Till innehåll på sidan

Metoder vid cyberangrepp

Här presenteras en del av de metoder som används av flera typer av hotaktörer vid cyberangrepp.

Angrepp via mejl

Ett av de vanligaste sätten för en angripare att påbörja ett angrepp är genom att skicka mejl som verkar legitima. På så sätt få användaren att klicka på en länk i meddelandet, öppna ett bifogat dokument eller tillåta att innehåll i e-postmeddelandet, exempelvis en bild, hämtas från internet. Gör användaren något av detta hjälper det angriparen på något sätt att uppnå sitt syfte.

Att använda mejl för att genomföra angrepp kallas nätfiske (phishing). I de fall angreppet är riktat mot en eller ett fåtal individer kallas det riktat nätfiske (spear phishing).

Lösenordsattacker

Så kallade lösenordsattacker är en metod som används flitigt idag. Särskilt vanligt är det med lösenordsattacker mot publikt tillgängliga e-postservrar, databaser och tjänster för exempelvis fjärrstyrning såsom RDP (Remote Desktop Protocol) och VPN-anslutningar (Virtual private network).

Risk med vanliga lösenord

Kvalitén på lösenord är ofta väldigt låg, vilket innebär att en stor del av lösenorden går att gissa sig till utifrån modifierade ordlistor eller genom att prova ett litet antal mycket vanligt förekommande lösenord mot ett stort antal kontonamn. En angripare kan också på relativt enkelt sätt lura användaren att skriva in sitt lösenord på en förfalskad webbsida.

Använd inte samma lösenord

Ett stort problem är också när samma lösenord används till flera olika konton. Genom att få vetskap om lösenordet i ett informationssystem kan angriparen använda det även i andra informationssystem där användaren använder samma lösenord. I informationssystem där standardlösenordet inte är ändrat räcker det för en angripare att prova det lösenord som står i systemdokumentationen som ofta är publicerad på internet.

När en angripare har fått en första åtkomst till ett nätverk underlättar en bristfällig lösenordshantering att denne kan eskalera sina behörigheter och på så sätt att komma åt flera delar av it-miljön och vidare nå sitt mål med intrånget.

Ransomware

Ett angrepp av ransomware, kan innebära att hela eller delar av en verksamhets it-system med dess information blir krypterad och inte är tillgänglig för personalen. Detta kallas ofta för ransomware från engelskans ”ransom” (lösensumma) och ”software” (mjukvara). Genom att kryptera informationen hoppas angriparna på att den utsatta organisationen ska betala en lösensumma för att få tillgång till dekrypteringsnyckeln och få tillbaka den förlorade informationen. I många fall stjäls även information och angriparna hotar med att publicera den känsliga informationen ifall en lösensumma inte betalas.

Betalning till angriparna

Att betala angriparna för att få ta del av dekrypteringsnyckeln medför endast att informationen kan låsas upp. En total återställning av it-miljön behöver ändå göras för att säkerställa att all skadlig kod tas bort och att brister som möjliggjorde handgreppet hanteras. Betalning till angriparna är ett sätt att finansiera grovt kriminella nätverk och MSB avråder starkt att göra det.

Angrepp mot hälso-och sjukvårdssektor

Under pågående covid-19-pandemi har flera rapporter från internationella instanser inkommit som belyser att organisationer inom hälso-och sjukvårdssektorn visat sig vara särskilt attraktiva mål för cyberangrepp.

Medicinsk data värderas högt

En anledning till detta kan vara att medicinsk data är värderat mycket högt och kan användas för både utpressning och att sälja den vidare. Kriminella kalkylerar med lönsamhet när tillräckligt många väljer att betala lösensumman, särskilt om krypterad data inte är möjlig att återskapa på något annat sätt, är känslig eller att människors liv och hälsa står på spel.

I Sverige har både offentlig och privat verksamhet drabbats av ransomware det senaste året.

Angrepp mot mobiler

Mobiltelefoner, surfplattor och andra bärbara enheter är i dag nästan ständigt uppkopplade. Utrustningen är ofta av en enklare typ och leverantören brukar ofta begränsa tidsperioden för att tillverka och publicera säkerhetsuppdateringar. Sårbarheter finns i hårdvara, operativsystemet och de appar som används.

Skadlig kod via appar

Det vanligaste sättet att få in skadlig kod på mobiltelefoner är genom applikationer som oftast installeras från en tredje part, det vill säga inte från det appbibliotek som operativsystemstillverkaren tillhandahåller.

Infekterad mobiltelefon

En infekterad mobiltelefon kan användas för att få åtkomst till mejl och meddelanden, uppgifter om kreditkort, bilder, kontaktlistor och gps-positionering. I vissa fall går det även att använda den för att på distans avlyssna telefonens omgivning.

Angrepp mot sakernas internet

Allt mer utrustning som kopplas upp mot nätverk består av beräkningssnåla enheter som kallas internet of things, IoT, eller sakernas internet. Många av de vanligaste säkerhetsåtgärderna som finns i enheter med större förmågor finns ofta inte på plats som exempelvis möjlighet att säkerhetsuppdatera, hantering av olika behörigheter eller korrekt implementerad kryptering av nätverkstrafik.

Dessa enheter kan användas som en väg in i det övriga nätverket, eller att de angrips för att köra skadlig kod och utnyttjas i botnät.

Angrepp mot publikt exponerade tjänster

Alla uppkopplade enheter, tillexempel datorer och servrar som ansluts på ett nätverk exponerar vanligtvis flera tjänster. För varje tjänst som exponeras på nätverket används ett så kallat protokoll. Alla protokoll och tjänster består av diverse programvarukomponenter; mjukvara. En sårbarhet i någon av dessa lager av hårdvara eller mjukvara kan ge en angripare möjlighet att genomföra ett angrepp mot servern.

Vattenhålsangrepp

Vattenhålsangrepp innebär att angripare placerar skadlig kod på en webbsida och sedan väntar på att användare ska besöka webbsida. Detta kan göras som ett riktat försök där skadlig kod placeras på en webbsida som är av stort intresse för en given användare eller grupp av användare. Metoden att placera den skadliga koden på den specifika webbsidan utgår ofta från en webbattack, eller genom att utnyttja annons-nätverk som publicerar den skadliga koden maskerad som annons.

Angrepp mot mjukvaruleverantörer

Ett lyckat angrepp mot en mjukvaruleverantör gör det möjligt för en angripare att placera in skadlig kod i leverantörens mjukvara. Detta innebär att när leverantörens programvara laddas ned av en organisation, till exempel i form av en uppdatering, så kommer även den skadliga koden köras i it-miljön.

Ofta innebär att denna metod att angriparen inte har kontroll över spridningen av den skadliga koden från mjukvaruleverantören, och det har hänt att den skadliga koden har spridit sig okontrollerbart.

Senast granskad: 9 februari 2024

Till toppen av sidan