna stjäla alla data de behöver för att angripa ledningens nätverk.

Så blir du av med problemet

Med traditionella säkerhetsmetoder är det svårt att stoppa de här angreppen eftersom de är så listigt anpassade. Det gör att attackerna blir allt svårare att upptäcka. Ett enda misstag från en anställd kan få långtgående konsekvenser för verksamheter, myndigheter och även ideella organisationer. Via stulna data kan bedragarna offentliggöra kommersiellt känslig information, manipulera börspriser eller bedriva olika former av spionage. Dessutom kan bedragare använda harpunfiskeangrepp till att kapa datorer och omforma dem till enorma nätverk, så kallade botnät, som kan användas vid överbelastningsattacker.

För att en organisation ska kunna skydda sig mot harpunfiskebluffar måste alla medarbetare bli medvetna om vilka hot som finns, t.ex. falsk e-post i inkorgen. Förutom utbildning krävs även tekniska lösningar för e-postskydd.