De mobile sikkerhedstrusler er stigende. Efterhånden som teknologien fortsætter med at udvikle sig, baner den også vejen for et stigende antal svindelnumre med mobiltelefoner og smartteknologi. Cyberkriminelle er hurtige til at tilpasse sig enhver ændring i det digitale landskab, og vores øgede brug af tilsluttede enheder har givet ondsindede hackere den perfekte mulighed for at angribe brugerne.
En række faktorer bidrager til den svage sikkerhed i mobiltelefoner, men en af de største bekymringer er, at telefoner er meget lettere at blive forlagt, tabt og stjålet.
Viden er det stærkeste våben i kampen mod svindel, og det er vigtigere end nogensinde før at være opmærksom på almindelige mobile sikkerhedstrusler og på, hvordan man undgår dem.
Almindelige typer af mobile sikkerhedstrusler:
Smishing
Smishing eller SMS-phishing er en almindelig angrebsmetode, hvor svindlere henvender sig til ofre via sms-beskeder. Disse sms'er opfordrer modtageren til at klikke på et link, som downloader malware eller omdirigerer offeret til et ondsindet websted for at indsamle deres følsomme oplysninger.
I de seneste år er smishing blevet mere og mere populært, da det giver cyberkriminelle mulighed for at lokke modtagerne af sms'er til at afsløre personlige eller finansielle oplysninger uden at skulle bryde igennem en computers eller et netværks sikkerhedsforanstaltninger. Typisk indeholder disse beskeder en følelse af hastværk, trussel eller advarsel for at forsøge at få modtageren til at træffe øjeblikkelige foranstaltninger.
Da en gennemsnitlig person sender 15 sms'er om dagen, giver smishing en unik mulighed for ondsindede hackere til at udnytte ofre, der ofte er distraherede eller har travlt. Undersøgelser har også vist, at brugerne er mere tilbøjelige til at reagere på et phishing-angreb på en mobilenhed end på en computer, da folk er mindre forsigtige med sms'er end med standard phishing-svindel, som normalt blokeres af spamfiltre.
Malware-apps
Applikationsbaserede trusler opstår, når brugere downloader apps, der ser lovlige ud, men som i virkeligheden gemmer ondsindet malware, orme eller trojanere. Disse apps kan så ændre indstillingerne for tilladelser, stjæle personlige og forretningsmæssige oplysninger eller i smug tilmelde brugere til abonnementstjenester, uden at de selv opdager det.
For eksempel har Skygofree, en app, der er forklædt som en opdatering til forbedring af mobil internethastighed, vist sig at kunne udføre 48 forskellige kommandoer, tænde telefonens mikrofon, oprette forbindelse til kompromitteret Wi-Fi og indsamle personlige oplysninger.
Hvis en bruger hopper på lokkemaden og downloader trojaneren, viser den en meddelelse om, at installationen angiveligt er i gang, skjuler sig selv for brugeren og anmoder om yderligere instruktioner fra kommandoserveren.
Disse apps er ofte enkle, fængende og tilbydes gratis, hvilket gør dem attraktive for mange brugere og resulterer i potentielt millioner af downloads.
Med 24.000 ondsindede malware-apps, der blokeres fra enheder hver dag, og flere medarbejdere, der bruger deres egne enheder til arbejdsformål, f.eks. til at få adgang til virksomhedens e-mail og se dokumenter, er det vigtigt, at medarbejderne er opmærksomme på de potentielle konsekvenser, som ondsindede apps kan have, og hvordan de kan undgå dem.
Usikret Wi-Fi
Undersøgelser viser, at 61 % af de adspurgte organisationer siger, at medarbejderne tilslutter virksomhedens enheder til offentlige Wi-Fi-netværk, når de arbejder uden for kontoret, f.eks. på hoteller, i lufthavne og på caféer. Offentlige Wi-Fi-netværk er almindelige på mange steder, men når der er et publikum af ubeskyttede brugere forbundet til det samme netværk, giver det også cyberkriminelle mulighed for nemt at distribuere skadelig software eller opsnappe vores følsomme oplysninger.
En anden risiko ved at bruge gratis offentligt Wi-Fi er, at brugerne ved et uheld kan forbinde til et uautoriseret hotspot. Der er tale om åbne hotspots, som normalt har samme navn som et legitimt hotspot, og som cyberkriminelle har oprettet for at lokke folk til at oprette forbindelse til deres netværk. De cyberkriminelle giver adgangspunkterne fælles navne som "Free Airport Wi-Fi" eller "Coffeehouse" for at tilskynde brugerne til at oprette forbindelse. Når et offer først er forbundet til et uautoriseret Wi-Fi-hotspot, kan hackerne opsnappe data og endda bruge værktøjer til at injicere malware i de tilsluttede enheder.
I nogle tilfælde bliver brugerne bedt om at oprette en konto med adgangskode for at få adgang til det falske netværk. Da to ud af tre personer genbruger den samme adgangskode til flere platforme, kan svindlere så kompromittere brugernes e-mail og andre konti.
For hackere er det utrolig enkelt og billigt at udnytte offentlig Wi-Fi til at indsamle data, hvilket forklarer denne voksende angrebsmetode.
Kryptografi
Kryptografi spiller en særlig vigtig rolle i forbindelse med sikring af vores data. Kryptografi kan imidlertid blive ødelagt, når app-udviklere bruger svage krypteringsalgoritmer eller undlader at implementere en stærk krypteringsalgoritme på en sikker måde. Som følge heraf kan enhver motiveret angriber udnytte sårbarhederne til at knække adgangskoder og få adgang.
Udnyttelse af brudt kryptografi kan få både tekniske og forretningsmæssige konsekvenser for organisationer. Mens de tekniske konsekvenser omfatter uautoriseret adgang og eksponering af følsomme oplysninger fra enheden, kan de forretningsmæssige konsekvenser omfatte tyveri af oplysninger, skade på omdømme, krænkelse af privatlivets fred og økonomiske bøder.
Håndtering af sessioner
Ukorrekt håndtering af sessioner forekommer, når den tidligere session fortsætter, selv når brugeren er færdig med at bruge appen. Ofte tillader apps lange sessioner for at fremskynde købsprocessen, men det fører til sårbarheder, da cyberkriminelle kan udgive sig for at være en anden bruger og udføre en funktion på dennes vegne.
Afhængigt af den pågældende applikation kan de kriminelle derefter overføre penge fra brugerens bankkonto, købe varer på e-handelswebsteder, få adgang til detaljerede personlige oplysninger for at begå identitetstyveri, stjæle kunders personlige data fra virksomhedssystemer eller kræve betaling af en løsesum.
En særlig fare for organisationer er, at ukorrekt håndtering af sessioner også kan bruges til at identificere autentificerede brugere i single sign on-systemer. Det betyder, at en vellykket sessionskapring kan give svindleren adgang til flere webapplikationer, lige fra finansielle systemer til kundedatabaser, som indeholder værdifulde intellektuelle ejendomsrettigheder.
Sådan undgår du almindelige trusler mod mobilsikkerheden
Der er en række foranstaltninger, du kan træffe for at undgå mobile sikkerhedstrusler:
- Vær på vagt over for sms'er, der beder om personlige og/eller finansielle oplysninger. Gå direkte til virksomhedens websted for at bekræfte påstanden.
- Hvis du skal bruge offentligt Wi-Fi, kan du bruge en VPN for at opnå større sikkerhed, som også har den ekstra fordel at maskere din IP-adresse og placering og desuden kryptere og sikre din trafik. Slå desuden Bluetooth-indstillingen fra på dine enheder, når de ikke er i brug.
- Undgå at gemme følsomme data på en mobilenhed.
- Kombiner stærke adgangskoder med biometriske funktioner som f.eks. fingeraftryksautentifikatorer for at øge sikkerheden.
- Installer en pålidelig antivirusløsning. Hvis du skulle komme til at downloade en ondsindet app eller åbne en ondsindet vedhæftet fil, kan mobil anti-malware-beskyttelse forhindre infektionen.
- Din mobile enheds firmware kan også være sårbar over for sikkerhedstrusler. Sørg for, at du har hentet de seneste opdateringer, som ofte indeholder sikkerhedsrettelser for din enhed.
- Brug HTTPS for at sikre SSL/TLS-kryptering af al sessionstrafik. Låsesymbolet i browserens adresselinje viser, at du er på en sikker og pålidelig forbindelse. Kontroller dette, når du indtaster personlige data som f.eks. din adresse eller betalingsoplysninger eller sender e-mails fra din mobilbrowser.
Undervis medarbejderne om trusler mod mobil sikkerhed
Medarbejderne udgør den største trussel mod en organisations sikkerhed, så det er vigtigt, at de har de nødvendige færdigheder til at identificere mobile sikkerhedstrusler og hjælpe med at forhindre et cyberangreb.
MetaLearning Fusion er den næste generation af eLearning, og den er specielt udviklet til at give dine medarbejdere den bedst mulige uddannelse i cybersikkerhed og privatlivets fred. Organisationer kan opbygge skræddersyede kurser til deres personale fra et omfattende bibliotek af korte eLearning-kurser.
Kontakt os for at få yderligere oplysninger om, hvordan MetaLearning kan bruges til at ændre cybersikkerhedsuddannelsen i din organisation.