Cybersikkerhed er ved at blive den nyeste trend. Vi har alle sammen læst om TalkTalk-, Dropbox- og Yahoo-bruddene, og det betyder, at de kun vil stige i den nærmeste fremtid.
Som mennesker er vi skabt til at begå fejl, og derfor er det kun nødvendigt, at du uddanner dine medarbejdere i, hvad de skal være opmærksomme på. Du kan beskytte din organisation ved at gøre dine medarbejdere opmærksomme på at undgå at klikke på mistænkelige e-mail-links, holde op med at skrive deres adgangskoder ned på en post-it eller vide, at de ikke skal oprette forbindelse til offentlige Wi-Fi-netværk, når de arbejder eksternt.
I denne serie af blogs går vi tilbage til det grundlæggende, så lad os se på, hvilke typer phishing-trusler der findes. For at ruste dig mod et potentielt phishing-angreb bør du udnytte tekniske barrierer, men du bør også benytte dig af personalets bevidsthed. I sidste ende vil medarbejdernes bevidsthed hjælpe dine medarbejdere med at genkende de almindelige taktikker, som cyberkriminelle anvender i en phishing-e-mail.
- Phishing
Spamfilteret på dine personlige eller arbejdsmæssige e-mailkonti vil normalt opfange junkmails, men nogle gange kan de finde vej til din primære indbakke. Det er her, du skal være i stand til at opdage en phishing-e-mail. Det er både en hjælp og en hindring, at dit spamfilter hjælper dig fra tid til anden og fjerner spammails fra dit synsfelt. Filteret hjælper dig, fordi du ikke er fristet til at klikke direkte på den (ude af syne, ude af sind), men det forhindrer dig i at se den taktik, som hackere vil bruge, og dermed kan det forhindre dig i at lægge mærke til forskellen mellem en ægte e-mail og en phishing-e-mail.
En person kontakter dig f.eks. for at fortælle dig, at du er blevet identificeret som den sidste levende efterkommer af en rig finansmand, og at du har ret til deres formue. Den sunde fornuft kan fortælle dig, at dette er praktisk talt umuligt. Og ikke nok med det, men du vil gerne tro, at du ville modtage et juridisk dokument, der bekræfter en sådan nyhed, i modsætning til en e-mail fra en Hotmail-konto.
Hvis du kan se disse advarselstegn, er det godt. Generelle phishing-e-mails er designet til at snyde dig, men falske løfter eller manglende grammatik i e-mailen bør advare dig om farerne. Men - cyberkriminelle bliver klogere.
En ransomware-test er en løsning til at teste dine medarbejdere i forhold til deres adfærd over for phishing-e-mails. En simuleret phishing-softwareløsning kan give ledelsen rapporter om, hvordan medarbejderne reagerer på sådanne e-mails. Rapporterne vil skitsere, hvilke medarbejdere der skal gennemgå et phishing-uddannelsesmodul.
- Spear Phishing
Dette er en yderst sofistikeret phishing-metode. Cyberkriminelle, der sender spear phishing-e-mails, har gjort deres hjemmearbejde; de har skræddersyet indholdet af e-mailen specifikt til dig. For at opnå dette har de overvåget dig og dine kolleger på de sociale medier og vil i sidste ende bruge disse oplysninger til at skabe den perfekte e-mail til dig, som vil blive brugt til at vinde din tillid.
Den e-mail, du modtager, ser ud til at være fra en person eller en virksomhed. Hvis du blander de personlige oplysninger, som de har fået fat i, er det en opskrift på en katastrofe. I forhold til en standard phishing-e-mail vil en spear phishing-e-mail være personligt adresseret til dig og indeholde oplysninger, der appellerer til dig.
Hvad nu hvis du modtog en e-mail underskrevet af dit IT-supportteam for at fortælle dig, at din e-mailkonto er ved at løbe tør for plads? Denne type e-mail virker en smule mere plausibel. E-mail-signaturer kan se officielle ud: Det er fint nok, men nogle ting, du bør være opmærksom på i selve e-mailen, er stavning og grammatik, hvem e-mailen er adresseret til (omtaler de dig ved navn eller blot som "bruger"?) og eventuelle links, der er angivet.
- Whaling
Denne form for phishing-angreb er direkte rettet mod ledende medarbejdere og ledelsen, men målet er stadig det samme: at skaffe oplysninger.
Den cyberkriminelle maskerer sig selv som en pålidelig eller troværdig kilde, hvilket minder meget om spear phishing. Et whaling-angreb er imidlertid designet til at narre ledende medarbejdere, da de sandsynligvis har adgang til vigtige finansielle oplysninger om virksomheden og muligvis endda har mulighed for at godkende finansielle transaktioner eller betalinger.
Lad os for eksempel sige, at du er Senior Finance Manager, og du modtager en e-mail fra din kollega om et par fakturaer, der skal godkendes til øjeblikkelig betaling. De har også vedhæftet en zip-mappe til e-mailen. Du går automatisk i panik og tænker: " Har jeg glemt at godkende dem? Det er jeg sikker på, at jeg ikke har gjort - jeg behandlede alle fakturaerne i mandags". Her ville din automatiske reaktion være at klikke på den vedhæftede zip-mappe og tjekke fakturaerne for at genopfriske din hukommelse.
Det er her, du skal STOPPE. I stedet for at klikke på den vedhæftede fil skal du tjekke dine egne optegnelser for at se, om betalingen er blevet godkendt. Spar dig selv et par ekstra sekunder (og din virksomheds omdømme) ved at tjekke dine optegnelser, før du får adgang til downloadbart indhold fra en e-mail.
Hvis du har downloadet den pågældende zip-mappe, indeholder den sandsynligvis en mistænkelig fil, som kan eksekvere farlig malware på din computer eller bærbare computer. Dette program kunne endda få adgang til dit netværk og forårsage potentielt uoprettelig skade.
Konklusion
Phishing-angreb kan ganske enkelt ødelægge en virksomhed med et enkelt klik på en knap. Det kræver blot, at én person klikker på et link eller downloader en vedhæftet fil, og virksomhedens omdømme og aktiver er i fare. For at bekæmpe truslen fra phishing skal virksomhederne investere i at uddanne deres medarbejdere i, hvad de skal være opmærksomme på.
Her hos MetaCompliance leverer vi phishing-simuleringssoftware og eLearning-indhold, som i sidste ende vil øge organisationens følsomhed over for svigagtige e-mails.
Vidste du, at det kun tager et minut og tyve sekunder for nogen at åbne en phishing-e-mail? Brug i stedet den tid på at tænke dig om, før du klikker.