Hvad er Phishing? Sådan Beskytter Du Din Virksomhed
Phishing definitionPhishing er en slags cyberangreb, hvor cyberkriminelle bruger vildledende e-mails til at lokke dig til at videregive følsomme oplysninger. Disse oplysninger bruges derefter til at få adgang til vigtige konti, som kan resultere i identitetstyveri og store økonomiske tab. Efterhånden som phishing-angreb bliver hyppigere og mere sofistikerede, udgør de en af de største sikkerhedsrisici for virksomheder. |
Indholdsfortegnelse
Phishing-angreb er stigende
Der er ingen tegn på et fald i antallet af Phishing-angreb. I 2020 var phishing den mest almindelige slags cyberkriminalitet og antallet af hændelser er næsten fordoblet i hyppighed i forhold til det foregående år. På globalt plan oplevede 75% af organisationer rundt om i verden en eller anden form for phishing-angreb i 2020.
Der er ingen tvivl om, at pandemien har ændret landskabet for virksomheder ved at skabe usikkerhed og anspore til nye arbejdsvaner såsom fjernarbejde. Når det kombineres med tilgængeligheden af phishing-kits, som der gør det lettere end nogensinde før for cyberkriminelle at udsende angreb, står virksomheder over for den perfekte storm.
I dette blogindlæg forklarer vi alt om, hvad phishing er, kendetegnene ved et angreb og de forskellige typer af phishing, som du skal være opmærksom på. Derefter kommer vi ind på, hvad du kan gøre for at forhindre din virksomhed i at blive en phishing-statistik.
Typiske kendetegn ved phishing e-mails
De fleste ved, at e-mails fra den "Nigerianske prins", der tilbyder dig en enorm sum penge, er et phishing-angreb. Men når cyberkriminelle bruger andre taktikker der udnytter din tillid, så kan selv de klogeste blive ofre for phishing-angreb! Lad os se på de typiske kendetegn i en phishing e-mail:
-
E-mailen indeholder dårlig grammatik og stavefejl. Det mest tydelige tegn på en phishing e-mail er dårligt sprog, forkert brug af grammatik og dårlig stavning. De fleste virksomheder bruger autokorrektur- og stavekontrolværktøjer på deres afsendte e-mails, så vær forsigtig i det øjeblik, du modtager en e-mail, der er fyldt med fejl.
-
E-mailen virker enormt usædvanlig. Hvis forespørgslen i e-mailen er ud over det sædvanlige og ikke normen i din virksomhed, så skal du være skeptisk. Et eksempel kunne være en person i din it-afdeling, der sender dig en e-mail om installationen af et program, når denne form for aktivitet normalt håndteres anderledes.
-
E-mailen kræver hurtig handling. Phishingmails bruger ofte trusler eller har en presserende karakter, som får dig til at reagere hurtigt, før du tænker rationelt. Faktisk omfattede de fem hyppigste emnelinjer for phishing-angreb i 2019 ordene presserende, forespørgsel, vigtigt, betaling eller OBS.
-
E-mailen indeholder mistænkelige vedhæftede filer. Phishing mails kan indeholde skadelig software, så som hyperlinks til ondsindede websteder. Et impulsivt klik senere, så er din enhed inficeret, eller du har overdraget personlige identifikationsoplysninger, kreditkortoplysninger eller adgangskoder til de cyberkriminelle.
-
E-mailen er for god til at være sand. Ligesom eksemplet med den nigerianske prins, er e-mailen med al sandsynlighed et forsøg på phishing, hvis den opfordrer dig til at klikke på et link eller åbne en vedhæftet fil for at få en form for belønning. Hvis noget lyder for godt til at være sandt, så er det nok fordi det er det.
Phishing-e-mails er ofte rettet mod medarbejdere
Cyberkriminelle har en tendens til at målrette mod det "svageste led" i virksomheden, og uden ens digitale selvforsvar, cybersikkerhedstræning, vil det være dine medarbejdere. Nedenfor finder du et eksempel på en phishing e-mail, der er designet til at udnytte dine medarbejderes tillid og respekt for autoriteter. E-mailen informerer medarbejderne om en "ny evakueringsplan" med et troværdigt sprog på baggrund af ændrede statslige regler, og medarbejderen får også en stram tidsfrist til at læse og underskrive planen ved at klikke på det integrerede hyperlink.
Hvad er et phishing-kit?
En af grundene til, at phishing-angreb er blevet hyppigere, er tilgængeligheden af phishing kits. Et phishing-kit er en samling af softwareværktøjer, der gør det nemt for cyberkriminelle, uanset deres tekniske færdigheder, at starte phishing-kampagner. Dette skyldes, at kits typisk leveres komplet med e-mail-skabeloner, grafik og scripts, som der kan bruges til at skabe overbevisende efterligninger af legitime hjemmesider. Hvis phishing-kits er tilgængelige på det mørke web, så vil phishing-angreb sandsynligvis kun fortsætte.
Som en tilføjelse til phishing-kits så kan det nye AI teknologi gøre phishing nemmere end før. For eksempel, så spurgte vi ChatGPT om at skrive os en phishing mail - og vi fik flere gode bud på phishing mails man kunne sende ud - og cyberkriminelle kan gøre det samme.
Berømte phishing-angreb
Nogle phishing-angreb skaber overskrifter. Eksemplerne nedenfor illustrerer, hvordan selv de mest teknisk kyndige virksomheder er ofre for phishing-e-mails - men endnu vigtigere viser de, at angrebene kunne have været forhindret, hvis virksomhederne havde været mere proaktive med hensyn til at opbygge bevidsthed omkring phishing.
For et par år siden blev Facebook og Google ofre for et phishing-angreb, der kostede mere end 100 millioner. En cyberkriminel oprettede en falsk virksomhed, der foregav at være en leverandør af computerdele, som var tilknyttet tech-giganterne og sendte phishing e-mails til specifikke medarbejdere, hvori de blev faktureret for varer og tjenester.
Et andet eksempel er Sony Pictures, hvor medarbejderne modtog phishing e-mails, der så ud til at komme fra Apple. Ofrene blev bedt om at indtaste deres Apple ID i en falsk formular, og herfra var angriberen i stand til at finde deres Sony netværksloginoplysninger. Angrebet kostede virksomheden mere end 100 terabyte virksomhedsdata, herunder regnskaber og kundedata.
Typer af phishing
Spear phishing, vishing, smishing - listen er lang. Phishing har udviklet sig til mange typer. De adskiller sig dog på målet for angrebet og den metode, der anvendes til at udføre angrebet. Men hvad de alle har tilfælles er det samme endelige mål om at s lokke personlige oplysninger fra offeret. Lad os gennemgå de forskellige typer phishing-angreb:
-
Smishing
-
Vishing
-
CEO-Fraud
-
Spear-phishing
-
Whale phishing
-
Barrel-phishing
-
Pharming
- Quishing
Smishing - phishing over tekstbeskeder
Smishing er dybest set phishing via SMS. I lighed med phishing har sms'en følelse af, at det haster og ser ud til at komme fra en betroet kilde. Den vil indeholde et URL-link, der fører dig til et phishing-værktøj, som beder dig om at videregive private oplysninger. Her er et eksempel på et smishing-angreb med VISA kreditkort.
Vishing – voice-phishing over telefonopkald
Har du nogensinde modtaget et telefonopkald fra en person, der foregiver at være en fra Microsoft? Så har du været udsat for vishing eller voice-phishing. Selvom du måske tænker "hvilken fornuftig person ville falde for sådan noget?", du vil blive overrasket over, hvor mange mennesker der overbevises om at installere software, som i virkeligheden er malware, efter bare en smule fiflen med opkalds-id’et og lidt overtalelse. Tjek eksempler på almindelige vishing angreb her.
CEO-Fraud – foregivelse af at være en virksomhedsleder
CEO-Fraud, også kendt som direktør-phishing, er en form for cyberkriminalitet, hvor angriberen foregiver at være en administrerende direktør (CEO), CFO eller en anden virksomhedsleder via e-mail. Det virker, fordi det udnytter din tillid til autoriteter, hvilket får dig til at efterkomme deres forespørgsel uden at tænke videre over det. De cyber kriminelle kan f.eks. Indhente sådanne oplysninger fra sociale medier.
Spear-phishing - angreb rettet mod specifikke medarbejdere
Spear-phishing er en målrettet form for phishing. I stedet for at sende generiske masse e-mails, så undersøger angriberen nøje, hvordan de kan udforme bedrageriske meddelelser, der appellerer til en bestemt person eller gruppe inden for en organisation. Selvom dette kræver mere arbejde for cyberkriminelle, så fører det til højere succesrater, da folk sænker paraderne, når e-mailen ser ud til at komme fra en person, som de kender, hvilket gør dem mere tilbøjelige til at videregive fortrolige oplysninger.
Whale-phishing - angreb rettet mod topledere
Whale-phishing, hvalfangst eller hval-phishing, er en form for spear-phishing rettet mod de "store fisk" såsom administrerende direktører eller andre højt profilerede personer. Den cyberkriminelle drager her fordel af de offentligt tilgængelige oplysninger om disse personer til at skræddersy phishing e-mailen. For eksempel kan en hvalfangst e-mail angive, at virksomheden kan risikere en retssag eller kan få sit omdømme skadet på grund af en nylig offentlig begivenhed eller handling, som lederen har begået. Hvis du vil se virkelige eksempler på hvalfangst, så tjek denne blog.
barrel-phishing – at sende én "uskyldig" e-mail før phishing e-mailen
Også kaldet "dobbelt-barreling" eller tønde-phishing - denne taktik indebærer at sende to separate e-mails, hvoraf den første er madding og den anden er den e-mail, som indeholder den ondsindede vedhæftede fil. Den første e-mail kan se ud at komme fra din kollega og der kan for eksempel stå "Hej, er du på kontoret? Jeg har brug for hjælp i et øjeblik". Formålet med denne godartede e-mail er at etablere tillid og troværdighed, som får dig til at sænke paraderne. Derefter kommer den opfølgende e-mail, som kan lyde noget i retningen af "Hej igen, kan du venligst gennemgå denne rapport hurtigst muligt?". Denne e-mail vil indeholde et ondsindet link, der fører dig til en spoof-hjemmeside.
Pharming
Pharming er når cyberkriminelle uden du ved det omdirigerer din webside-anmodning til et websted, der ligner det rigtige, såsom din banks hjemmeside. På denne måde er cyberkriminelle i stand til at opsnappe dine logindata og kan bruge dem til at få adgang til din konto. I modsætning til phishing, hvor angrebet sker via elektronisk kommunikation, foregår pharming direkte i browseren. Hvordan virker det? I korte træk manipulerer cyberkriminelle domænenavnssystemet (DNS), som er det system, der forbinder webbrowsere til websteder. Af denne grund er denne form for angreb ekstremt sofistikerede og vanskelige at genkende.
Quishing
Quishing er phishing via QR-koder. I stedet for links i e-mails bruger de kriminelle QR-koder til at få data og loginoplysninger fra deres ofre eller til at installere malware.
Quishing-angrebene er svære at spotte, da alle QR-koder ser ens ud, indtil man holder scanneren hen over dem, og man kan ikke se, om linket ser falsk ud.
Sådan forhindrer du phishing
Så hvordan undgår man at tage maddingen? To specifikke foranstaltninger, der hjælper dig med at undgå phishing og beskytte din virksomhed, er sandboxing og pen-test med simuleringer. Men når det er sagt, så er det mennesker, som der er mål for phishing-forsøg, og derfor skal mennesker være det primære forsvar mod dem! Derfor er det første tiltag til at forhindre phishing-angreb at skabe opmærksomhed omkring phishing og indgyde en god sikkerhedskultur i din virksomhed.
Sandboxing af indgående e-mails
"Sandboxing" er en proaktiv forsvarsteknik, som din it-sikkerhedsafdeling kan implementere. Det indebærer kontrol af sikkerheden af e-mails, webadresser eller vedhæftede filer, som der ikke er tillid til, i et isoleret testmiljø, før de når dit netværk eller din mailserver. Denne teknik giver et ekstra lag af beskyttelse ud over de traditionelle filtre, der scanner indgående e-mails.
Pen-test med phishing-simulering
Penetrationstest eller pen-test er en sikkerhedstræningsøvelse, der tester organisationens beredskab mod phishing. En måde at gøre dette på er gennem simulerede phishing-angreb, hvor dine medarbejdere kan træne deres færdigheder i at spotte falske e-mails. Du kan gennemføre denne øvelse på egen hånd eller arbejde med en ekstern træningspartner (som os), alt afhængigt af dine mål. Baseret på resultaterne kan du identificere svage punkter og udtænke strategier til uddanne dine medarbejdere yderligere.
Phishing-bevidsthed
Når du lærer at få øje på tegnene af phishing, kan du bedre beskytte dig selv og din virksomhed mod angreb. Derfor er phishing-bevidsthed nøglen, når det kommer til forebyggelse. Men et engangs-lynkursus er ikke nok. Efterhånden som phishing-angreb fortsætter med at udvikle sig, er løbende træning afgørende for at skabe et opmærksomt hold. Faktisk kan du, ved at kombinere simuleringer med løbende awareness-træning, styrke dit team til at blive en stærk frontlinje i forsvaret. Awareness-træning kan finde sted gennem digital e-læring, fysisk undervisning eller en blanding af begge.
Vores undersøgelser viser, at efter kontinuerlig awareness-træning og phishing-tests, brugere har reduceret deres fejl med 50% under simuleret phishing-angreb.
Skab en god sikkerhedskultur
Sidst men ikke mindst, skal du kabe en cybersikkerhedskultur, der fremmer sikker adfærd og giver folk mulighed for at sige til, hvis noget lugter phishy. For eksempel skal du sørge for, at du har en handlingsplan på plads i tilfælde af et cyberangreb, og at dit hold ved, hvem de skal gå til. Etableringen af denne plan og definition af roller og forventninger er en af de mange fordele ved at køre en phishing-simulering.
Derudover skal du opfordre dit hold til altid at bede om hjælp, hvis de er i tvivl, og til ikke at være bange for at begå fejl. På denne måde føler medledemmerne af holdet sig "sikre" i at rapportere det, hvis skaden er sket, og der er klikket på en phishing e-mail. Resultatet er, at de nødvendige foranstaltninger kan implementeres hurtigere, og skaden reduceres dermed betydeligt. Det er altid en god idé at være på vagt overfor ukendte kilder.
Til sidst skal du også belønne holdmedlemmer, der rapporterer phishing e-mails, måske gennem en fremvisning af "dagens fangst". Sørg også for at hjælpe dit hold med at have gode digitale vaner og være på udkig ved at downloade vores gratis cybersikkerhedsplakater, som der kan hænges rundt på jeres kontor!
Opsummering
I dette blogindlæg har vi opridset, hvad phishing er, og hvorfor det er en af de største sikkerhedstrusler, virksomheder står over for i dag. Vi har lært, at phishing findes i alle former og størrelser, og at alle i organisationen kan være mål for phishing-angreb. Af denne grund har det aldrig været vigtigere at skabe bevidsthed omkring phishing gennem cybersikkerhedstræning. Ved at sikre den menneskelige del af forebyggelsen reducerer du betydeligt chancerne for, at din virksomhed bliver phisherens nyeste fangst!
Ofte stillede spørgsmål
Hvad er phishing?
Phishing er en form for cyberangreb, hvor angriberen sender falske e-mails, beskeder eller websider, der ser ud som om, de kommer fra en betroet kilde, for at narre brugerne til at afsløre følsomme oplysninger, som f.eks. adgangskoder eller bankoplysninger. Phishing er en alvorlig trussel mod cybersikkerhed og IT-sikkerhed og kan have alvorlige konsekvenser for ofrene.
Hvad er de forskellige typer phishing?
Der er flere forskellige typer phishing-angreb, herunder e-mail-phishing, smishing (phishing via SMS-beskeder), vishing (phishing via telefonopkald), spear-phishing (målrettet phishing mod specifikke personer), og whaling (målrettet phishing mod højtstående personer i en organisation). Alle former for phishing har til formål at narre brugere til at give personlige oplysninger eller adgangskoder.
Hvad sker der hvis man har trykket på et link i en phishing email?
Hvis man har trykket på et link i en phishing-email, kan ens computer blive inficeret med malware eller virus. Det kan også føre til, at ens personlige oplysninger bliver stjålet af en hacker, som kan bruge dem til identitetstyveri eller finansielle svindelnumre. Det er vigtigt at undlade at klikke på links i mistænkelige e-mails.
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.