Phishing er et stort problem for organisation uanset størrelse. Faktisk begynder de flest cyber angreb med en phishing mail. Og det er ikke tilfældigt, hvorfor phishing er en effektiv måde at stjæle informationer eller få adgang til systemer. I det her blog post vil vi diskutere tre generelle phishing angreb som alle virksomheder bør vide noget omkring. Vi vil også komme ind på, hvorfor virksomheder er målet for angreb, og hvordan du kan træne dine medarbejdere så et fremtidigt angreb ikke sker.
Hvorfor virksomheder modtager phishing mails
Phishing er en normal måde for kriminelle at stjæle informationer fra virksomheder eller få adgang til deres systemer. Phishing har været populært længe og det fortsætter med at være en trussel mod de fleste virksomheder.
Men, hvorfor er organisationer og måske også dig, bange for at blive et offer for de her typer af angreb?
En grund til det er, at phishing er blevet meget svære at spotte. I dag er hackere eksperter I at lave kreative phishing kampagner som ligner legitime beskeder sendt fra sunde brands eller måske også en kollega I din organisation som du stoler på.
Her er flere grunde til, hvornår du skal være på vagt når det gælder phishing:
- Din organisation har sensitiv information som hackere vil stjæle. Ofte kan de bruge denne type information til at blackmail din virksomhed eller narre dine kunder.
- Du har systemer, som e-mail systemer eller finansielle systemer som hackere gerne vil have adgang til.
- Hackere vil måske angribe din organisation ved at snyde medarbejdere til at sende dem penge eller klikke et link som indeholder malware.
- Til sidst, de fleste organisationer investerer ikke nok ressourcer i medarbejder træning, hvilket resulterer i at mange medarbejdere mangler bevidsthed omkring, hvordan de identificere og håndtere phishing angreb på arbejdet.
Det her er nogle af de grunde til, hvorfor din virksomhed måske bliver angrebet. Næste afsnit vil gå igennem de phishingmetoder cyber kriminelle ofte bruger når de angriber en virksomhed.
3 populære typer af phishing angreb som angriber forretninger
Traditionel phishing mails prøver at få så mange mennesker som muligt, til at gøre noget bestemt, som f.eks. at klikke et link eller overfører penge. Mange menneske kender til disse typer af angreb og kan nemt spotte at det er en snyd.
Hvilket er super!
Men i virkeligheden er mange phishing angreb i dag ikke lavet med dette formål. Tværtimod er de målrettet til en specifik forretning og dens medarbejdere. Ofte angriber de også en specifik forretning ad gangen. Angrebene er enten lavet med en minimal indsats eller så er de godt undersøgt og tilpasset deres kampagne til virksomheden.
Tre phishing metoder som gør brug af sofistikerede teknikker, er spear phishing, direktør svindel og whaling. Herefter går vi I dybden med, hvorfor de metoder virker så godt I angreb på virksomheder, og hvordan vi kan træne vores medarbejdere, ved at sende simuleret og falske spear phishing mails.
Spear phishing – angreb på specifikke medarbejdere
Spear phishing er en phishing metode, hvor cyber kriminelle målretter og efterligner specifikke medarbejdere I din organisation. Det giver mening, da de fleste ansatte ikke vil være mistænkelig med en mail som kommer fra en indefra. Uheldigvis udnytter cyber kriminelle af denne tillid mellem kollegaer og bruger det til at narre medarbejdere til at afslører sensitive data, betale en “overskredet” invoice eller klikke på et link med malware.
Spear phishing er afhængig af social engineering teknikker
Spear phishing-e-mails har noget til fælles. De indeholder ofte social engineering-teknikker til at manipulere adfærd og udnytte følelser og fejl, der gør os menneskelige.
Du vil sandsynligvis støde på social engineering, når du modtager en spear phishing-e-mail. For eksempel kan du blive lovet et gavekort som den første person til at fuldføre en bestemt handling, eller e-mailen kan indeholde en kort tidsfrist eller en falsk følelse af hastværk. Så vær altid opmærksom, når du ser disse tegn.
Spear phishing medarbejdere
Mennesker er mere uvidende om, hvor overbevisende spear phishing kan være, og hvor let det er at blive narret af det, end de tror. Vi så dette ske i en af vores simulerede phishing-kampagner, som vi brugte til at træne medarbejdere i at identificere phishing-e-mails.
Vores orkestrerede angreb bestod af, hvad der tilsyneladende var en ny nødevakueringsplan, som "alle medarbejdere skulle læse". 30% af dem, der modtog phishing-e-mailen, klikkede på linket i e-mailen. Denne handling åbnede en falsk version af deres virksomheds interne arbejdssystem.
Næsten alle, der klikkede på linket, forsøgte at logge ind på det falske system. Ved at gøre det afslørede de deres virkelige brugernavne og adgangskoder. Med andre ord var disse medarbejdere ikke så opmærksomme, som de troede, de ville være.
Whaling – en type af spear phishing angreb
Whaling er en type spear phishing, der retter sig mod administrerende direktører og højtstående ledere. Målet er at narre CEO'en ved at udgive sig for en medarbejder, klient eller samarbejdspartner. Whaling-målgrupperne er nøje udvalgt, og kampagnerne er baseret på omfattende forskning i personen og organisationen.
Når man retter sig mod dem i magtpositioner, er færre personer involveret i processen, og det er derfor mindre sandsynligt, at bedrageriet bliver opdaget. For eksempel kan en whaling-e-mail indeholde en faktura fra en leverandør, som kun CEO'en ville have ansvar for at godkende før transaktionen.
Kvaliteten af disse kampagner i kombination med magtens mål gør whaling til en farlig phishing-metode. For at være forberedt på disse typer angreb bør CEO'er og højtstående ledere være opmærksomme på tegnene på whaling og vide, hvordan man reagerer på et angreb.
Direktør svindel – At udgive sig for at være direktør
Hvem afsenderen er, spiller en vigtig rolle i, hvordan og hvornår vi reagerer på e-mails, især når personen er en højtstående person i organisationen. Cyberkriminelle er godt klar over vores vaner, og vi ser mange organisationer falde offer for denne type svindel.
Direktør-svindel eller CEO-fraud er en phishing-metode, hvor cyber kriminelle udgiver sig for at være en CEO eller en anden højtstående person i virksomheden. Denne metode er afhængig af autoritetens overbevisning og medarbejdernes tilbøjelighed til at "gøre, som de får besked på" uden at stille spørgsmål til dem højere oppe i organisationen.
Ceo fraud kan have økonomiske konsekvenser samt skade dit omdømme
Direktør-svindel bruges til at narre medarbejdere til at afsløre følsomme data eller overføre penge under den falske tro, at de handler på anmodning fra deres chef. Denne svindel har ført til, at mange medarbejdere ubevidst betaler en faktura direkte til svindlerne.
Denne svindelmetode kan have alvorlige økonomiske og omdømmemæssige konsekvenser. I Storbritannien steg antallet af CEO-svindelsager med 29%, og tabene steg med 165% til 12,7 millioner pund i 2021. For at beskytte din virksomhed mod direktør-svindel er dine medarbejderes evne til at identificere og reagere på den rigtige måde din stærkeste forsvarslinje.
I næste afsnit vil jeg gennemgå, hvordan du kan forberede dine medarbejdere mod ovennævnte phishing-angreb og dermed styrke dit forsvar.
Hvordan du forbereder dine medarbejdere mod phishing-angreb
Nu ved du, hvorfor og hvordan svindlere måske retter deres angreb mod din organisation. For at forblive beskyttet skal ikke kun du, men alle medarbejdere være opmærksomme på risiciene og forstå deres eget ansvar. Med den rette type medarbejdertræning og foranstaltninger på plads kan du forberede dine medarbejdere og holde din organisation beskyttet.
Brug disse tre strategier til at styrke dine medarbejdere mod phishing-angreb:
1. Uddan dine medarbjedere omkring phishing
Sørg for, at dine medarbejdere er dit stærkeste forsvar ved at give dem den rette træning. Phishing-angreb udnytter og manipulerer menneskers adfærd. Ved at kende til de forskellige metoder og teknikker bag dem vil dine kolleger være mere opmærksomme på, hvordan og hvornår de bliver narret.
Brug denne guide til at skabe et træningsprogram i phishing og social engineering.
Det er også vigtigt, at dine medarbejdere ved, hvad de skal gøre, når de modtager en phishing-e-mail, da det at advare andre medarbejdere og rapportere potentielle svindelnumre vil hjælpe med at beskytte din organisation.
2. Øv dig i at identificere phishing-e-mails ved hjælp af simuleringer af angreb.
Mens de fleste af os føler os trygge ved at identificere phishing-e-mails, der lover en gratis rejse rundt om i verden, vil nogle sandsynligvis have svært ved at opdage spear phishing, whaling og CEO-fraud-e-mails, som er diskuteret i denne artikel. At sende simuleringer af phishing-e-mails er en praktisk måde at træne medarbejdere i at genkende og tage den rette handling mod alle typer angreb.
At modtage simuleringer af e-mails og måske endda falde for fælden kan få nogle medarbejdere til at indse vigtigheden af træning og hvor let det er at falde for disse angreb, når man ikke er opmærksom.
Falske phishing-e-mails kan også afsløre, om dine medarbejdere ved, hvordan de skal rapportere rigtige phishing-e-mails. Hvis du ikke får de resultater, du håbede på, skal du muligvis minde dem om rapporteringsprocessen eller gøre det nemmere for dem at følge den.
Her kan du finde vores bedste tips til at oprette dine egne simuleringer af phishing-e-mails.
3. Gør IT-sikkerhed til en del af jeres virksomhedskultur
For at gøre cybersikkerhed mere synlig og omtalt, anbefaler vi, at du bruger en række læringsmaterialer. Udover træning og falske e-mails kan du afsætte tid til spørgsmål under møder eller hænge tema-plakater op på kontoret. Disse awareness-plakater fungerer som sjove påmindelser, der også hjælper med at fremme diskussion om cybersikkerhedsproblemer.
Endelig skal du tale om cybersikkerhed i din organisation og gøre det regelmæssigt. Dette vil ikke kun holde dine medarbejdere mindet om risiciene, men også opfordre dem til at stille spørgsmål og have flere diskussioner om sikkerhedsproblemer.
Endelige bemærkninger
Phishing-angreb er blevet sværere at opdage, da de nu er skræddersyet efter de specifikke organisationer, de sigter mod. På samme tid, vil ny teknologi og AI værktøjer som ChatGPT gøre phishing nemmere for cyberkriminelle. At holde din organisation beskyttet er et fælles ansvar, og alle medarbejdere skal vide, hvordan man opdager og handler, når man modtager phishing-e-mails. Medarbejdere ses ofte som organisationens svageste led, men de kan også blive din stærkeste forsvar, når du udstyrer dem med den rette viden og træning.