Phishing-e-post är helt enkelt en enkelbiljett för att få tillgång till din organisation, oavsett om det är via dina hårddiskar, ditt nätverk eller dina informationstillgångar.
Det enkla sättet att lösa detta? Klicka inte på länken!
Tyvärr är det inte så enkelt. Cyberkriminella är smarta och de riktar sig till enskilda personer med e-postinnehåll som garanterat får deras uppmärksamhet. När en anställd väl blir nyfiken på den catchiga titeln eller den mystiska länken - då har de fastnat. Phishingmejl är också utformade för att se ut som vanliga, vardagliga mejl, t.ex. en faktura från en kollega, ett skannat kontrakt eller till och med ett mejl från din IT-support.
De av oss som har blivit utsatta för eller lurade av phishingmejl tidigare vet vilka varningssignaler vi ska hålla utkik efter och vi vet att vi inte ska klicka på länkar. Trots detta är det oerhört svårt att förutse hur dina anställda skulle reagera på ett sådant e-postmeddelande. De anställda är oftast den svagaste länken i organisationen och det är viktigt att ni förstår hur de skulle reagera. De behöver kunskap om hur man försvarar sig mot nätfiskeattacker.
Genom att använda programvara för simulering av nätfiske, t.ex. MetaPhish, kan du utsätta din personal för målinriktade simulerade nätfiskemeddelanden. Med hjälp av rapporteringsfunktionen kan du i realtid se vilka anställda som klickat på phishinglänken och vilka som reagerat på lämpligt sätt.
Syftet med denna programvara är inte bara att utvärdera hur många av dina anställda som skulle klicka på länken, utan också att öka deras känslighet och medvetenhet om dessa typer av e-postmeddelanden. Ju mer och mer exponerad din personal blir för phishingmejl, desto mer troligt är det att de upptäcker varningssignalerna och inser att det inte är ett äkta meddelande. Dessutom erbjuds de som inte lyckas upptäcka phishing-meddelandet möjligheten att arbeta genom en inlärningserfarenhet för att få utbildning om de risker som är förknippade med phishing.
Genom att samarbeta med din personal på detta sätt kan du mäta din nuvarande exponeringsnivå för nätfiskeattacker. Om ett stort antal anställda klickar på länkarna vet du att du är mycket utsatt. Kombinera en phishing-attack med social ingenjörskonst och det blir ett företags värsta mardröm.
Det är viktigt att din personal vet vad de ska se efter i ett phishing-e-postmeddelande.
Några av de tidiga varningssignalerna är följande:
- Vaga hälsningar
- Dålig grammatik eller interpunktion
- Du tilltalas som "användare" i stället för ditt namn.
- "Länkar" till dokument som kan laddas ner
- En ämnesrad som är irrelevant för e-postmeddelandet?
Detta är några av de uppenbara tecknen, men cyberkriminella är smarta och de är fast beslutna att lura dig. Spear-phishing och whaling är mer sofistikerade metoder för nätfiske (läs mer om dessa typer av nätfiskehot här) och är inte lika lätta att upptäcka, främst på grund av att dessa e-postmeddelanden har utformats särskilt för dig och verkar äkta.
I det här scenariot kan du se upp för följande:
- E-postmeddelanden som är undertecknade av en kollega som du känner men som har skickats från ett annat e-postkonto.
- Misstänkta bifogade zip-filer
- Begäran om att betala in en stor summa pengar på ett konto.
Spearphishing- och whaling-attacker har skapats av en cyberkriminell som har bevakat dig på sociala medier, kanske under täckmantel av en kollega. De har riktat in sig på dig genom att skapa en falsk profil av den nämnda kollegan eller, om dina profiler i sociala medier är offentliga, har de samlat in informationen på egen hand.
Allt som krävs är att en enda person klickar på länken, laddar ner bilagan eller betalar en stor summa pengar, och det betyder att cyberkriminella har vunnit. Du har gett dem tillgång till det de behöver, den information de vill ha, laddat ner skadlig kod eller utpressningstrojaner och gett dem en rejäl belöning!
Investera i att utbilda din personal om nätfiske så att de vet vad de ska se upp för och vad de ska göra om de misstänker att de har fallit offer för en attack. Är detta intressant för dig? Be om en demo av vår simuleringsprogramvara MetaPhish eller vår eLearning-modul Essential Phishing Awareness. Du kan också kontakta oss för att arrangera en personalens medvetandedag om phishing.
