Center for Cybersikkerhed (CFCS) udgav d. 23-11-2020 deres nye trusselvurdering af phishing. Hertil fulgte også en vejledning til, hvordan din virksomhed kan bekæmpe phishing. De to dokumenter er lidt lange, så jeg vil i dette blogindlæg tage dig gennem de vigtigste punkter af både trusselvurderingen og vejledningen.Og hvis du inden da tænker,”hvordan er det nu med det der phishing?”, så kan du starte med dette blogindlæg.
Center for Cybersikkerhed er her for at hjælpe dig
Center for Cybersikkerhed (CFCS) er oprettet som en del af Forsvarets Efterretningstjeneste. De opererer dog på eget lovgrundlag. Deres rolle er at hjælpe regeringen og virksomheder med at sikre sig mod digitale trusler. I denne hensigt, har de udgivet deres nye trusselvurdering af phishing og en vejledning til, hvad man kan gøre for at undgå at falde i fælden.
Phishing-angreb sker hele tiden
Phishing bruges ofte til at stjæle informationer såsom brugernavne, passwords, betalingsoplysninger eller personfølsom data. I Danmark stjæles der også NemID oplysninger. Herudover bruges phishing til at installere malware, få folk til at overføre penge og få adgang til it-systemer og netværk.
Men hvor stort er problemet egentlig? Det fortæller CFCS’s truselvurdering noget om. Deres vurdering består af 6 hovedpunkter, der tegner et dystert billede:
-
Phishingmails er en vedvarende og alvorlig trussel mod myndigheder, virksomheder og privatpersoner
-
De fleste cyberangreb indledes sandsynligvis med en phishing-mail
-
Op mod 80 procent af alle mails en organisation modtager er uønskede eller skadelige. Store organisationer modtager dagligt phishing-mails
-
Phishing anvendes af organiserede kriminelle
-
Phishing-angreb kan potentielt skade samfundet, hvis en myndighed eller samfundsvigtig virksomhed rammes
-
De fleste phsihing-mails leder over til en skadelig hjemmeside, og disse mails er i sig selv ikke farlige, hvis man lukker for adgangen til hjemmesiden
Kort fortalt fortæller de 6 punkter, at phishing-angreb er meget udbredt. De er så udbredt, at langt de fleste cyberangreb starter med en phishing-mail. Herudover er det værd at bemærke, at det ofte er organiserede kriminelle, der står bag, og at de ofte handler opportunistisk. Det betyder, at alle kan blive ramt, også private, da det ofte er tilfældigt, hvem der modtager phishing-mails.
De fleste punkter giver sig selv, og jeg dykker derfor ikke ned i dem alle. Hvis du gerne vil i dybden med samtlige punkter, vil jeg anbefale, at du læser hele trusselvurderingen.
80 procent af alle mails er uønskede eller potentielt skadelige
Hovedpunkt nummer tre fortæller, at 80% af alle mails er uønskede eller potentielt skadelige. 80 procent lyder meget højt. Når du kigger dine mails igennem, er det med stor sandsynlighed ikke 4 ud af 5 mails, som du anser som potentiel farlige. Årsagen til dette er, at vi heldigvis har nogle effektive spam-filtre, der frasorterer en stor del af alle phishing-mails.
Når det er sagt, så vurderer flere IT-sikkerhedsfirmaer, ifølge CFCS, at hver tiende phishing-mail slipper igennem et typisk spam-filer. Det er trods alt en del, når man tager antallet af mails, der bliver sendt, i betragtning.
Det tydeliggør vigtigheden af, at man opsætter sine mailfiltre ordentlig og evt. supplerer med DMARC, der kan beskytte ens organisations domæner mod at blive misbrugt. Derudover gør DMARC det muligt at afvise e-mails, der er afsendt fra andre mailservere end dem, der er tilknyttet den organisation, som står som afsender. Det er altså værd at forsøge at optimere ens spamfiltre til at frasortere flest mulige phishing-mails
Dine medarbejdere er jeres sidste forsvar
Teknikken kan dog ikke stoppe alle phishing-mails. Når en mail først er sluppet gennem spamfilteret, er teknologien sat ud af spillet. Nu er man tvunget til at stole på sine medarbejdere. Trusselvurderingen belyser dog, at det ikke er nok med tillid. Der skal træning til. CFCS skriver, at 30 procent af alle medarbejdere, der ikke har fået træning, klikker på links i phishing-mails (tallet er endnu højere, hvis vi snakker spear-phishing) .
Det er derimod kun 10 procent af dem, der har modtaget træning, der klikker. Dette tal kan blive lavere, hvis træningen er kontinuerlig.
Her i CyberPilot kan vi nikke genkendende til disse tal, når vi kigger på vores mest effektive phishing-kampagner, hvor vi kan se, at mange klikker på links, men vi kan også se en stor udvikling fra første kampagne til senere kampagner. Vi har også kunne se forskel alt afhængig af, om man har modtaget awareness-træning eller ej.
Forvent flere angreb
Da phishing-angreb styres af organiserede kriminelle, skal vi ikke forvente færre angreb i fremtiden. CFCS skriver, at der i 2019 blev opdaget 65.000 nye phishing-hjemmesider hver måned. Der vil hele tiden komme nye sider og nye angreb, som mailfiltre ikke kender til, og som derfor ender hos medarbejderne. Det er derfor vigtigt, at man tager risikoen seriøst og laver tiltag, der skal bekæmpe phishing-angrebene. Derfor har CFCS, som nævnt, også lavet en vejledning, der skal hjælpe virksomheder med netop dette.
Vejledningen er delt ind i tre kategorier:
-
Når der modtages mails
-
Når der sendes mails
-
Begræns konsekvenser af phishing-mails.
Jeg vil ikke gå gennem alle vejledninger her, men præsentere jer for nogle af de vigtigste.
Sådan forsvarer I jer, når der modtages mails
Når det kommer til at forsvare sig imod phishing-mails, vejleder CFCS til flere tiltag. Man skal, som nævnt, have et teknisk setup, der sorterer så mange phishing-mails som overhovedet muligt fra. Derudover er det vigtigt med klare retningslinjer og processer, så medarbejdere ved, hvad de skal gøre, hvis de spotter en farlig mail. I kan hente CyberPilots gratis skabelon til retningslinjer for IT-anvendelse her. Den kan bruges til at udforme de retningslinjer, der kan forme processerne.
Retningslinjer, når det kommer til phishing, går dog udover IT-anvendelse. Det er f.eks. en god ide at have klare retningslinjer og processer om, hvordan pengeoverførsler sker. På den måde reducerer man risikoen for spontane handlinger, når man modtager phishing-mails. En sådan proces kan f.eks. indeholde, at en overførsel skal godkendes af to personer.
Det skal ifølge CFCS også være nemt at rapportere phishing-mails – også selvom man er kommet til at klikke på den. Medarbejdere skal være trygge, når de indrapporterer hændelser, så man sikrer, at de altid tør og gør det. Det er bedre at få for mange indrapporteringer end for få.
I CyberPilot kan vi også stå inde for disse råd. Hvis medarbejdere bliver straffet for at have trykket på en phishing-mail, risikerer man, at medarbejdere fremadrettet holder det hemmeligt, hvis de gør det igen. Det betyder, at konsekvenserne ved phishing-mails kun bliver større.
Det snakker Rasmus og Fredrik om i en af vores tidlige podcast-episoder. Der fortæller de netop om, at man skal glemme tanken om en fejlfri organisation og i stedet skabe en kultur, hvor man er åben om ens fejl, hvis man vil bekæmpe phishing.
Sådan forsvarer i jer, når der sendes mails
Mange tænker udelukkende på phishing-mails, som noget man skal undgå at modtage. Men Center for CyberSikkerhed har også vejledninger til, hvad man skal være opmærksom på, når man sender mails.
De nævner f.eks. at ens interne mail kommunikation kan være afgørende. De anbefaler, at man selv undgår at gøre brug af mails, der kan lyde som phishing-mails. Man skal altså undgå at lave emnefelter, hvor der f.eks. står ”Haster”. Hvis man gør brug af denne type kommunikation, bliver det kun sværere for ens medarbejdere at kende forskel på phishing-mails og reelle mails.
Det virker som et simpelt tiltag, men det kan gøre en forskel. Ved ikke at skrive ind i de følelser, som IT-kriminelle bruger, i sin kommunikation, gør man det nemmere for alle at adskille reelle mails med phishing-mails.
Sådan begrænser I konsekvenserne, når uheldet er ude
Ligesom Fredrik og Rasmus nævner i podcasten, så skriver CFCS også, at man bliver nødt til at forberede sig på, hvordan man er forsvaret, når en medarbejder klikker på et link. Det er naivt at tro, at det ikke sker på et tidspunkt. Listen af vejledninger fra CFCS for at begrænse konsekvenserne indeholder the usual suspects, når det kommer til IT sikkerhed.
Her handler det i høj grad om at sørge for:
-
at alle ens systemer og programmer er opdaterede, så malware ikke kan gøre brug af kendte sårbarheder
-
at medarbejdere kun har adgang til indhold, de har brug for (antallet af brugere med administratorrettigheder skal holdes på et minimum)
Alle disse tiltag VIRKER, og det er også tiltag, som vi i CyberPilot vender tilbage til igen og igen.
Til sidst slutter CFCS deres vejledning af med at anbefale, at man har styr på sin logning, da dette kan bruges i arbejdet, der opstår med at analysere et evt. sikkerhedsbrud. Vi har i CyberPilot stort fokus på netop logning i form at vores SIEM- og logovervågnings-produkt. Du kan læse mere om SIEM og logning i dette blogindlæg.
Opsummering
Phishing er altså kommet for at blive. De fleste hackerangreb starter med en simpel phishingmail. Store virksomheder modtager dagligt ondsindede mails.
Det er derfor vigtigt, at man tager sine forholdsregler. Teknik kan sortere mange phishing-angreb fra, men når en mail slipper gennem filtret, må man stole på sine medarbejdere. Her viser CFCS’s indsigter, at træning og undervisning virker.
Man skal derfor have styr på sit tekniske setup og undervise sine medarbejdere i at spotte phishingmails. Derudover skal man have klare processer og regler, der gør det lettere for medarbejdere at agere hensigtsmæssigt.
Denne blogpost har taget dig hurtigt gennem nogle af de vigtigste punkter af både trusselvurderingen, men også vejledningen fra Center for CyberSikkerhed. Det anbefales dog at læse det hele selv, hvis man vil have det fulde overblik.
