Intro: Phishing-bevidsthed på arbejdspladsen
Denne artikel præciserer hvad Phishing er, og hvordan det kan forebygges med de rette værktøjer og træning. Teksten er blevet transskriberet fra et interview mellem John Shedd og David McHale af HailBytes.
Hvad er phishing?
Phishing er en form for social engineering, typisk via e-mail eller via SMS eller over telefonen, hvor kriminelle forsøger at få en form for oplysninger som de kan bruge til at få adgang til ting, som de ikke burde have adgang til.
For folk, der ikke var klar over, er der et par forskellige typer phishing-angreb.
Hvad er forskellen mellem generel phishing og spearphishing?
Generel phishing er typisk en super masseudsendelse af e-mails, der har samme format for at forsøge at få nogen til at klikke på det uden en stor indsats.
Generelt phishing er virkelig et talspil, hvorimod spearphishing-kriminelle vil gå og undersøge et mål.
Med spearphishing er der lidt mere forberedelse involveret, og succesraten har en tendens til at være meget højere.
Som et resultat sigter folk, der bruger spearphishing, typisk efter mere værdifulde mål. Nogle eksempler omfatter bogholdere eller CFO'er, som har evnen til virkelig at give dem noget af værdi.
I Konklusion: Generel phishing er stort set selvforklarende med udtrykket generelt og spearphishing er mere specifik med det individuelle mål.
Hvordan identificerer du et phishing-angreb?
Det, du typisk vil se for generel phishing, er et domænenavn, der ikke matcher, eller et afsendernavn, som du ikke er bekendt med. En anden ting at være opmærksom på er dårlig stavning eller dårlig grammatik.
Du kan muligvis se vedhæftede filer, der ikke giver et væld af mening, eller vedhæftede filer, der er filtyper, som du normalt ikke ville få adgang til.
De beder dig muligvis om at gøre noget, der ligger uden for den normale proces for din virksomhed.
Hvad er nogle gode fremgangsmåder til at forhindre et phishing-angreb?
Det er vigtigt at have det godt sikkerhedspolitikker på plads.
Du bør have en forståelse af de processer, der er almindelige højrisikoaktiviteter, såsom udsendelse af løn eller afsendelse af bankoverførsler. Det er nogle af de mest almindelige vektorer, vi ser for kriminelle, der dybest set drager fordel af den tillid og derefter skader en virksomhed.
Du bør have en forståelse for, at hvis noget er mistænkeligt, skal de rapportere det og have en form for proces på plads, der gør det nemt for brugerne at bede om hjælp.
Du bør vide de grundlæggende ting, du skal tjekke efter i hver e-mail, fordi mange brugere ikke ved, hvad de skal kigge efter, eller de er simpelthen uvidende.
Hvordan hjælper Hailbytes med phishing-bevidsthed og træning?
Vi tilbyder phishing-simuleringer, hvor vi sender virksomheder phishing-e-mails, som brugerne klikker på, og vi kan få en forståelse af, hvordan deres sikkerhedsposition ser ud. I sidste ende er vi i stand til at opdage, hvilke brugere der er sårbare i deres organisation.
Vores værktøjer giver dem mulighed for at videresende e-mails og få en rapport tilbage for at forstå, hvad med de risikable faktorer i den e-mail, og så modtager sikkerhedsteamet internt også den rapport.
Vi har også grundlæggende og avanceret sikkerhedstræning, der vil vise disse brugere en masse af de almindelige taktikker, der bruges, og en masse af de almindelige ting, som de skal være opmærksomme på, når de har mistanke om, at en e-mail kan indeholde et phishing-angreb.
Konklusion punkter:
- Phishing er en form for social engineering.
- Generelt phishing er en udbredt form for angreb.
- Spearphishing involverer forskning i phishing-målet og er mere vellykket for svindleren.
- At have en sikkerhedspolitik på plads er det første skridt til at afbøde cybersikkerhed trusler.
- Phishing kan forebygges gennem træning og gennem phishing-simulatorer.
