Vad är phishing bedrägerier?
En phishing bedrägeri är en vilseledande taktik som vanligtvis används av cyberbrottslingar för att utföra skändliga aktiviteter. De flesta har någon gång stött på ett phishing-e-postmeddelande. Trots att det är så vanligt fortsätter cyberbrottslingar att använda den här metoden för att installera skadlig kod, stjäla autentiseringsuppgifter och begå bedrägerier, inklusive Business Email Compromise (BEC).
I en rapport från CISCO om trender för hot mot cybersäkerheten 2021 anges phishing och kryptomineringen som de två största hoten mot företag. Rapporten visar också att 86 procent av organisationernas anställda klickar på phishinglänkar.
Att skydda sig mot nätfiske är avgörande för att hålla sin organisation säker, eftersom 90 % av alla dataintrång härrör från nätfiskeattacker.
Här är 10 sätt att se till att din organisation inte blir offer för nätfiske.
10 sätt att förebygga phishing scams
För att skydda dig mot phishing bedrägerier måste du använda flera skyddslager:
Hur ser en phishing-attack ut?
Cyberkriminella arbetar hårt för att få phishingmejl att se legitima ut. Phishing bedrägerier blir därför alltmer sofistikerade och riktar sig ofta till specifika personer och företag. En riktad nätfiskekampanj kallas spear phishing. Denna form av nätfiske innebär att man samlar in information för att skräddarsy nätfiskemeddelanden som är svåra att skilja från äkta e-postmeddelanden.
Anställda inom alla enheter i ett företag måste utbildas för att upptäcka tecken på phishing. I skräddarsydda nätfiskekampanjer används ofta välkända företagsvarumärken som Microsoft Office 365 för att på ett skickligt sätt dölja phishing bedrägeriet.
Plattformar för phishing-simulering är ett perfekt sätt att träna medarbetarna i att upptäcka ett phishing-försök. Med avancerade simuleringsplattformar för nätfiske som MetaPhish kan ett företag dessutom skräddarsy dessa simuleringar baserat på roller inom en organisation så att även spear phishing-försök kan förhindras.
Läs mer om nätfiske i MetaCompliance Ultimate Guide to Phishing.
Klicka inte på okända länkar
Slutanvändare och konsumenter har genom smarta användarupplevelser och UI-taktiker lärt sig att klicka på länkar för att göra sitt liv på nätet mer hanterbart. Men detta har lett till att cyberbrottslingar utnyttjar detta beteende.
För att förhindra en cyberattack måste man avlyssna klickandet. En enkel regel kan skilja mellan att förhindra en cyberattack och att bli en statistisk figur i cybersäkerhetsstatistiken - "klicka inte på en länk i ett e-postmeddelande om du inte är 100 % säker på att den är giltig". Om ett e-postmeddelande eller textmeddelande innehåller en länk, stanna alltid upp och tänk efter innan du klickar.
Läs mer i artikeln Vad ska du göra om du klickar på en phishing-länk?
Ladda inte ner okontrollerade bilagor
Det är en självklarhet, men det händer ändå: anställda öppnar en bilaga och din organisation infekteras med skadlig kod. Ladda inte ner en bilaga om du inte är 100 % säker på att den är legitim.
En nyligen genomförd nätfiskeattack visar hur sofistikerade attacker som använder infekterade bilagor är. I nätfiskekampanjen SVCReady används en viss typ av egenskap som finns i ett Microsoft Word-dokument, så kallad shellcode, för att leverera en laddare till en maskin. Den infekterade maskinen används sedan för att samla in känslig information, inrätta en fjärrkontrollcentral och i allmänhet hålla sig kvar tills angriparen bestämmer sig för att gå in för att döda, installera ytterligare skadlig kod och/eller stjäla data.
Dela inte för mycket på sociala medier
Cyberkriminella samlar in information om sina mål så att deras nätfiskeattacker är skräddarsydda och mer sannolika att lura mottagarna. Sociala medier är en idealisk damm för att fiska efter information. Cyberkriminella forskar om företaget och dess anställda och letar efter information som kan användas för att skapa spear phishing-kampanjer.
Sociala medier är också en plats där överdriven delning kan leda till att lösenord delas. I en rapport har man till exempel konstaterat att det finns en utbredd lösenordsdelning på osäkra samarbetskanaler som Slack. Se till att dina anställda känner till farorna med att lämna ut privata uppgifter och lösenord i kanaler som Slack, Discord och sociala medieplattformar.
Var medveten om lösenordshygien
Delning och återanvändning av lösenord ökar risken för att en nätfiskekampanj leder till komprometterade data och IT-system. Delning av lösenord är ett allvarligt problem i organisationer. Enligt en undersökning från Google återanvänder 62 % av alla människor lösenord, och 52 % återanvänder lösenord för att komma åt flera konton.
Dessutom delar 34 % av de anställda sina lösenord med kollegor. Om lösenord "skickas runt" och återanvänds är det mindre troligt att människor ser säkerhetsvärdet och därför har en mer lättsinnig inställning till lösenordssäkerhet. Gör lösenordshygien till ett centralt tema i utbildningen om säkerhetsmedvetenhet.
Patch in time
Phishing-kampanjer bygger ofta på en säkerhetsbrist som kan utnyttjas. Till exempel utnyttjades sårbarheterna i Zimbras e-postklient Zimbra via ett phishing-e-postmeddelande i samband med Zimbra-attacken 2021. Därför är det viktigt att se till att programvarutillämpningar korrigeras så snart som möjligt för att kunna vidta kontinuerliga åtgärder mot nätfiske.
Håll kontona aktuella
Gamla onlinekonton är till hjälp för cyberkriminella som kan använda dem för att skapa syntetiska identiteter och begå bedrägerier. Dessa konton kan också användas som en del av ett BEC-bedrägeri eller för att få fram information för ytterligare cyberattacker.
Om du har ett gammalt e-post- eller onlinekonto som du aldrig använder, stäng kontot eller återställ dess användning och kontrollera det regelbundet. Se till att du byter lösenord ofta och kontrollera HaveIBeenPwnd för att se om ett e-postkonto eller lösenord har exponerats under ett dataintrång.
Använd 2FA eller MFA (men var ändå försiktig)
En bra metod för att skydda sig mot nätfiske är att använda en andra faktor (2FA) eller multifaktorautentisering (MFA) där detta stöds. 2FA eller MFA är dock ingen garanti för att en nätfiskeattack misslyckas, bara att det minskar risken.
Dåligt implementerade 2FA- eller MFA-åtgärder kan till exempel vara värdelösa för att förhindra nätfiskeattacker. Använd 2FA eller MFA, men backa upp detta med utbildning i säkerhetsmedvetande.
Rapportera allt misstänkt
Uppmuntra de anställda att rapportera ett misstänkt e-postmeddelande eller SMS för att förhindra att en incident inträffar. Skapa en miljö som uppmuntrar till säkerhetssamarbete. Håll en öppen dörr och ett öppet sinne för anställda som klickar på en skadlig länk genom att ge dem utrymme att känna att de kan rapportera ett fel.
Rapportering av incidenter bidrar till att skydda din organisation mot phishing bedrägerier, men rapporteringen måste vara enkel och baserad på ett avancerat rapporteringssystem som är utformat för att eskalera och tillhandahålla triagealternativ.
Överväga att använda anti-phishing verktyg
Utbildning i säkerhetsmedvetande är en del av en bredare uppsättning åtgärder som kan användas för att skydda mot phishing bedrägerier. Andra åtgärder som kan användas för att öka skyddet är t.ex: DNS-filtreringsprogram som förhindrar att en anställd navigerar till en skadlig webbplats, och ett molnbaserat spamfilter som kan stoppa phishing-mejl från att komma in i en anställds inkorg.
Dessa säkerhetsåtgärder är dock inte tillräckliga. Cyberkriminella som utvecklar phishingmejl utformar i allt högre grad mejlen så att de inte kan upptäckas. Endast genom att använda metoder i flera lager, inklusive de anställdas kunskaper om nätfiske, kan en organisation skydda sig mot phishing bedrägerier.