By : admin

56,51% af alle e-mails er spam (Kaspersky), og 65% af de amerikanske organisationer blev udsat for vellykkede phishing-angreb i 2019 (Proofpoint)! Men er de forskellige? Lad os undersøge spam vs. phishing i lægmandsudtryk!

Spam vs. phishing – selv om folk bruger ordene “spam” og “phishing” i flæng, har begreberne beslægtede, men forskellige betydninger. De er begge udtryk, der beskriver irriterende, uopfordret kommunikation, der forsøger at manipulere målene til at gøre noget. Det kan være at give en eller anden form for oplysninger om dig selv – personlige oplysninger, loginoplysninger osv. – eller at give sig i kast med et ondsindet link eller en skadelig fil.

Men hvad er betydningen af spam, og hvad betyder phishing? I denne artikel vil vi tale om spam vs. phishing i detaljer. Vi undersøger også forskellen mellem spam og phishing med hensyn til e-mail, telefonopkald og sms’er.

Spam vs. phishing: Begrebernes oprindelse og betydning

Hvad er spam?

Alle uopfordrede eller uønskede kommercielle meddelelser betragtes generelt som spam. Ifølge Digital Trends menes selve udtrykket “spam” at stamme fra 1980’erne med henvisning til en Monty Python-skitse, der refererede til dåsekødet Spam. Forskning foretaget af Brad Templeton (grundlægger af verdens første internetbaserede virksomhed) viser, at udtrykket “spam” betyder “noget, der bliver ved med at gentage og gentage sig til stor irritation”.”

Sigtet med en spam er at oversvømme så mange mennesker som muligt med meddelelser, der markedsfører og reklamerer for produkter og tjenester. Det er dybest set den digitale pendant til alle de junk mail konvolutter og postkort, som postbuddet afleverer i din postkasse derhjemme. I IBM’s X-Force Threat Intelligence Index 2020-rapport beskrives spam som et spil med tal: “Med tilstrækkelig stor mængde er selv en lille succesrate nok til at skabe værdi for trusselsaktører.”

Helt grundlæggende gælder det, at hvis man sender nok e-mails, vil nogen et eller andet sted i sidste ende købe svindelnumrene. Det er derfor, at spam-beskeder ikke er målrettede og når ud til masserne. Der er tre almindelige måder, hvorpå svindlere bruger spam:

  • E-mailmeddelelser,
  • Telefonopkald (telemarketing og roboopkald) og
  • SMS-phishing-meddelelser (sms-beskeder).

Og selv om spam ikke nødvendigvis er lige så farligt som phishing, skal brugerne stadig være på vagt, når det gælder disse meddelelser. De forsøger ofte at få dig til at give personlige oplysninger, som de kan bruge i fremtidige spamforsøg. Og nogle gange kan de være skadelige i deres natur (selv om det er mindre hyppigt end phishing-e-mails).

Hvad er phishing?

Phishing er en måde, hvorpå svindlere og cyberkriminelle udgiver sig for at være en juridisk enhed eller bruger andre metoder til at snyde deres mål. Phishing-meddelelser er typisk farligere end spam, fordi de er udformet til at se lovlige ud, men har til hensigt at skade, manipulere eller lokke folk til at gøre noget, de normalt ikke ville eller burde gøre. Når vi taler om spam vs. phishing, ligger forskellen derfor i afsenderens hensigter og meddelelsernes indhold.

Målet med phishing-e-mails er at få brugerne til at dele oplysninger, klikke på links eller engagere sig i ondsindede vedhæftede filer. Med links forsøger de at stjæle dine legitimationsoplysninger eller få dig til at downloade skadelig software utilsigtet. Med vedhæftede filer vil de også forsøge at få dig til at installere malware. Uanset hvad, er det dårlige nyheder for dig.

De mest almindelige former for phishing omfatter

  • Phishing-e-mails (herunder whale phishing, spear phishing),
  • telefonopkald (vishing),
  • SMS (smishing),
  • Wi-Fi port phishing (ond tvilling),
  • HTTPS phishing og
  • Angler phishing (kloning af indlæg og profiler på sociale medier).

Spam vs. phishing i e-mails

E-mails er de mest populære spamming- og phishing-teknikker. Og derfor vil vi her tale om, hvordan du kan skelne spammails fra phishingmails.

Hvad er spam i forbindelse med e-mail?

Alle elektroniske meddelelser, der sendes ud med henblik på kommerciel reklame eller promovering af et produkt, en tjeneste eller et websteds indhold, betragtes som spam. Spamming via e-mail er en lovlig aktivitet i henhold til Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003, som er kendt som CAN-SPAM-loven.

Dette er nogle af de vigtigste CAN-SPAM-regler, som afsenderen skal overholde:

  • E-mail skal have et aktivt og synligt afmeldingslink eller -knap. Afsenderen har 10 dage til at reagere på anmodningen om at afmelde sig og ophøre med at sende modtageren e-mails.
  • Afsenderens e-mailadresse skal være korrekt. “Fra”-linjen må ikke være misvisende, og emnet for meddelelsen skal være relevant i forhold til meddelelsens indhold.
  • Afsenderens fysiske adresse skal nævnes. En fysisk adresse (eller postboksnummer) på afsenderen (virksomhed, individuel afsender, annoncør eller tredjeparts markedsføringsbureau) skal være til stede i e-mailen.
  • Modtagerne skal advares, hvis e-mailen har voksenindhold. Hvis indholdet er af voksen karakter, skal det mærkes som “SEXUALLY EXPLICIT”.”
  • Afsenderen bør sende e-mailen fra flere e-mailadresser. Afsenderen bør ikke sende spam-beskeder til den samme modtager fra forskellige e-mail-adresser.
  • E-mails må ikke indeholde malware: Spam-meddelelser må ikke indeholde malware (virus, orme, trojanske heste osv.) eller omdirigere brugere til ondsindede websteder.

Når virksomheder sender e-mails til nuværende kunder eller til kundeemner (personer, der har forhørt sig om produkter/tjenester) med henblik på opfølgning, feedback, forslag eller andre former for kommunikation, anses sådanne meddelelser heller ikke for at være spam. Disse meddelelser klassificeres som relationsmeddelelser i henhold til CAN-SPAM. Selv politiske og religiøse e-mails er også undtaget fra SMAP’s definition i CAN-SPAM.

Spam-e-mails er ikke skadelige i sig selv. De er bare uønskede og optager unødvendig plads i din indbakke. Men SPAM-e-mails er kendt for at udnytte sikkerhedshuller; hackere kan udnytte dem til at bryde ind i modtagerens e-mail-klient og sprede malware eller phishing-e-mails. Ifølge IBM’s X-Force Threat Intelligence Index 2020-rapport fra IBM har sikkerhedshuller ved navn CVEs 2017-0199 og 2017-11882 for eksempel stået for “næsten 90 procent af de sårbarheder, som hackere har forsøgt at udnytte via spam-kampagner.”

Spam handler om tallene. Når man rammer nok mennesker med sine spam-beskeder, kan selv minimale succesrater betale sig i det lange løb.

De fleste e-mail-klienter registrerer automatisk spam-e-mails og smider dem i mappen spam/junk. Alle vedhæftede filer og billeder er også blokeret i en sådan e-mail. Men hvis du stadig får uønskede spam-e-mails i din indbakke, kan du afmelde dig fra dem. (Du skal blot være opmærksom på at kontrollere afmeldingslinket først for at sikre, at det ikke er et phishing- eller ondsindet link). Du kan også højreklikke på e-mailen i din indbakke for at flytte den til spam-mappen. Du kan også blokere afsenderen.

Her er et eksempel på en typisk spam-e-mail:

Spam vs. phishing screenshot eksempel på en spam-e-mail

Dette er en spam-e-mail, som jeg fik fra et websted for logodesign. Indholdet i emnelinjen passer til indholdet i e-mailen. Du kan også se, at e-mailen har en fanebladet “unsubscribed” (afmeldt) og den fysiske adresse på virksomheden. Det betyder, at det er en spam-e-mail, der følger alle SPAM-CAN’s retningslinjer.

Hvad er phishing i forbindelse med e-mail?

Svindlere sender phishing-e-mails, der udgiver sig for at være en virksomhed eller en person, som modtagerne har tillid til. Disse e-mails er af vildledende karakter. Phishing-e-mails er udformet på en sådan måde, at de ser ud til at komme fra din bank, e-handelsside, universitet, regering, arbejdsgiver, familie eller kolleger. 96 % af phishing-angreb sker via e-mail, viser Verizons 2020 Data Breach Investigations Report (DBIR).

Disse e-mails kan indeholde vedhæftede filer fyldt med malware, ondsindede links eller omdirigeringer til spammy websteder. Nogle gange forsøger angriberne at udløse en følelsesmæssig reaktion fra modtagerne og giver sig til at dele deres fortrolige oplysninger som f.eks:

  • Betalingskortnumre,
  • Telefonnumre,
  • Fysisk adresse,
  • Socialsikringsnummer (SSN),
  • Skatterelaterede oplysninger og
  • Sundhedsoplysninger

De generelle motiver bag phishing-e-mails omfatter:

  • Finansielt bedrageri,
  • Identitetstyveri,
  • Loginoplysninger tyveri,
  • Spredning af malware (orme, vira, trojanske heste, rootkits, adware osv.), og
  • Omdirigerer modtagerne til ondsindede websteder.

Nedenfor er et eksempel på en typisk phishing-e-mail. E-mailen ser ud til at komme fra PayPal, men hvis du tjekker afsenderens e-mailadresse nøje, vil du se, at den kommer fra en svindler, og at den godartede PDF-bilag kan indeholde farlig malware.

Spam vs. phishing grafisk eksempel på en phishing-e-mail
SpaSpam

Mange amerikanske stater har forskellige love for phishing. Der er ingen føderal lov, der direkte kriminaliserer phishing, men de føderale straffelove gælder for økonomisk svindel og identitetstyveri, der sker via phishing.

Hvis du er blevet offer for en phishing-e-mail, kan du registrere din klage til www.ic3.gov, ftc.gov/complaint eller [email protected].

Forskellen mellem spam- og phishing-e-mails

For at hjælpe dig med at forstå forskellen mellem spam og phishing bedre, syntes vi, at det kunne være nyttigt at se dem side om side i en tabel.

Spam Phishing
Formål At promovere og markedsføre produkter og tjenester At bedrage modtagerne
Natur Uønskede kommercielle e-mails, der typisk er af godartet karakter, men som undertiden kan være skadelige Misvisende meddelelser, der ser ud til at komme fra lovlige enheder, men som er udformet med henblik på at være skadelige i deres natur.
Indeholder Produkt-/servicereklamer, kuponkoder, tilbud, rabatter, forespørgsels- eller undersøgelsesformularer Malware-belastede vedhæftede filer, inficerede links, links, der omdirigerer til spammy websteder, vildledende meddelelser, der får modtagerne til at dele deres PII/finansielle oplysninger
Lovgivning Den amerikanske lovgivning Den amerikanske lov om beskyttelse af personoplysninger
.US. Non-Solicited Pornography and Marketing Act of 2003 For andre lande: Anti-spamlove Flere delstatslove, den amerikanske føderale straffelov

Spam vs. phishing: talemeddelelser og telefonsamtaler

Gøringsmændene bruger telefonopkald til at spamme og phiske mål.

Spamopkald

Hvis du modtager et uopfordret telefonopkald til markedsføringsformål, især fra en virksomhed, som du aldrig har haft med at gøre før, kan det kategoriseres som et spamopkald. Definitionen af markedsføringsopkald og spamopkald kan være uklar.

Fors eksempelvis, hvis du pludselig bliver ringet op for at ansøge om et kreditkort fra et kortfirma, som du aldrig har haft med at gøre før, betragtes det som et spamopkald. Men hvis nogen ringer til dig for at sælge det nye kort eller forsikringer fra den bank, du allerede har en konto hos, betragtes det som et rent markedsføringsopkald for at sælge yderligere produkter. I USA er der i henhold til Telephone Consumer Protection Act (TCPA) og Federal Communications Commission (FCC) restriktioner for spamopkald og telemarketingbeskeder.

Voice Phishing (Vishing)

Når gerningsmændene foretager telefonopkald, hvor de udgiver sig for at være en anden person med det formål at snyde dig, kaldes det voice phishing eller vishing. F.eks. ringer en svindler til dig og udgiver sig for at være bankdirektør og beder dig om at oplyse de sidste fire cifre i dit personnummer og nogle andre personlige oplysninger for at sende dig et nyt kreditkort.

Sommetider bruger angriberne en lækket database eller udnytter deres social engineering-færdigheder til at lave lidt research om de potentielle ofre, før de ringer. For eksempel ringer de til universitetsstuderende og udgiver sig for at være en bankansat, der håndterer studielån, eller en repræsentant fra statens/føderale afdeling for studiestøtte, der vil have flere oplysninger om deres ansøgning om stipendier. Kort sagt, i stedet for at ringe til tilfældige numre, foretager svindlerne et telefonopkald, hvor de forstår deres målgruppe, så de lyder lovlige over for de potentielle ofre.

Spam vs. phishing: SMS-beskeder

Der findes i dag websteder og værktøjer, som kan sende store mængder SMS-beskeder til utroligt lave omkostninger. Derfor elsker spammere og phishing-svindlere også at sende deres beskeder via tekstbeskeder! Du er i stand til at nå brugerne på deres mobiltelefoner, uanset hvor de befinder sig.

Spam-sms-beskeder

Når virksomheder sender uopfordrede masse-sms-beskeder til kommercielle, ikke-maladiske formål, kaldes de for spam-sms-beskeder eller spam-sms-beskeder. Disse meddelelser kan indeholde produktoplysninger, oplysninger om særlige tilbud/rabatter, tilbud, ordninger, kuponkoder osv. De kan også indeholde links til produktets/tjenestens websted.

Nogle spam-sms’er sendes som en undersøgelse for at få flere oplysninger om potentielle kunder. Formålet med sådanne sms’er kan være at sælge et produkt eller en tjenesteydelse, branding, indsamling af flere oplysninger (f.eks. demografiske oplysninger, købsvaner, købekraft, likes/præferencer osv.) om modtagerne. Tekstspamming er også omfattet af The Telephone Consumer Protection Act (TCPA).

SMS Phishing (Smishing)

Her sender svindlere sms’er, mens de udgiver sig for at være legitime organisationer. Arten og formålet med sådanne phishing-sms-beskeder er det samme som phishing-e-mails – dvs. at svindle modtagerne. Angriberne forsøger at narre eller manipulere dig til:

  • at dele dine personlige eller finansielle oplysninger,
  • at gennemføre finansielle transaktioner,
  • at downloade vedhæftede filer med malware eller
  • at klikke på links i SMS-teksterne, der fører dig til ondsindede websteder.

Opfølgning på spam vs. phishing

Temaet spam vs. phishing, eller mere specifikt forskellen mellem spam og phishing, kan være forvirrende. Men nu kan vi roligt gå ud fra, at du ved, at spam er den irriterende, men mere godartede type meddelelse, hvorimod phishing letter cyberkriminalitet. Men den hårfine grænse mellem phishing og spam bliver udvisket, når spammeren overtræder nogle af CAN-SPAM’s (eller dit lands love vedrørende SPAM) retningslinjer. F.eks. hvis e-mailens indhold eller afsenderens e-mailadresse er vildledende, eller hvis e-mailen/tekstbeskeden indeholder malware (eller links til ondsindede websteder).

Spamming kan nogle gange være så irriterende, at man har lyst til at skifte telefonnummer eller e-mailadresse! På den anden side kan phishing føre til, at du bliver offer for cyberkriminalitet. Så uddan dig selv og dine medarbejdere yderligere om phishing-svindel og om, hvordan du kan genkende dem med succes.

Håndter certifikater som en professionel

14 bedste praksis for certifikatstyring, der holder din organisation kørende, sikker og fuldt ud kompatibel.

Kontaktoplysninger, der indsamles på InfoSec Insights, kan bruges til at sende dig ønskede oplysninger, meddelelser om blogopdateringer og til markedsføringsformål. Læs mere…

  • #phishing
  • #spam
  • #spam vs phishing

Articles

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.