Phishing er en snigende og kynisk metode, der bruges til at fremme cyberkriminelles ondsindede aktiviteter. Det er sjældent, at man ikke er stødt på en phishing-e-mail i en eller anden form. Alligevel bruger cyberkriminelle stadig denne teknik til at installere malware, stjæle legitimationsoplysninger og personlige oplysninger og begå svindel som f.eks.
I en rapport fra 2021 om CISCO's cybersikkerhedstrusler er phishing og crypto-mining de to største trusler mod virksomheder. Rapporten viste også, at 86 % af organisationers medarbejdere klikker på phishing-links.
Beskyttelse mod phishing-svindel er afgørende for at holde din organisation sikker, da 90 % af databruddet stammer fra phishing-angreb.
Her er 10 måder, hvorpå du kan sikre, at din organisation ikke bliver offer for phishing-svindel.
10 måder at forebygge phishing-svindel på
Beskyttelse mod phishing-svindel er et spørgsmål om at bruge flere beskyttelseslag:
Lær, hvordan et phishing-angreb ser ud
Cyberkriminelle arbejder hårdt på at få phishing-e-mails til at se legitime ud. Derfor er phishing-svindel stadig mere sofistikeret og ofte rettet mod specifikke personer og virksomheder. En målrettet phishing-kampagne kaldes spear phishing. Denne form for phishing indebærer indsamling af oplysninger for at skræddersy phishing-e-mails, som er svære at skelne fra ægte e-mails.
Medarbejdere på tværs af alle enheder i en virksomhed skal uddannes i at opdage afslørende tegn på phishing. Skræddersyede phishing-kampagner bruger ofte kendte virksomhedsmærker som Microsoft Office 365, der bruges til at skjule phishing-svindel på en smart måde.
Phishing-simuleringsplatforme er en ideel måde at træne medarbejderne i at opdage et phishing-forsøg på. Desuden giver avancerede phishing-simuleringsplatforme en virksomhed mulighed for at skræddersy disse simuleringer baseret på roller i organisationen, så selv spear phishing-forsøg kan forhindres.
Læs flere oplysninger om phishing i MetaCompliance Ultimate Guide to Phishing
Klik ikke på ukendte links
Slutbrugere og forbrugere er blevet trænet af smarte brugeroplevelser og UI-taktik til at klikke på links for at gøre deres online liv mere overskueligt. Men det har ført til, at cyberkriminelle har udnyttet denne adfærd.
Klik-lysten skal afbrydes for at forhindre et cyberangreb. En simpel regel kan gøre forskellen mellem at forhindre et cyberangreb og at blive en cybersikkerhedsstatistik - "klik ikke på et link i en e-mail, medmindre du er 100 % sikker på, at det er gyldigt". Hvis en e-mail eller sms indeholder et link, skal du altid stoppe op og tænke dig om, før du klikker.
Download ikke ubekræftede vedhæftede filer
Det er en selvfølge, men det sker alligevel: Medarbejdere åbner en vedhæftet fil, og din organisation bliver inficeret med malware. Download ikke en vedhæftet fil, hvis du ikke er 100 % sikker på, at den er lovlig.
Et nyligt phishing-angreb viser, hvor sofistikerede angreb, der anvender inficerede vedhæftede filer, er. Phishing-kampagnen SVCReady bruger en særlig type egenskab i et Microsoft Word-dokument, kendt som shellcode, til at levere en loader til en maskine. Den inficerede maskine bruges derefter til at indsamle følsomme oplysninger, oprette en fjernstyringscentral og generelt hænge ud, indtil angriberen beslutter sig for at gå ind for at dræbe, installere yderligere malware og/eller stjæle data.
Del ikke for meget på de sociale medier
Cyberkriminelle indsamler oplysninger om deres mål, så deres phishing-angreb er skræddersyede og mere tilbøjelige til at snyde modtagerne. Sociale medier er et ideelt sted at phishes til at indhente oplysninger. Cyberkriminelle undersøger virksomheden og dens medarbejdere og leder efter oplysninger, der kan bruges til at skabe spear phishing-kampagner.
Sociale medier er også et sted, hvor overdreven deling kan resultere i deling af kodeord. I en rapport blev der f.eks. konstateret udbredt deling af adgangskoder på usikre samarbejdskanaler som Slack. Sørg for, at dine medarbejdere kender farerne ved at udlevere private data og adgangskoder på kanaler, herunder Slack, Discord og sociale medieplatforme.
Vær opmærksom på password-hygiejne
Deling af adgangskoder og genbrug af adgangskoder øger chancerne for, at en phishing-kampagne ender med kompromitterede data og it-systemer. Deling af adgangskoder er et alvorligt problem i organisationer. Ifølge en Google-undersøgelse genbruger 62 % af folk deres adgangskoder, og 52 % genbruger adgangskoder til at få adgang til flere konti.
Desuden deler 34 % af de ansatte deres adgangskoder med kolleger. Hvis adgangskoderne "sendes rundt" og genbruges, er der mindre sandsynlighed for, at folk ser sikkerhedsværdien og derfor har en mere laissez-faire-holdning til adgangskode-sikkerhed. Gør passwordhygiejne til et centralt tema i sikkerhedsbevidsthedsuddannelsen.
Patch in Time
Phishing-e-mailkampagner er ofte afhængige af en sikkerhedsbrist, der kan udnyttes. F.eks. udnyttede Zimbra-phishingangrebet i 2021 sårbarheder i Zimbra-klienten via en phishing-e-mail. Derfor er det vigtigt at sikre, at softwareapplikationer patches så hurtigt som muligt for at sikre løbende foranstaltninger mod phishing.
Hold dine konti ajour
Gamle onlinekonti er nyttige for cyberkriminelle, som kan bruge dem til at oprette syntetiske identiteter og begå svindel. Disse konti kan også bruges som en del af et BEC-svindelnummer eller til at indhente oplysninger med henblik på yderligere cyberangreb.
Hvis du har en gammel e-mail- eller onlinekonto, som du aldrig bruger, skal du lukke kontoen eller genetablere brugen af den og regelmæssigt holde øje med den. Sørg for at ændre adgangskoden ofte, og tjek HaveIBeenPwnd for at se, om en e-mail-konto eller adgangskode er blevet afsløret under et databrud.
Brug 2FA (men vær stadig forsigtig)
En bedste praksis for at beskytte mod phishing-svindel er at anvende en anden faktor (2FA), når denne foranstaltning understøttes. 2FA er dog ikke nogen garanti for, at et phishingangreb ikke vil mislykkes, men kun for, at det reducerer risikoen.
Dårligt implementerede 2FA-foranstaltninger kan f.eks. være ubrugelige til at forhindre phishing-angreb. Brug 2FA, men bak op om dette med træning i sikkerhedsoplysning.
Rapporter alt mistænkeligt
Opmuntre medarbejderne til at rapportere en mistænkelig e-mail eller sms for at forhindre, at en hændelse opstår. Skab et miljø, der tilskynder til samarbejde om sikkerhed. Hold en åben dør og et åbent sind over for medarbejdere, der klikker på et ondsindet link, ved at give dem plads til at føle, at de kan rapportere en fejl.
Indberetning af hændelser vil hjælpe med at beskytte din organisation mod phishing-svindel, men indberetningen skal være let og baseret på et avanceret indberetningssystem, der er designet til at eskalere og give mulighed for triage.
Overvej at bruge værktøjer til bekæmpelse af phishing
Træning i sikkerhedsoplysning er en del af et bredere sæt foranstaltninger, der kan bruges til at beskytte mod phishing-svindel. Andre foranstaltninger, der kan anvendes, og som tilføjer flere beskyttelseslag, omfatter bl.a: DNS-filtersoftware, der hjælper med at forhindre en medarbejder i at navigere til et ondsindet websted, og et cloud-baseret e-mail-spamfilter, der kan forhindre, at phishing-e-mails kommer ind i en medarbejders indbakke.
Disse sikkerhedsforanstaltninger alene er dog ikke nok. De cyberkriminelle, der udvikler phishing-e-mails, designer i stigende grad e-mails, så de undgår at blive opdaget. Kun ved at anvende metoder i flere lag, herunder dine medarbejderes viden om phishing, kan en organisation beskytte sig mod phishing-svindel.
