Metoder vid cyberangrepp

Ett av de vanligaste sätten för en angripare att påbörja ett angrepp är genom att skicka mejl som verkar legitima. På så sätt få användaren att klicka på en länk i meddelandet, öppna ett bifogat dokument eller tillåta att innehåll i e-postmeddelandet, exempelvis en bild, hämtas från internet. Gör användaren något av detta hjälper det angriparen på något sätt att uppnå sitt syfte.

Att använda mejl för att genomföra angrepp kallas nätfiske (phishing). I de fall angreppet är riktat mot en eller ett fåtal individer kallas det riktat nätfiske (spear phishing).

Lösenordsangrepp

Så kallade lösenordsangrepp är en metod som används flitigt idag. Särskilt vanligt är det med lösenordsangrepp mot publikt tillgängliga e-postservrar, databaser och tjänster för exempelvis fjärrstyrning såsom RDP (Remote Desktop Protocol) och VPN-anslutningar (Virtual private network).

Risk med vanliga lösenord

Kvaliteten på lösenord är ofta väldigt låg, vilket innebär att en stor del av lösenorden går att gissa sig till utifrån modifierade ordlistor eller genom att prova ett litet antal mycket vanligt förekommande lösenord mot ett stort antal kontonamn. (Sektion för Nätfiske)

Använd inte samma lösenord

Ett stort problem är också när samma lösenord används till flera olika konton. Genom att få vetskap om lösenordet i ett informationssystem kan angriparen använda det även i andra informationssystem där användaren använder samma lösenord. I informationssystem där standardlösenordet inte är ändrat räcker det för en angripare att prova det lösenord som står i systemdokumentationen som ofta är publicerad på internet.

När en angripare har fått en första åtkomst till ett nätverk underlättar en bristfällig lösenordshantering att denne kan eskalera sina behörigheter och på så sätt att komma åt flera delar av it-miljön och vidare nå sitt mål med intrånget.

Utpressningsangrepp

Varje år drabbas såväl offentlig som privat verksamhet i Sverige av utpressningsangrepp. Ett utpressningsangrepp (ransomware), kan innebära att hela eller delar av en verksamhets it-system med dess information blir krypterad och inte längre är tillgänglig för verksamheten. Detta kallas ofta för ransomware från engelskans ”ransom” (lösensumma) och ”software” (mjukvara). Genom att kryptera informationen hoppas angriparna på att den utsatta organisationen ska betala en lösensumma för att få tillgång till dekrypteringsnyckeln och få tillbaka den förlorade informationen. I många fall utpressningsangrepp stjäls även information och angriparna hotar med att publicera den känsliga informationen ifall en lösensumma inte betalas.

Betalning till angriparna

Att betala angriparna för att få ta del av dekrypteringsnyckeln eller för att de inte ska publicera stulen information, är förknippat med stor osäkerhet En total återställning av den påverkade delen av it-miljön behöver göras för att säkerställa att all skadlig kod tas bort och att brister som möjliggjorde angreppet hanteras. Betalning till angriparna är ett sätt att finansiera grovt kriminella nätverk och MSB avråder starkt från att göra det.

Angrepp mot mobiler

Mobiltelefoner, surfplattor och andra bärbara enheter är i dag nästan ständigt uppkopplade. Utrustningen är ofta av en enklare typ och leverantören brukar ofta begränsa tidsperioden för att tillverka och publicera säkerhetsuppdateringar. Sårbarheter finns i hårdvara, operativsystemet och de appar som används. Sårbarheter kan förekomma i den digitala enhetens hårdvara, operativsystemet samt de appar som används.

Skadlig kod via appar

Det vanligaste sättet att få in skadlig kod på mobiltelefoner är genom applikationer som oftast installeras från en tredje part, det vill säga inte från det appbibliotek som operativsystemstillverkaren tillhandahåller.

Infekterad mobiltelefon

En infekterad mobiltelefon kan användas för att få åtkomst till mejl och meddelanden, uppgifter om kreditkort, bilder, kontaktlistor och gps-positionering. I vissa fall går det även att använda den för att på distans avlyssna telefonens omgivning.

Angrepp mot sakernas internet (IoT)

Allt mer utrustning som kopplas upp mot nätverk består av beräkningssnåla enheter som kallas internet of things, IoT, eller sakernas internet. Många av de vanligaste säkerhetsåtgärderna som finns i mer avancerade enheter finns ofta inte på plats i IoT-enheter, till exempel möjligheten att säkerhetsuppdatera, hantering av olika behörigheter eller korrekt implementerad kryptering av nätverkstrafik.

Dessa enheter kan användas som en väg in i det övriga nätverket. De kan också användas för att, köra skadlig kod och utnyttjas i botnät.

Angrepp mot publikt exponerade tjänster

Alla uppkopplade enheter, till exempel datorer och servrar som ansluts på ett nätverk exponerar vanligtvis flera tjänster. För varje tjänst som exponeras på nätverket används ett så kallat protokoll. Alla protokoll och tjänster består av diverse programvarukomponenter; mjukvara. En sårbarhet i någon av dessa lager av hårdvara eller mjukvara kan ge en angripare möjlighet att genomföra ett angrepp mot servern.

Vattenhålsangrepp

Vattenhålsangrepp innebär att angripare placerar skadlig kod på en webbplats och sedan väntar på att användare ska besöka den. Detta kan göras som ett riktat försök där skadlig kod placeras på en webbplats som är av stort intresse för en given användare eller grupp av användare. Metoden att placera den skadliga koden på den specifika webbplatsen utgår ofta från ett webbangrepp, eller genom att utnyttja annonsnätverk som publicerar den skadliga koden maskerad som annons.

Angrepp mot mjukvaruleverantörer

Det har blivit allt vanligare att angripare utför angrepp mot leverantörer av digitala produkter och tjänster, i syfte att påverka deras kunder. En angripare kan, som en del av ett angrepp mot mjukvaruleverantör, exempelvis välja att placera skadlig kod i leverantörens mjukvara. När leverantörens mjukvara laddas ned av en organisation, till exempel i form av en uppdatering, så kommer även den skadliga koden köras i it-miljön.

Ofta innebär nyttjandet av denna metod att angriparen inte har kontroll över spridningen av den skadliga koden från mjukvaruleverantören.