Låt inte din personal ta betet!
I dagens alltmer digitaliserade värld sker en stor del av det vi gör, oavsett om det är för affärer eller nöjen, på nätet. Denna ökning av onlineaktivitet har lett till en massiv explosion av cyberbrottslighet.
Cyberbrottslighet har blivit ett kraftfullt verktyg för brottslingar som vill stjäla våra personuppgifter och pressa pengar. Internets snabbhet, anonymitet och bekvämlighet har gjort det möjligt för brottslingar att genomföra mycket riktade attacker med mycket liten ansträngning.
Enligt en färsk rapport från cybersäkerhetsföretaget Norton stal cyberbrottslingar totalt 130 miljarder pund från konsumenter under 2017, varav 4,6 miljarder pund från brittiska internetanvändare.
Den mest framgångsrika och farliga av alla cyberattacker är phishing. Forskning har visat att 91 % av alla cyberattacker börjar med ett phishing-e-postmeddelande.
Phishing fortsätter att vara den vanligaste formen av cyberattacker på grund av dess enkelhet, effektivitet och höga avkastning på investeringar. Den har utvecklats från den tidiga tiden då människor lurades med bedrägerier om nigerianska prinsar och förfrågningar om akut medicinsk behandling. De nätfiskeattacker som äger rum i dag är sofistikerade, målinriktade och allt svårare att upptäcka.
Det svindlande antalet e-postmeddelanden som skickas varje dag runt om i världen innebär att det är en uppenbar angreppsmetod för cyberkriminella. Radicati Group har uppskattat att 3,7 miljarder människor skickar omkring 269 miljarder e-postmeddelanden varje dag.
Forskare från Symantec menar att nästan vart 2 000:e av dessa e-postmeddelanden är ett nätfiskemeddelande, vilket innebär att cirka 135 miljoner nätfiskeattacker försöks varje dag.
Phishing-attacker förekommer i många olika former, men den gemensamma nämnaren för dem alla är att de utnyttjar mänskligt beteende. Följande exempel är de vanligaste formerna av angrepp som används.
Spear - Phishing är ett mer målinriktat försök att stjäla känslig information och fokuserar vanligtvis på en specifik person eller organisation. I dessa typer av attacker används personlig information som är specifik för individen för att framstå som legitim. Cyberbrottslingarna vänder sig ofta till sociala medier och företags webbplatser för att söka efter sina offer. När de väl har en bättre förståelse för sitt mål börjar de skicka personliga e-postmeddelanden med länkar som när de klickar på dem infekterar datorn med skadlig kod.
Vishing är nätfiskebedrägerier som sker via telefon. Det är den mest mänskliga interaktionen av alla nätfiskeattacker, men följer samma mönster av bedrägeri. Bedragarna skapar ofta en känsla av brådska för att övertyga offret att lämna ut känslig information. Samtalet sker ofta via ett falskt ID, så att det ser ut som om det kommer från en pålitlig källa. Ett typiskt scenario är att bedragaren utger sig för att vara bankanställd för att uppmärksamma misstänkt beteende på ett konto. När de väl har fått offrets förtroende kommer de att be om personlig information som inloggningsuppgifter, lösenord och pinkod. Uppgifterna kan sedan användas för att tömma bankkonton eller begå identitetsbedrägeri.
Det som skiljer denna kategori av nätfiske från andra är valet av mål på hög nivå. En valfiskeattack är ett försök att stjäla känslig information och riktar sig ofta till den högsta ledningen. Valfiskemejl är mycket mer sofistikerade än vanliga nätfiskemejl och mycket svårare att upptäcka. E-postmeddelandena innehåller ofta personlig information om målet eller organisationen och språket har en mer företagsmässig ton. Det krävs mycket mer ansträngning och eftertanke för att utforma dessa e-postmeddelanden, eftersom de är mycket lönsamma för de cyberkriminella.
Smishing är en typ av nätfiske där man använder SMS-meddelanden i stället för e-post för att rikta sig till enskilda personer. Det är ett annat effektivt sätt för cyberkriminella att lura personer att lämna ut personlig information, t.ex. kontouppgifter, kreditkortsuppgifter eller användarnamn och lösenord. Denna metod innebär att bedragaren skickar ett sms till en individs telefonnummer och innehåller vanligtvis en uppmaning till handling som kräver ett omedelbart svar.
Clone Phishing innebär att ett legitimt och tidigare levererat e-postmeddelande används för att skapa ett identiskt e-postmeddelande med skadligt innehåll. Det klonade e-postmeddelandet ser ut att komma från den ursprungliga avsändaren men är en uppdaterad version som innehåller skadliga länkar eller bilagor.
Attackerna mot företag har nästan fördubblats under de senaste fem åren och skadorna från en phishing-attack kan vara förödande för ett företag. Under årens lopp har företag förlorat miljarder till följd av nätfiskeattacker. Microsoft uppskattar att den potentiella kostnaden för cyberbrottslighet för världssamfundet är svindlande 500 miljarder och att ett dataintrång kostar det genomsnittliga företaget cirka 3,8 miljoner kronor.
Trots att vi har den starkaste säkerhets- och försvarstekniken på plats utnyttjar cyberkriminella ofta den svagaste länken i ett företags försvar, vilket ofta är de anställda. Bara ett enda mänskligt fel kan leda till en massiv förlust av känsliga uppgifter.
Forskning från Cisco visade att 22 % av de organisationer som utsattes för intrång förlorade kunder omedelbart efter en attack, vilket visar hur allvarligt konsumenterna tar säkerheten för sina uppgifter.
Identitetsstöld
Stöld av känsliga uppgifter
Stöld av kundinformation
Förlust av användarnamn och lösenord
Förlust av immateriella rättigheter
Stöld av pengar från företags- och kundkonton
Skador på anseendet
Otillåtna transaktioner
Kreditkortsbedrägeri
Installation av skadlig programvara och Ransomware
Tillgång till system för framtida attacker
Uppgifter till kriminella tredje parter
Det är viktigt att företag vidtar åtgärder för att se till att de gör allt de kan för att utbilda personalen om farorna med en phishingattack. Att utbilda de anställda i hur man effektivt känner igen ett phishing-försök är avgörande för att minska risken för en organisation.
För mer information om hur du kan skydda ditt företag mot nätfiskeattacker, klicka här.
om hur du kan skydda ditt företag mot nätfiskeattacker.
Det har blivit mycket svårare än tidigare att identifiera ett phishingmejl eftersom brottslingarna har finslipat sina färdigheter och blivit mer sofistikerade i sina angreppsmetoder. De phishingmejl som vi får i vår inkorg är alltmer välskrivna, personliga, innehåller logotyper och språk från varumärken som vi känner till och litar på och är utformade på ett sådant sätt att det är svårt att skilja mellan ett officiellt mejl och ett oseriöst mejl som är utformat av en bedragare.
McAfee uppskattar att 97 procent av alla människor runt om i världen inte kan identifiera ett sofistikerat phishingmejl, så cyberkriminella lyckas fortfarande lura människor att lämna ut personlig information eller ladda ner skadlig kod. Trots att dessa e-postmeddelanden blir alltmer sofistikerade och övertygande finns det fortfarande några tecken som kan varna oss för att det rör sig om ett nätfiskemeddelande.
Ett välrenommerat företag skickar aldrig ut ett e-postmeddelande till kunderna och ber dem om personlig information, t.ex. kontonummer, lösenord, pinkod eller säkerhetsfrågor. Om du får ett e-postmeddelande som begär dessa uppgifter är det sannolikt ett nätfiskemeddelande och bör omedelbart raderas.
Cyberkriminella är inte kända för sin utmärkta stavning och grammatik. När legitima företag skickar e-post till kunderna granskas den ofta av copywriters för att se till att stavning och grammatik är korrekt. Om du upptäcker stavfel eller dålig grammatik i ett e-postmeddelande är det osannolikt att det har kommit från en officiell organisation och kan tyda på att det rör sig om ett phishingmeddelande.
En vanlig phishingtaktik är att framkalla en känsla av rädsla eller brådska för att få någon att klicka på en länk. Cyberbrottslingar använder ofta hot om att din säkerhet har äventyrats och att det krävs brådskande åtgärder för att avhjälpa situationen. Var försiktig med ämnesrader som påstår att ditt konto har haft ett "obehörigt inloggningsförsök" eller att ditt "konto har stängts av". Om du är osäker på om förfrågan är legitim, kontakta företaget direkt via deras officiella webbplats eller officiella telefonnummer.
Om du får ett e-postmeddelande där du får veta att du har vunnit en tävling som du inte har deltagit i, eller om du uppmanas att klicka på en länk för att få ett pris, är det mycket troligt att det rör sig om ett phishing-e-postmeddelande. Om ett erbjudande verkar för bra för att vara sant är det oftast så!
Den vanligaste typen av nätfiske innebär att man lurar människor att öppna e-postmeddelanden eller klicka på en länk som ser ut att komma från ett legitimt företag eller en välrenommerad källa.
Genom att skapa en känsla av brådska luras användarna att klicka på en länk eller öppna en bifogad fil. Länken kan leda dig till en falsk webbplats där du uppmanas att ange dina personuppgifter eller till en webbplats som direkt infekterar din dator med utpressningstrojaner.
Legitima företag skickar aldrig e-postmeddelanden där de ber dig klicka på en länk för att ange eller uppdatera personuppgifter.
Företag kan ha de starkaste säkerhetssystemen på plats, men det ger inte mycket skydd om cyberkriminella kan kringgå dessa traditionella tekniska försvarssystem och komma direkt till en anställd för att lura honom eller henne att lämna ut känslig information.
Över 90 % av alla framgångsrika cyberattacker är ett resultat av information som anställda ovetande lämnat ut. I takt med att det blir svårare att bryta sig in i nätverken riktar hackarna alltmer in sig på vad de uppfattar som den svagaste länken i ett företags försvar - de anställda!
I takt med att hackare finslipar sina tekniker och blir mer målinriktade i sina attacker är det viktigt att utbilda personalen och ge regelbunden utbildning om vad de bör hålla utkik efter och hur de kan bidra till att förhindra en cyberattack.
MetaPhish har utformats särskilt för att skydda företag från nätfiske- och utpressningsattacker och utgör den första försvarslinjen i kampen mot cyberbrottslighet. Om du vill ha mer information om hur detta kan användas för att skydda och utbilda din personal.
Internet och sociala medier har förändrat hur vi kommunicerar med varandra dagligen, men denna kultur av delning har gett cyberbrottslingar ett enkelt sätt att profilera potentiella offer och se till att deras nätfiskeförsök blir mer målinriktade och svårare att upptäcka.
Hackare vänder sig till sociala medier för att få tillgång till personlig information som ålder, jobbtitel, e-postadress, plats och sociala aktiviteter. Tillgången till dessa personuppgifter ger hackarna tillräckligt med information för att kunna inleda en mycket riktad och personlig nätfiskeattack.
För att minska risken för att falla för ett phishingmejl kan du tänka igenom vad du lägger ut på nätet, utnyttja de förbättrade integritetsalternativen, begränsa åtkomsten till personer som du inte känner och skapa starka lösenord för alla dina konton i sociala medier.
För att minska risken för att falla för ett phishingmejl kan du tänka igenom vad du lägger ut på nätet, utnyttja de förbättrade integritetsalternativen, begränsa åtkomsten till personer som du inte känner och skapa starka lösenord för alla dina konton i sociala medier.
Innan du matar in någon information på en webbplats bör du alltid kontrollera att webbplatsen är säker och trygg. Det bästa sättet att göra detta är att titta på webbplatsens webbadress. Om den börjar med "https" i stället för "http" betyder det att webbplatsen har säkrats med ett SSL-certifikat (S står för secure). SSL-certifikat garanterar att alla dina data är säkra när de skickas från din webbläsare till webbplatsens server. Det bör också finnas en liten hänglåssymbol i närheten av adressfältet, vilket också visar att webbplatsen är säker.
Antivirusprogram är den första försvarslinjen när det gäller att upptäcka hot på din dator och hindra obehöriga användare från att få tillgång till den. Det är också viktigt att se till att din programvara uppdateras regelbundet för att se till att hackare inte kan få tillgång till din dator genom sårbarheter i äldre och föråldrade program.
De personuppgifter som du lämnar till oss i detta formulär kommer endast att användas av MetaCompliance (som personuppgiftsansvarig) för följande specifikt definierade ändamål:
Begär en kostnadsfri demo idag och se hur vår utbildning i världsklass om medvetenhet om cybersäkerhet kan gynna din organisation.
Demotestet tar bara 30 minuter av din tid och du behöver inte installera någon programvara.