Phishing är en försåtlig och cynisk metod som används för att främja cyberkriminellas skändliga verksamhet. Det är sällsynt att någon inte har stött på ett phishing-e-postmeddelande i någon form. Ändå använder cyberkriminella denna teknik för att installera skadlig kod, stjäla inloggningsuppgifter och personlig information och begå bedrägerier som Business Email Compromise (BEC).
I en rapport från CISCO om trender för hot mot cybersäkerheten 2021 anges phishing och kryptomineringen som de två största hoten mot företag. Rapporten visar också att 86 procent av organisationernas anställda klickar på phishinglänkar.
Det är viktigt att skydda sig mot nätfiskebedrägerier för att hålla din organisation säker, eftersom 90 % av alla dataintrång har sitt ursprung i nätfiskeattacker.
Här är 10 sätt att se till att din organisation inte blir offer för nätfiske.
10 sätt att förebygga nätfiskebedrägerier
För att skydda dig mot nätfiskebedrägerier måste du använda flera skyddslager:
Lär dig hur ett nätfiskeangrepp ser ut
Cyberkriminella arbetar hårt för att få phishingmejl att se legitima ut. Fishingbedrägerier blir därför alltmer sofistikerade och riktar sig ofta till specifika personer och företag. En riktad nätfiskekampanj kallas spear phishing. Denna form av nätfiske innebär att man samlar in information för att skräddarsy nätfiskemeddelanden som är svåra att skilja från äkta e-postmeddelanden.
Anställda inom alla enheter i ett företag måste utbildas för att upptäcka tecken på phishing. I skräddarsydda nätfiskekampanjer används ofta välkända företagsvarumärken som Microsoft Office 365 för att på ett skickligt sätt dölja nätfiskebedrägeriet.
Simuleringsplattformar för nätfiske är ett perfekt sätt att utbilda anställda i att upptäcka nätfiskeförsök. Avancerade simuleringsplattformar för nätfiske gör det dessutom möjligt för ett företag att skräddarsy simuleringarna utifrån rollerna inom organisationen så att även spjutspetsförsök för nätfiske kan förhindras.
Läs mer information om nätfiske i MetaCompliance Ultimate Guide to Phishing (på engelska).
Klicka inte på okända länkar
Slutanvändare och konsumenter har genom smart användarupplevelse och UI-taktik tränats i att klicka på länkar för att göra sitt liv på nätet mer lätthanterligt. Men detta har lett till att cyberkriminella utnyttjar detta beteende.
För att förhindra en cyberattack måste man avlyssna klickandet. En enkel regel kan skilja mellan att förhindra en cyberattack och att bli en statistisk figur i cybersäkerhetsstatistiken - "klicka inte på en länk i ett e-postmeddelande om du inte är 100 % säker på att den är giltig". Om ett e-postmeddelande eller textmeddelande innehåller en länk, stanna alltid upp och tänk efter innan du klickar.
Ladda inte ner okontrollerade bilagor
Det är en självklarhet, men det händer ändå: anställda öppnar en bilaga och din organisation infekteras med skadlig kod. Ladda inte ner en bilaga om du inte är 100 % säker på att den är legitim.
En nyligen genomförd nätfiskeattack visar hur sofistikerade attacker som använder infekterade bilagor är. I nätfiskekampanjen SVCReady används en viss typ av egenskap som finns i ett Microsoft Word-dokument, så kallad shellcode, för att leverera en laddare till en maskin. Den infekterade maskinen används sedan för att samla in känslig information, inrätta en fjärrkontrollcentral och i allmänhet hålla sig kvar tills angriparen bestämmer sig för att gå in för att döda, installera ytterligare skadlig kod och/eller stjäla data.
Dela inte för mycket på sociala medier
Cyberkriminella samlar in information om sina mål så att deras nätfiskeattacker är skräddarsydda och mer sannolika att lura mottagarna. Sociala medier är en idealisk damm för att fiska efter information. Cyberkriminella forskar om företaget och dess anställda och letar efter information som kan användas för att skapa spear phishing-kampanjer.
Sociala medier är också en plats där överdriven delning kan leda till att lösenord delas. I en rapport har man till exempel konstaterat att det finns en utbredd lösenordsdelning på osäkra samarbetskanaler som Slack. Se till att dina anställda känner till farorna med att lämna ut privata uppgifter och lösenord i kanaler som Slack, Discord och sociala medieplattformar.
Var medveten om lösenordshygien
Om lösenord delas och återanvänds ökar risken för att en phishingkampanj leder till att data och IT-system äventyras. Delning av lösenord är ett allvarligt problem i organisationer. Enligt en Google-undersökning återanvänder 62 % av alla människor lösenord, och 52 % återanvänder lösenord för att få tillgång till flera konton.
Dessutom delar 34 % av de anställda sina lösenord med kollegor. Om lösenord "skickas runt" och återanvänds är det mindre troligt att människor ser säkerhetsvärdet och därför har en mer lättsinnig inställning till lösenordssäkerhet. Gör lösenordshygien till ett centralt tema i utbildningen om säkerhetsmedvetenhet.
En bit i tiden
Phishing-kampanjer bygger ofta på en säkerhetsbrist som kan utnyttjas. Till exempel utnyttjades sårbarheterna i Zimbras e-postklient Zimbra via ett phishing-e-postmeddelande i samband med Zimbra-attacken 2021. Därför är det viktigt att se till att programvarutillämpningar korrigeras så snart som möjligt för att kunna vidta kontinuerliga åtgärder mot nätfiske.
Håll kontona aktuella
Gamla onlinekonton är till hjälp för cyberkriminella som kan använda dem för att skapa syntetiska identiteter och begå bedrägerier. Dessa konton kan också användas som en del av ett BEC-bedrägeri eller för att få fram information för ytterligare cyberattacker.
Om du har ett gammalt e-post- eller onlinekonto som du aldrig använder, stäng kontot eller återställ dess användning och kontrollera det regelbundet. Se till att du byter lösenord ofta och kontrollera HaveIBeenPwnd för att se om ett e-postkonto eller lösenord har exponerats under ett dataintrång.
Använd 2FA (men var ändå försiktig)
En bästa praxis för att skydda sig mot nätfiskebedrägerier är att använda en andra faktor (2FA) i alla fall där detta stöds. 2FA är dock ingen garanti för att en phishingattack inte lyckas, utan endast för att risken minskar.
Bristfälligt implementerade 2FA-åtgärder kan till exempel vara värdelösa när det gäller att förhindra phishing-attacker. Använd 2FA, men stöd detta med utbildning i säkerhetsmedvetenhet.
Rapportera allt misstänkt
Uppmuntra de anställda att rapportera ett misstänkt e-postmeddelande eller SMS för att förhindra att en incident inträffar. Skapa en miljö som uppmuntrar till säkerhetssamarbete. Håll en öppen dörr och ett öppet sinne för anställda som klickar på en skadlig länk genom att ge dem utrymme att känna att de kan rapportera ett fel.
Rapportering av incidenter bidrar till att skydda din organisation mot nätfiskebedrägerier, men rapporteringen måste vara enkel och baserad på ett avancerat rapporteringssystem som är utformat för att eskalera och tillhandahålla triagealternativ.
Överväga att använda verktyg mot nätfiske
Utbildning i säkerhetsmedvetenhet är en del av en bredare uppsättning åtgärder som kan användas för att skydda sig mot nätfiskebedrägerier. Andra åtgärder som kan användas för att öka skyddet är bland annat följande: DNS-filterprogram som förhindrar att en anställd navigerar till en skadlig webbplats, och ett molnbaserat skräppostfilter för e-post som kan förhindra att phishingmejl kommer in i en anställds inkorg.
Dessa säkerhetsåtgärder är dock inte tillräckliga. Cyberkriminella som utvecklar phishingmejl utformar i allt högre grad mejlen så att de inte kan upptäckas. Endast genom att använda metoder i flera lager, inklusive de anställdas kunskaper om nätfiske, kan en organisation skydda sig mot nätfiskebedrägerier.
