Hvad er phishing svindel?
Phishing scams, en bedragerisk taktik, bruges ofte af cyberkriminelle til at udføre forbryderiske aktiviteter. De fleste mennesker er på et tidspunkt stødt på en phishing-mail. På trods af dens udbredelse fortsætter cyberkriminelle med at bruge denne metode til at installere malware, stjæle legitimationsoplysninger og begå svindel, herunder Business Email Compromise (BEC).
I en rapport fra 2021 om CISCO's cybersikkerhedstrusler er phishing og crypto-mining de to største trusler mod virksomheder. Rapporten viste også, at 86 % af organisationers medarbejdere klikker på phishing-links.
Beskyttelse mod phishing scams er afgørende for at holde din organisation sikker, da 90% af databrud stammer fra phishing-angreb.
Her er 10 måder, hvorpå du kan sikre, at din organisation ikke bliver offer for phishing scams.
10 måder at forebygge phishing scams på
Beskyttelse mod phishing scams er et spørgsmål om at bruge flere beskyttelseslag:
Hvordan ser et phishing-angreb ud?
Cyberkriminelle arbejder hårdt på at få phishing-e-mails til at se legitime ud. Derfor er phishing svindel stadig mere sofistikeret og ofte rettet mod specifikke personer og virksomheder. En målrettet phishing-kampagne kaldes spear phishing. Denne form for phishing indebærer indsamling af oplysninger for at skræddersy phishing-e-mails, som er svære at skelne fra ægte e-mails.
Medarbejdere på tværs af alle enheder i en virksomhed skal uddannes i at opdage afslørende tegn på phishing. Skræddersyede phishing-kampagner bruger ofte kendte virksomhedsmærker som Microsoft Office 365, der bruges til at skjule phishing svindel på en smart måde.
Phishing-simuleringsplatforme er en ideel måde at træne medarbejderne i at spotte et phishing-forsøg. Derudover giver avancerede phishing-simuleringsplatforme som MetaPhish en virksomhed mulighed for at skræddersy disse simuleringer baseret på roller i en organisation, så selv spear phishing-forsøg kan forhindres.
Læs flere detaljer om phishing i MetaCompliance Ultimate Guide to Phishing.
Klik ikke på ukendte links
Slutbrugere og forbrugere er blevet oplært af smarte brugeroplevelser og UI-taktikker til at klikke på links for at gøre deres online-liv mere overskueligt. Men det har ført til, at cyberkriminelle udnytter denne adfærd.
Klik-lysten skal afbrydes for at forhindre et cyberangreb. En simpel regel kan gøre forskellen mellem at forhindre et cyberangreb og at blive en cybersikkerhedsstatistik - "klik ikke på et link i en e-mail, medmindre du er 100 % sikker på, at det er gyldigt". Hvis en e-mail eller sms indeholder et link, skal du altid stoppe op og tænke dig om, før du klikker.
Læs mere i artiklen Hvad skal du gøre, hvis du klikker på et phishing-link?
Download ikke ubekræftede vedhæftede filer
Det er en selvfølge, men det sker alligevel: Medarbejdere åbner en vedhæftet fil, og din organisation bliver inficeret med malware. Download ikke en vedhæftet fil, hvis du ikke er 100 % sikker på, at den er lovlig.
Et nyligt phishing-angreb viser, hvor sofistikerede angreb, der anvender inficerede vedhæftede filer, er. Phishing-kampagnen SVCReady bruger en særlig type egenskab i et Microsoft Word-dokument, kendt som shellcode, til at levere en loader til en maskine. Den inficerede maskine bruges derefter til at indsamle følsomme oplysninger, oprette en fjernstyringscentral og generelt hænge ud, indtil angriberen beslutter sig for at gå ind for at dræbe, installere yderligere malware og/eller stjæle data.
Del ikke for meget på de sociale medier
Cyberkriminelle indsamler oplysninger om deres mål, så deres phishing-angreb er skræddersyede og mere tilbøjelige til at snyde modtagerne. Sociale medier er et ideelt sted at phishes til at indhente oplysninger. Cyberkriminelle undersøger virksomheden og dens medarbejdere og leder efter oplysninger, der kan bruges til at skabe spear phishing-kampagner.
Sociale medier er også et sted, hvor overdreven deling kan resultere i deling af kodeord. I en rapport blev der f.eks. konstateret udbredt deling af adgangskoder på usikre samarbejdskanaler som Slack. Sørg for, at dine medarbejdere kender farerne ved at udlevere private data og adgangskoder på kanaler, herunder Slack, Discord og sociale medieplatforme.
Vær opmærksom på password-hygiejne
Deling og genbrug af adgangskoder øger chancerne for, at en phishing-kampagne ender med kompromitterede data og IT-systemer. Deling af adgangskoder er et alvorligt problem i organisationer. Ifølge en Google-undersøgelse genbruger 62% af befolkningen passwords, og 52% genbruger passwords for at få adgang til flere konti.
Desuden deler 34 % af de ansatte deres adgangskoder med kolleger. Hvis adgangskoderne "sendes rundt" og genbruges, er der mindre sandsynlighed for, at folk ser sikkerhedsværdien og derfor har en mere laissez-faire-holdning til adgangskode-sikkerhed. Gør passwordhygiejne til et centralt tema i sikkerhedsbevidsthedsuddannelsen.
Patch in time
Phishing-e-mailkampagner er ofte afhængige af en sikkerhedsbrist, der kan udnyttes. F.eks. udnyttede Zimbra-phishingangrebet i 2021 sårbarheder i Zimbra-klienten via en phishing-e-mail. Derfor er det vigtigt at sikre, at softwareapplikationer patches så hurtigt som muligt for at sikre løbende foranstaltninger mod phishing.
Hold dine konti ajour
Gamle onlinekonti er nyttige for cyberkriminelle, som kan bruge dem til at oprette syntetiske identiteter og begå svindel. Disse konti kan også bruges som en del af et BEC-svindelnummer eller til at indhente oplysninger med henblik på yderligere cyberangreb.
Hvis du har en gammel e-mail- eller onlinekonto, som du aldrig bruger, skal du lukke kontoen eller genetablere brugen af den og regelmæssigt holde øje med den. Sørg for at ændre adgangskoden ofte, og tjek HaveIBeenPwnd for at se, om en e-mail-konto eller adgangskode er blevet afsløret under et databrud.
Brug 2FA eller MFA (men vær stadig forsigtig)
En best practice til at beskytte mod phishing scams er at anvende en anden faktor (2FA) eller multifaktorgodkendelse (MFA), hvor denne foranstaltning er understøttet. 2FA eller MFA er dog ingen garanti for, at et phishing-angreb vil mislykkes, kun at det reducerer risikoen.
Dårligt implementerede 2FA- eller MFA-foranstaltninger kan f.eks. være ubrugelige til at forhindre phishing-angreb. Brug 2FA eller MFA, men bak det op med Security Awareness Training.
Rapporter alt mistænkeligt
Opmuntre medarbejderne til at rapportere en mistænkelig e-mail eller sms for at forhindre, at en hændelse opstår. Skab et miljø, der tilskynder til samarbejde om sikkerhed. Hold en åben dør og et åbent sind over for medarbejdere, der klikker på et ondsindet link, ved at give dem plads til at føle, at de kan rapportere en fejl.
Indberetning af hændelser vil hjælpe med at beskytte din organisation mod phishing scams, men indberetningen skal være let og baseret på et avanceret indberetningssystem, der er designet til at eskalere og give mulighed for triage.
Overvej at bruge anti-phishing værktøjer
Security Awareness Training er en del af et bredere sæt af foranstaltninger, der kan bruges til at beskytte mod phishing scams. Andre foranstaltninger, der kan anvendes, og som tilføjer lag af beskyttelse, omfatter: DNS-filtreringssoftware, der hjælper med at forhindre en medarbejder i at navigere til en ondsindet hjemmeside; og et cloud-baseret e-mail-spamfilter, der kan forhindre phishing-e-mails i at komme ind i en medarbejders indbakke.
Disse sikkerhedsforanstaltninger alene er dog ikke nok. De cyberkriminelle, der udvikler phishing-e-mails, designer i stigende grad e-mails, så de undgår at blive opdaget. Kun ved at anvende metoder i flere lag, herunder dine medarbejderes viden om phishing, kan en organisation beskytte sig mod phishing scams.