Phishing i alle dens former, fra ondsindede e-mails til SMShing (tekst phishing) til social post phishing til Vishing (phishing af telefonopkald), er nu en del af en organisations hverdag.
Phishing-e-mails er dog langt den mest almindelige form for phishing.
Hvad er phishing mails?
Phishing-mails er falske beskeder sendt af cyberkriminelle, der udgiver sig for at være legitime enheder, og som har til formål at narre modtagere til at udlevere følsomme oplysninger eller udføre skadelige handlinger, såsom at klikke på ondsindede links eller downloade malware.
Ifølge forskning fra Ciscos "2021 Cybersecurity Threat Trends Report" begynder omkring 90 % af databrud med phishing-e-mails. Det er bekymrende, at rapporten viser, at i 86 % af organisationerne vil mindst én person klikke på et phishing-link. Men der skal naturligvis kun ét klik til for at blive inficeret med ransomware eller eksponering af følsomme data osv.
Forståelse af de taktikker, der anvendes i nogle af de mest almindelige former for phishing-angreb, og hvordan medarbejdere kan undgå dem, hjælper med at reducere cyberrisikoen. Her er fem eksempler på phishing-e-mails, og hvordan man kan forhindre medarbejderne i at tage risici.
Svindel med falske fakturaer
En favorit blandt phishere er svindel med falske fakturaer. Svindlere sender e-mails med falske fakturaer i håb om at snyde en uvidende medarbejder. Hvis den falske faktura betales, eller hvis der stilles spørgsmål til svindleren om fakturaen, vil penge eller personlige oplysninger sandsynligvis blive stjålet.
Den type faktura, der indgår i phishing-e-mails, varierer, men eksempler er bl.a. følgende:
Fakturering af sikkerhedsprodukter som f.eks. antivirus-software
- Forfaldne fakturaer fra falske leverandører
- E-mails om udløb af domænebetalinger med en advarsel om, at hvis du ikke handler, vil dit websted og dine e-mails ikke være tilgængelige
- Fakturaer fra fundraisere og velgørenhedsorganisationer, der ofte tilbyder en annonceplacering eller en artikel i en velgørenhedspublikation
- Business Email Compromise (BEC) er en meget sofistikeret og målrettet form for svindel med falske fakturaer
Sådan undgår du svindel med falske fakturaer
Fakturasvindel kan være meget sofistikeret, og svindlerne kan være rettet mod bestemte personer, f.eks. dem, der arbejder i kreditor- eller finansafdelingen. E-mails ser ægte ud og indeholder ofte en presserende besked af typen "betal nu eller få konsekvenserne".
Brug simuleret phishing, der giver rollebaseret træning, til at målrette de typer brugere, der er mest udsat for falske faktura-svindelnumre. Rollebaserede phishing-simulatorer giver dig mulighed for at skræddersy dine simulerede phishing-kampagner til at afspejle de reelle udfordringer, som specifikke afdelinger og medarbejdere står over for.
Falske e-mails fra teknisk support
At skabe en følelse af, at det haster og at overholde reglerne, er to af de manipulerende teknikker, som svindlere bruger til at narre medarbejdere til at klikke på ondsindede links eller downloade inficerede vedhæftede filer. Et eksempel på disse adfærdsmanipulationer ses i phishing-e-mails, der foregiver at være fra teknisk support.
I eksemplet nedenfor kan du se, at medarbejderne opfordres til at gå over til en ny webportal for at få adgang til vigtige personlige oplysninger og virksomhedsoplysninger - herunder deres lønsedler. I e-mailen bliver medarbejderne mindet om, at de kun har 24 timer til at overholde reglerne.
E-mailen indeholder et link til et ondsindet websted. Hvis medarbejderen klikker på dette link og navigerer til webstedet, bliver han/hun bedt om at indtaste sine eksisterende loginoplysninger og personlige data. Hvis de gør det, vil disse oplysninger blive stjålet, og svindlerne vil bruge loginoplysningerne til at logge ind på den faktiske portal.
Sådan undgår du falske e-mails fra teknisk support
Alle medarbejdere er udsat for denne type generelle spekulative phishing-e-mails. Generel sikkerhedsuddannelse bør bruges til at uddanne alle medarbejdere på tværs af alle afdelinger om, hvordan man er sikker på nettet.
Uddannelse i, hvordan cyberkriminelle manipulerer menneskelig adfærd, er afgørende for at uddanne medarbejdere i de taktikker, som svindlere bruger, når de udarbejder phishing-e-mails. Effektive programmer til uddannelse i sikkerhedsbevidsthed anvender point-of-need learning, der udnytter mulighederne for at genoptræne dårlig sikkerhedsadfærd.
Generel træning i sikkerhedsbevidsthed bør bruges sammen med simulerede phishing-øvelser, der specifikt tager fat på denne type phishing-trussel. Det vil sige e-mails, der ser ud til at komme fra interne afdelinger, og som anvender taktikker som f.eks. hastværk og trusler om disciplinering, hvis der ikke handles på dem.
Skattesvindel
Skattesvindel er ofte mere udbredt i løbet af skattesæsonen, men den kan forekomme når som helst. Ofte vil disse e-mails tilbyde en skatterefusion. HMRC oplyser dog udtrykkeligt på sit websted: "HMRC vil aldrig sende meddelelser pr. e-mail om skatterabatter eller -refusioner."
Skattefidus-e-mails ser typisk realistiske ud og er ofte velkomponerede. Svindlerne bruger HMRC-logoet og relateret branding til at få phishing-e-mails til at se legitime ud. Der er normalt et link til HMRC Gateway-loginsiden. Den webside, som linket navigerer til, er et falsk websted, der bruges til at indsamle data og sende dem til svindlerne bag svindelnummeret. Nogle gange indeholder disse websteder også malware, og enhver, der navigerer på dette websted, kan ende med at få en inficeret enhed.
Sådan undgår du skattesvindel
Skattesvindel kan være ikke målrettet og kan sendes til alle i en organisation. De mest effektive skattesvindelnumre sendes dog til specifikke medarbejdere i finansielle afdelinger. Selv om det er vigtigt at inkludere skattesvindel i dine simulerede phishing-øvelser for alle, bør du derfor også fokusere på at uddanne alle i økonomiafdelingen om dem. I optakten til skattesæsonen skal du fordoble din uddannelse for at sikre, at medarbejderne, især dem i økonomiafdelingen, er klar til det sandsynlige angreb af disse phishing-e-mails.
Phishing email: Problem med e-mail-konto
Antag, at en medarbejder modtager en e-mail, der lyder som en hasteseddel, og som fortæller ham/hende, at hans/hendes e-mailkonto er ved at blive suspenderet, eller at den skal opgraderes hurtigst muligt. I så fald kan de føle sig tvunget til at klikke på linket for at løse "problemet". Denne e-mail kan imidlertid være et phishing-svindelnummer, der fører til stjålne legitimationsoplysninger.
Eksemplet på phishing-e-mailen nedenfor viser, hvordan Microsoft-brandet er blevet brugt til at give mere vægt til påstanden om, at brugerens e-mail-konto er i fare. Linket i e-mailen er skadeligt og fører brugeren til et websted, der ligner en Microsoft Office 365-loginside.
Microsoft er ofte blandt de fem mest forfalskede mærker, der bruges i phishing-beskeder. Ifølge Cisco er de fem mest forfalskede mærker i 1. kvartal 2022 følgende:
- LinkedIn (i forbindelse med 52 % af alle phishing-angreb på verdensplan)
- DHL (14%)
- Google (7%)
- Microsoft (6%)
- FedEx (6%)
Sådan undgår du phishing mailen "Microsoft Email Problem"
Svindlere bruger ofte Microsoft og andre velkendte mærker til at give medarbejderne en falsk følelse af sikkerhed. Mærkets loyalitet og tillid bruges til at sikre, at ofrene tager e-mailen til sig og klikker på det skadelige link. Her kan simulerede phishing-øvelser træne medarbejderne i at være på vagt over for mærkevare-e-mails, der indeholder taktikker til manipulation af adfærd som f.eks. hasteopkald.
Svindel med Google Docs
Virksomheder bruger regelmæssigt Google docs til at registrere dokumenter og idéer og samarbejde med kolleger. I 2020 havde Google GSuite over 6 millioner virksomheder abonneret på tjenesten. Disse mange brugere gør Google til et attraktivt tilbud for svindlere.
En nyere ny anvendelse af et phishing-baseret angreb, der bruger GSuite til at få fat i et mål, viser, hvor innovative hackere kan være. I dette svindelnummer opretter en svindler et Google-dokument og kommenterer derefter i det ved hjælp af @-notationen for at ramme en bestemt bruger. Dette får Google til at sende en e-mail med en meddelelse om kommentaren til målets indbakke. E-mailen fra Google er ægte, men den har en indlejret kommentar. Denne kommentar indeholder typisk ondsindede links, som, hvis der klikkes på den, fører medarbejderen til et ondsindet websted.
Google har for nylig opdateret kommentarer, så folk kan se, hvem der har skrevet en kommentar. Svindlere opdaterer dog hele tiden deres taktik, og der kan snart dukke et nyt GSuite-svindelnummer op.
Sådan undgår du GSuite Comment (og lignende) svindelnumre
Smart forklædte phishing-e-mails kan være skjult på legitime e-mails og lignende tjenester, som det er tilfældet med GSuite-kommentarfupnummeret. Disse sofistikerede svindelnumre gør det svært for medarbejderne at genkende en svindel.
Træning i sikkerhedsbevidsthed bør afspejle virksomhedens politikker, herunder brugen af cloud-baserede dokumentopbevaringsrum, og hvem der kan og ikke kan samarbejde om virksomhedens dokumentation. Når du gennemfører sikkerhedsuddannelse, skal du sikre, at du har de mest opdaterede oplysninger om svindel, og at indholdet afspejler de nyeste svindelnumre.
Brug Security Awareness Training og en simuleret phishing-platform, der giver fremragende støtte til opbygning af træningsprogrammer, der er rollebaserede og tilbyder flere sprog og støtte til tilgængelighed.
Det er også vigtigt at være opmærksom på, at svindlere regelmæssigt ændrer deres taktik for at undgå at blive opdaget. Derfor er det vigtigt at gennemføre regelmæssig træning i sikkerhedsoplysning i løbet af året.