Phishing-bevidsthed: Hvordan sker det, og hvordan man forebygger det
Hvorfor bruger kriminelle et phishing-angreb?
Hvad er den største sikkerhedssårbarhed i en organisation?
Folket!
Når de ønsker at inficere en computer eller få adgang til vigtige oplysninger som kontonumre, adgangskoder eller pinkoder, er det eneste, de skal gøre, at spørge.
Phishing angreb er almindelige, fordi de er:
- Let at gøre – Et 6-årigt barn kan udføre et phishing-angreb.
- Skalerbar - De spænder fra spear-phishing-angreb, der rammer én person, til angreb på en hel organisation.
- Meget effektiv - 74% af organisationer har oplevet et vellykket phishing-angreb.
- Gmail-kontooplysninger – $80
- Kreditkort pin – $20
- Online bank legitimationsoplysninger til konti med mindst $ 100 i dem - $40
- Bankkonti med mindst $ 2,000 - $120
Du tænker sikkert, "Wow, mine konti går efter den nederste dollar!"
Og det er sandt.
Der er andre typer konti, der går efter en meget højere pris, fordi de er nemmere at holde pengeoverførsler anonyme.
Konti, der holder krypto, er jackpotten for phishing-svindlere.
De gældende satser for kryptokonti er:
- Møntbase- $610
- Blockchain.com – $310
- Binance- $410
Der er også andre ikke-økonomiske årsager til phishing-angreb.
Phishing-angreb kan bruges af nationalstater til at hacke sig ind i andre lande og mine data.
Angreb kan være for personlige vendettaer eller endda for at ødelægge virksomheders eller politiske fjenders omdømme.
Årsagerne til phishing-angreb er uendelige...
Hvordan starter et phishing-angreb?
Et phishing-angreb starter normalt med, at forbryderen kommer lige ud og sender dig beskeder.
De kan give dig et telefonopkald, en e-mail, en onlinebesked eller en SMS.
De kan hævde at være en person, der arbejder for en bank, et andet firma, du gør forretninger med, et offentligt agentur eller endda udgiver sig for at være en person i din egen organisation.
En phishing-e-mail kan bede dig om at klikke på et link eller downloade og udføre en fil.
Du tror måske, det er en legitim besked, klik på linket i deres besked og log ind på, hvad der ser ud til at være webstedet fra den organisation, du stoler på.
På dette tidspunkt er phishing-svindel færdig.
Du har udleveret dine private oplysninger til angriberen.
Sådan forhindrer du et phishing-angreb
Hovedstrategien for at undgå phishing-angreb er at træne medarbejderne og opbygge organisatorisk bevidsthed.
Mange phishing-angreb ligner legitime e-mails og kan passere gennem et spamfilter eller lignende sikkerhedsfiltre.
Ved første øjekast kan beskeden eller hjemmesiden se ægte ud med et kendt logolayout osv.
Heldigvis er det ikke så svært at opdage phishing-angreb.
Den første ting at være opmærksom på er afsenderens adresse.
Hvis afsenderadressen er en variant af et webstedsdomæne, som du måske er vant til, vil du måske gå videre med forsigtighed og ikke klikke på noget i e-mailens brødtekst.
Du kan også se på hjemmesidens adresse, hvor du bliver omdirigeret, hvis der er nogle links.
For at være sikker bør du indtaste adressen på den organisation, du vil besøge, i browseren eller bruge browserfavoritter.
Pas på links, der, når du holder markøren over, viser et domæne, der ikke er det samme som det firma, der sender e-mailen.
Læs indholdet af beskeden omhyggeligt, og vær skeptisk over for alle beskeder, der beder dig om at indsende dine private data eller verificere oplysninger, udfylde formularer eller downloade og køre filer.
Lad heller ikke indholdet af beskeden narre dig.
Angribere forsøger ofte at skræmme dig for at få dig til at klikke på et link eller belønne dig for at få dine personlige data.
Under en pandemi eller national nødsituation vil phishing-svindlere drage fordel af folks frygt og bruge indholdet af emnelinjen eller meddelelsesteksten til at skræmme dig til at handle og klikke på et link.
Tjek også for dårlige stave- eller grammatikfejl i e-mail-meddelelsen eller webstedet.
En anden ting at huske på er, at de fleste betroede virksomheder normalt ikke vil bede dig om at sende følsomme data via web eller mail.
Derfor bør du aldrig klikke på mistænkelige links eller give nogen form for følsomme data.
Hvad gør jeg, hvis jeg modtager en phishing-e-mail?
Hvis du modtager en besked, der ligner et phishing-angreb, har du tre muligheder.
- Slet det.
- Bekræft beskedindholdet ved at kontakte organisationen gennem dens traditionelle kommunikationskanal.
- Du kan videresende beskeden til din it-sikkerhedsafdeling for yderligere analyse.
Din virksomhed burde allerede screene og filtrere størstedelen af mistænkelige e-mails, men enhver kan blive et offer.
Desværre er phishing-svindel en voksende trussel på internettet, og de slemme fyre udvikler altid nye taktikker for at komme igennem til din indbakke.
Husk på, at du i sidste ende er det sidste og vigtigste forsvarslag mod phishing-forsøg.
Sådan stopper du et phishing-angreb, før det sker
Da phishing-angreb er afhængige af menneskelige fejl for at være effektive, er den bedste mulighed at træne folk i din virksomhed i, hvordan man undgår at tage lokkemad.
Det betyder ikke, at du skal holde et stort møde eller seminar om, hvordan du undgår et phishing-angreb.
Der er bedre måder at finde huller i din sikkerhed og forbedre din menneskelige reaktion på phishing.
2 trin du kan tage for at forhindre phishing-svindel
A phishing-simulator er software, der giver dig mulighed for at simulere et phishing-angreb på alle medlemmer af din organisation.
Phishing-simulatorer kommer typisk med skabeloner, der hjælper med at skjule e-mailen som en betroet leverandør eller efterligne interne e-mail-formater.
Phishing-simulatorer opretter ikke bare e-mailen, men de hjælper med at oprette den falske hjemmeside, hvor modtagerne ender med at indtaste deres legitimationsoplysninger, hvis de ikke består testen.
I stedet for at skælde dem ud for at falde i en fælde, er den bedste måde at håndtere situationen på at give oplysninger om, hvordan man vurderer phishing-e-mails i fremtiden.
Hvis nogen fejler en phishing-test, er det bedst bare at sende dem en liste med tips til at se phishing-e-mails.
Du kan endda bruge denne artikel som en reference for dine medarbejdere.
En anden stor fordel ved at bruge en god phishingsimulator er, at du kan måle den menneskelige trussel i din organisation, hvilket ofte er svært at forudsige.
Det kan tage op til halvandet år at træne medarbejderne til et sikkert niveau af afbødning.
Det er vigtigt at vælge den rigtige phishingsimuleringsinfrastruktur til dine behov.
Hvis du laver phishing-simuleringer på tværs af én virksomhed, så bliver din opgave lettere
Hvis du er en MSP eller MSSP, skal du muligvis køre phishing-tests på tværs af flere virksomheder og lokationer.
At vælge en cloud-baseret løsning ville være den bedste mulighed for brugere, der kører flere kampagner.
Hos Hailbytes har vi konfigureret GoPhish, en af de mest populære open source phishing-rammer som en nem at bruge instans på AWS.
Mange phishing-simulatorer kommer i den traditionelle Saas-model og har stramme kontrakter knyttet til sig, men GoPhish på AWS er en cloud-baseret tjeneste, hvor du betaler til en afmålt sats frem for en 1- eller 2-årig kontrakt.
Trin 2. Sikkerhedsbevidsthedstræning
En vigtig fordel ved at give medarbejdere sikkerhedsbevidsthed uddannelse beskytter dem mod identitetstyveri, banktyveri og stjålne virksomhedsoplysninger.
Sikkerhedsbevidsthedstræning er afgørende for at forbedre medarbejdernes evne til at opdage phishing-forsøg.
Kurser kan hjælpe med at uddanne personale til at opdage phishingforsøg, men kun få fokuserer på små virksomheder.
Det kan være fristende for dig som ejer af en mindre virksomhed at skære i omkostningerne til et kursus ved at sende nogle Youtube-videoer om sikkerhedsbevidsthed...
men personale husker sjældent den type træning i mere end et par dage.
Hailbytes har et kursus, der har en kombination af hurtige videoer og quizzer, så du kan spore dine medarbejderes fremskridt, bevise, at sikkerhedsforanstaltninger er på plads, og massivt reducere dine chancer for at blive udsat for et phishing-svindel.
Du kan tjekke vores kursus om Udemy her eller klikke på kurset nedenfor:
Hvis du er interesseret i at køre en gratis phishing-simulering for at træne dine medarbejdere, så gå til AWS og tjek GoPhish!
Det er nemt at komme i gang, og du kan altid kontakte os, hvis du har brug for hjælp til opsætning.
