Tilbake til bloggen
5 min read

Biter dine ansatte på agnet? 4 måter å forberede dem på ulike typer phishing-angrep

Sarah Hofmann
By: Sarah Hofmann Cybersikkerhet | 18 januar

Hvert minutt går 17 700 dollar tapt på grunn av phishing-angrep. Phishing er en stor utfordring for organisasjoner av alle størrelser. Og det er ikke så rart - phishing er en effektiv måte for nettkriminelle å stjele informasjon og få tilgang til systemer på. I dette blogginnlegget går jeg gjennom beste praksis for å forebygge phishing-angrep, slik at de ansatte ikke biter på agnet. Jeg går også gjennom de ulike typene phishing-angrep som du og dine ansatte trenger å vite om. Så, la oss komme i gang!

Hvorfor dine ansatte mottar phishing-e-post i det heletatt

Phishing-angrep står for over 80% av alle rapporterte sikkerhetshendelser, ogi årenes løp har phishing-e-poster utviklet seg dramatisk. Med nye AI-verktøy har phishing blitt mer sofistikert og vanskeligere å oppdage enn noen gang før.

Vi fikk bekreftet dette ved å la ChatGPT lage en sofistikert phishing-e-post for oss. Ta en titt på hvordan det gikk her!

Nettkriminelle bruker phishing for å få tilgang til kontoopplysninger, begå svindel og starte angrep med skadelig programvare.

Her er noen flere grunner til hvorfor nettkriminelle bruker phishing mot bedriften din:

  • For å stjele verdifull eller sensitiv informasjon. Detkan brukes til å begå bedrageri eller starte et ransomware angrep.

De fleste organisasjoner investerer ikke nok ressurser i den menneskelige siden av cybersikkerheten. Dette er grunnen til at phishing-e-post fungerer. Den gode nyheten er at det finnes måter å bekjempe phishing på. Ved å øke de ansattes bevissthet og kunnskap om phishing kan du forhindre at phishing-e-poster skader virksomheten din. La oss se på det i neste avsnitt!

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

Slik beskytter du dine ansatte mot åfalle for phishing

Nå som du vet hvorfor du mottar phishing-e-post, kan vi se nærmere på hva du kan gjøre for å forhindre at phishing-angrep skader organisasjonen din.

Det første du må vite er at alle i organisasjonen har en rolle å spille når det gjelder å skape et sterkt phishing-forsvar. Dette betyr at alle ansattemå være klar over risikoen ogforstå sitt eget ansvar for å forhindre phishing-angrep.

Så, nå som vi har fått det ut av veien. La oss se på hva du kan gjøre for å sørge for at dine ansatte har de rette ferdighetene og kunnskapene!

 

Trinn 1. Gi de ansatte opplæring i cybersikkerhet

Cyberkriminelle vet hvordan de skal få svindelen til å se ekte ut, og hvordan de skal bruke menneskelige følelser for å få ansatte til å gjøre det de ønsker.

Opplæring i sikkerhetsbevissthet sikrer at de ansatte er klar over vanlige risikoer og trusler.Det er også viktig at de ansatte vet hva de skal gjøre når de mottar en phishing-e-post .Å advare andre ansatte og rapportere potensielle svindelforsøk er avgjørende for å forhindre at andre ansatte faller for svindelen .

Jeg skal ikke gå inn på alle detaljene om hva som bør inngå i et program for sikkerhetsbevissthet. Men du er velkommen til å ta en titt på vår komplette guide til hvordan du lager ditt eget opplæringsprogram for phishing og sosial manipulering her.

 

Trinn. 2 Lær opp dine ansatte til å gjenkjenne ulike typer phishing-angrep

Kunnskap om de vanligste phishing-metodene og teknikkene bak dem vil hjelpe medarbeiderne dine til å gjenkjenne når og hvordan de blir lurt.

Sofistikerte phishing-e-poster er ofte skreddersydd for å ramme en bestemt bedrift eller ansatt. Phishing-e-poster kan være alt fra relativt lavteknologiske til svært gjennomtenkte og skreddersydde kampanjer .

Tre ulike typer phishing-angrep som bruker sofistikerte teknikker, er spear phishing, CEO-svindel og whaling.

Her er hvorfor og hvordan de fungerer:

Spear phishing: Skreddersy phishing-kampanjer til organisasjonendin

Spear phishing er en phishing-metode der nettkriminelle retter seg mot og utgir seg for å være bestemte personer i en organisasjon.

Målrettede phishing-e-poster er utformet for å manipulere atferd ved å utnytte følelsene og feilene som gjør oss til mennesker, ved hjelp av sosialmanipulering. Du kan for eksempel bli lovet et gavekort som den første personen som utfører en bestemt handling, eller e-posten kan inneholde en kort tidsfrist eller en falsk følelse av at det haster.

Tidsfrister eller en følelse av at det haster, øker andelen som sender inn data med 60%, så det er viktig å tenke seg om to ganger og ikke la seg presse til å handle av en e-post. Les mer om hvordan du kan oppdage tegnene på en spear phishing-e-post her.

Phishing email example

Eksempel på phishing-e-post som utnytter hastverk

Hvalfangst: Phishing-e-post rettet mot makthavere

Whaling er en type phishing-e-post som retter seg mot administrerende direktører og toppledere. E-posten er utformet for å lure direktøren ved å utgi seg for å være en ansatt, kunde eller partner. Whaling-mål er nøye utvalgt og basert på omfattende undersøkelser av personen ogorganisasjonen.

Ved å rette seg mot makthavere er færre personer involvert i prosessen, og det er mer sannsynlig at svindelen går ubemerket hen. En e-post med hvalfiske kan for eksempel inneholde en faktura fra en leverandør som bare administrerende direktør ville ha sett over før transaksjonen ble gjennomført.

For å være forberedt på denne typen angrep bør administrerende direktører og toppledere være oppmerksomme på tegnene på hvalfiske og vite hvordan de skal reagere på et angrep.

CEO-svindel: Cyberkriminelle utgir seg for å være en toppleder

Hvem avsenderen er, spiller en avgjørende rolle for hvordan og når vi reagerer på e-poster, spesielt hvis det er en person høyt oppe i organisasjonen. CEO fraud er en phishing-teknikk der nettkriminelle utgir seg for å være administrerende direktør eller en annen toppleder i organisasjonen.

Denne metoden baserer seg på autoritetens overtalende kraft og på at de ansatte "gjør som de får beskjed om" uten å stille spørsmål til dem som er høyere oppe i organisasjonen. Data fra våre egne phishing-kampanjer viser at utnyttelse av bedriftens autoritet er den enkleste måten å lure ansatte på.

CEO-svindel kan få alvorlige økonomiske og omdømmemessige konsekvenser. I Storbritannia har antall tilfeller av CEO-svindel økt med 29 %, og tapene vil fortsette å øke. For å beskytte organisasjonen mot CEO-svindel er de ansattes evne til å gjenkjenne og reagere på riktig måte detbeste forsvaret.

 

Trinn 3. Bruk simulerte phishing-angrep for å øve på å identifisere phishing-e-poster

Det danske Center for Cybersikkerhed har nylig funnet ut at 70% av utrente brukere er mottakelige for spear phishing-angrep. Mens de fleste av oss er trygge på å oppdage phishing-e-poster som lover en gratis jordomreise, er det mange som sliter med å oppdage spear phishing-, hvalfangst- og CEO-svindel-e-postene jeg nettopp nevnte.

Å sende simulerte phishing-e-poster er en praktisk måte å lære opp de ansatte til å gjenkjenne og iverksette de riktige tiltakene mot alle typer angrep.

Smart CTA_phishingcase NO

Ved å motta simulerte e-poster, og til og med falle for dem, vil de ansatte innse hvor viktig det er med opplæring oghvor lett det er å falle for phishing-e-poster hvis man ikke er på vakt.

Her finner du våre beste tips til hvordan du lager dine egne simulerte phishing-e-poster.

Ved å sende ut falske phishing-e-poster kan du også avdekke om dine ansatte vet hvordan de skal rapportere et ekte phishing-forsøk. Hvis du sender ut en falsk phishing-e-post og ikke får de resultatene du hadde håpet på, bør du kanskje gi de ansatte mer opplæring i hvordan de skal rapportere phishing-e-poster, og gjøre det enkelt for dem å gjøre det.

 

Trinn 4. Gjør IT-sikkerhet til en del av bedriftskulturen

Detsiste tipset jeg vil gi deg, er å gjøre IT-sikkerhet mer synlig og snakke mer om det i organisasjonen.

For å gjøre IT-sikkerhet til en del av bedriftskulturen anbefaler vi at dubruker en rekke ulike læremidler og snakker om IT-sikkerhet så ofte som mulig.

I tillegg til opplæringsøkter og simulerte phishing-e-poster, kan du sette av tid til spørsmål under møter eller henge opp temaplakater rundt om på kontoret for å minne folk på cybersikkerhet. Du kan ogsåorganisere regelmessige diskusjoneromcybersikkerhet.Dette vil ikke bare minne de ansatte på risikoen, men også oppmuntre dem til å stille spørsmål og snakke med hverandre om cybersikkerhet.

Disse bevisstgjøringsplakatene fungerer som en morsom påminnelse, samtidig som de oppmuntrer til diskusjon om cybersikkerhet.

 

Det er et felles ansvarå forhindre phishing-angrep

Det er et felles ansvar å beskytte organisasjonen, og alle ansatte må vite hvordan de skal gjenkjenne og reagere på ulike typer phishing-e-post. De ansatte blir ofte sett på som det svakeste leddet i en organisasjons forsvar mot phishing. Men de ansatte kan være din sterkeste ressurs hvis du gir dem riktig kunnskap og opplæring.

Les dette blogginnlegget for mer informasjon om hvordan du kan skape bevissthetstrening som dine ansatte vil elske!
Back to blog
Recent articles
Cybersikkerhet Bør du phishe kollegene dine? Det synes vi!

Phishing er den største sikkerhetstrusselen som bedrifter står overfor i dag. Derfor bør du lære opp dine ansatte i å gjenkjenne phishingforsøk.

Sarah Hofmann 7 min read - By Sarah Hofmann
Cybersikkerhet De 5 vanligste typene datainnbrudd og hvordan de påvirker virksomheten din

Oppdag de fem vanligste typene datainnbrudd og hvilke konsekvenser de kan ha for virksomheten din. Lær hvordan du kan beskytte sensitiv informasjon og sikre organisasjonen din

Arooj Anwar 5 min read - By Arooj Anwar
Cybersikkerhet Ransomware: Hva det er og hvordan du kan unngå det?

Løsepengevirus er en type skadevare som brukes til å utpresse selskaper. Her er noen konkrete tips til hvordan du kan unngå det.

Joanna Kwong 5 min read - By Joanna Kwong