Phishing-e-mails er ganske enkelt en envejsbillet til at få adgang til din organisation, uanset om det er via dine drev, dit netværk eller dine informationsaktiver.
Den enkle måde at løse dette på? Lad være med at klikke på linket!
Desværre er det ikke så enkelt. Cyberkriminelle er smarte, og de henvender sig til enkeltpersoner med e-mailindhold, der med garanti vil få deres opmærksomhed. Når først en medarbejder bliver nysgerrig på grund af den fængende titel eller det mystiske link - så er de blevet hooked. Phishing-e-mails er også designet til at fremstå som almindelige, hverdagsagtige e-mails, f.eks. en faktura fra en kollega, en scannet kontrakt eller endda en e-mail fra dit IT-supportteam.
De af os, der tidligere er blevet udsat for eller snydt af phishing-e-mails, ved, hvilke advarselstegn vi skal holde øje med, og vi ved, at vi ikke skal klikke på links. Alligevel er det ekstremt svært at forudsige, hvordan dine medarbejdere vil reagere på en sådan e-mail. Medarbejderne er oftest det svageste led i organisationen, og det er vigtigt, at du forstår, hvordan de ville reagere. De har brug for viden om, hvordan de kan forsvare sig mod phishingangreb.
Ved at benytte phishing-simuleringssoftware som MetaPhish kan du udsætte dit personale for målrettede falske phishing-e-mails. Rapporteringsfunktionen giver dig mulighed for i realtid at se, hvilke medarbejdere der har klikket på phishing-linket i modsætning til dem, der har reageret korrekt.
Formålet med denne software er ikke kun at vurdere, hvor mange af dine medarbejdere der ville klikke på linket, men også at øge deres følsomhed over for og bevidsthed om disse typer e-mails. Jo mere og mere udsat dine medarbejdere bliver for phishing-e-mails, jo mere sandsynligt er det, at de opdager advarselstegnene og indser, at der ikke er tale om ægte kommunikation. Desuden får de, der ikke kan opdage phishing-mailen, mulighed for at gennemgå en læringsoplevelse for at få undervisning om de risici, der er forbundet med phishing.
Ved at tale med dine medarbejdere på denne måde kan du måle dit nuværende niveau af eksponering for et phishingangreb. Hvis et stort antal medarbejdere klikker på links, ved du, at du er meget udsat. Kombiner et phishing-angreb med social engineering, og det vil være en virksomheds værste mareridt.
Det er vigtigt, at dine medarbejdere ved, hvad de skal holde øje med i en phishing-e-mail.
Nogle af de tidlige advarselstegn er som følger:
- Vag hilsen
- Dårlig grammatik eller tegnsætning
- Du bliver tiltalt som "bruger" i stedet for dit navn
- "Links" til download af dokumenter
- Emnelinje, der er irrelevant i forhold til e-mailens indhold?
Dette er nogle af de åbenlyse tegn, men cyberkriminelle er smarte og er fast besluttet på at snyde dig. Spear-phishing og whaling er mere sofistikerede metoder til phishing (læs mere om disse typer af phishing-trusler her) og er ikke så lette at opdage, hvilket især skyldes, at disse e-mails er designet specielt til dig og vil virke ægte.
I dette scenario kan du holde øje med følgende:
- E-mails, der er underskrevet af en kollega, som du kender, men som er sendt fra en anden e-mailkonto
- Mistænkelige vedhæftede zip-filer
- Anmodning om at indbetale et stort beløb på en konto
Spearphishing- og whaling-angreb er skabt af en cyberkriminel, der har overvåget dig på de sociale medier, måske under dække af en kollega. De vil have rettet sig mod dig ved at oprette en falsk profil af den pågældende kollega, eller hvis dine profiler på de sociale medier er indstillet til at være offentlige, vil de selv have indsamlet oplysningerne.
Det kræver blot, at en enkelt person klikker på linket, downloader den vedhæftede fil eller betaler det store beløb, og så har den cyberkriminelle vundet. Du har givet dem adgang til det, de har brug for, de oplysninger, de ønsker, downloadet malware eller ransomware og givet dem en stor belønning!
Invester i at uddanne dine medarbejdere om phishing, så de ved, hvad de skal holde øje med, og hvad de skal gøre, hvis de har mistanke om, at de er blevet ofre for et angreb. Er dette af interesse for dig, så anmod om en demo af vores simuleringssoftware MetaPhish eller vores eLearning-modul Essential Phishing Awareness. Du kan også kontakte os for at arrangere en personalebekendtgørelsesdag om phishing.