Nätfiske är ett problem för organisationer av alla storlekar. Faktum är att de flesta dataintrång börjar med ett nätfiskemejl. Det är inte konstigt att nätfiske blivit vanligare då det är en mycket effektiv metod för cyberkriminella att stjäla information, utpressa företag och få tillgång till system. I det här blogginlägget går jag igenom tre vanliga typer av nätfiske som ditt företag bör känna till. Du kan också läsa om varför företag drabbas av nätfiskeattacker och hur du kan stärka ditt företags IT-säkerhet genom att utbilda dina anställda.
Varför företag drabbas av phishing
Nätfiske är den vanligaste orsaken bakom dataintrång. Även om nätfiske har funnits länge är det fortfarande ett hot mot de flesta organisationer. Men varför är företag, och troligen även din organisation, i riskzonen för nätfiskeattacker?
En anledning är att nätfiskemejl har blivit mycket mer sofistikerat och svårare att identifiera. Dagens IT-kriminella är experter på att skapa nätfiskekampanjer som ser ut som legitima meddelanden som skickats från betrodda varumärken eller till och med någon av dina medarbetare.
Här är ytterligare några skäl till varför IT-kriminella utför nätfiskeattacker:
- Din organisation har värdefull eller känslig information som IT-kriminella vill komma åt. De kan senare använda informationen för att utpressa ditt företag eller lura dina kunder.
- Du har system, t.ex. e-postsystem eller finansiella system, som angriparna vill komma åt.
- IT-kriminella kan rikta in sig på din organisation för att lura anställda att skicka pengar till dem eller klicka på en länk som innehåller skadlig kod.
- Slutligen investerar de flesta organisationer inte tillräckligt med resurser i utbildning i IT-medvetenhet, vilket leder till att många anställda saknar kunskap om hur man identifierar och hanterar nätfiskeattacker på jobbet.
Detta är några av orsakerna till att ditt företag kan bli måltavla för en nätfiskeattack. Här näst kommer tre vanliga nätfiskeattacker som du bör vara uppmärksam över.
3 vanliga typer av phishing mot företag
Traditionella nätfiskemejl strävar efter att få så många människor som möjligt att utföra en viss handling, t.ex. klicka på en länk eller överföra en summa pengar. De flesta känner till och kan upptäcka dessa ganska uppenbara falska e-postmeddelanden. Vilket är toppen!
Men verkligheten är att många av dagens nätfiskeattacker inte är skapade med detta syfte, utan satsar istället på kvalitet framför kvantitet. Nätfiskemejl som riktar sig mot företag är ofta anpassade efter specifika organisationer eller anställda och riktar sig mot ett företag i taget. De sträcker sig från relativt små ansträngningar till mycket välformade och personliga nätfiskekampanjer.
Tre typer av nätfiskeattacker som använder dessa sofistikerade tekniker är spear-phishing, whaling och VD-bedrägeri.
1. Spear phishing
Spear-phishing (alt. spjutfiske) är en nätfiskemetod där cyberkriminella utger sig för att vara en anställd inom organisationen som attacken riktar sig mot. Det är logiskt att de flesta anställda inte är misstänksamma mot mejl som kommer från någon inom organisationen. Tyvärr utnyttjar cyberbrottslingar denna tillit mellan kollegor och använder den för att lura dina anställda att avslöja känsliga uppgifter, betala en "försenad" räkning eller klicka på en länk som är infekterad med skadlig kod.
Spear-phishing bygger på social manipulation
De flesta spear-phishingmejl har något gemensamt, de använder sig av social engineering, även känt som social manipulation, för att styra beteenden och utnyttja de känslor och misstag som gör oss människor till människor.
Det är troligt att du kommer att stöta på social engineering om du mottar ett nätfiskemejl. Du kan till exempel bli lovad ett presentkort som den första personen att utföra en viss åtgärd, eller så kan mejlet innehålla en kort tidsgräns eller en falsk känsla av brådska. Så var alltid uppmärksam när du ser dessa tecken!
Exempel på en spear-phishing kampanj
De flesta människor är omedvetna om hur övertygande spear-phishing kan vara och hur lätt det är att bli lurad. Vi såg detta hända i en av våra simulerade nätfiskekampanjer som vi använde för att utbilda anställda i att identifiera nätfiskemejl.
Vår iscensatta attack bestod av vad som verkade vara en ny nödutrymningsplan som "alla anställda måste läsa". 30 % av dem som fick nätfiskemejlet klickade på länken i e-postmeddelandet. Denna handling öppnade en falsk version av deras företags interna arbetssystem.
Nästan alla av dem som klickade på länken försökte logga in i det falska systemet. Genom att göra detta avslöjade de sina riktiga användarnamn och lösenord. Med andra ord var dessa anställda inte så uppmärksamma som de trodde att de skulle vara.
2. Whaling - spear-phishing riktat mot chefer
Whaling (valfångst) är en typ av spear-phishing attack som riktar sig mot verkställande direktörer och högre chefer. Syftet är att lura chefer genom att utge sig för att vara en anställd, kund eller partner. Måltavlorna för valfångstattacker är noggrant utvalda och kampanjerna bygger ofta på omfattande forskning som angriparen har gjort om personen och organisationen.
Det är vanligt att cyberkriminella riktar sig mot beslutsfattare eftersom färre personer inblandas i processen, vilket gör det mindre sannolikt att bluffen uppmärksammas. Till exempel kan ett valfångstmejl innehålla en faktura från en leverantör som endast VD:n övervakar innan transaktionen genomförs.
Kvaliteten på dessa kampanjer i kombination med måltavlornas makt gör valfiske till en farlig typ av nätfiske. För att vara förberedda mot dessa typer av attacker bör chefer vara medvetna om tecknen på valfångst och känna till hur de ska agera vid en attack.
3. VD-bedrägeri inom phishing
Vem avsändaren är spelar en viktig roll för hur och när vi läser och svarar på mejl, särskilt när avsändaren är en chef eller annan högt uppsatt person, enligt vår rapport om de mest framgångsrika nätfiskekampanjerna. Cyberkriminella är väl medvetna om våra vanor, och vi ser många organisationer falla offer för denna typ av bedrägeri.
VD-bedrägeri är en nätfiskemetod där cyberkriminella utger sig för att vara en VD eller chef inom företaget. Metoden bygger på att de anställda "gör som de blir tillsagda" utan att ifrågasätta de med högre position inom företaget.
VD-bedrägeri kan få allvarliga konsekvenser för din organisations rykte och ekonomi
VD-bedrägeri används för att lura anställda att avslöja känsliga uppgifter eller överföra pengar i den falska tron att de agerar på begäran av sin chef. FBI varnar om att cyberkriminella använder deepfakes för att återskapa personers röster. Denna AI teknik har även blivit vanlig inom VD-bedrägeri, och gör att kriminella kan förfalska rösten på en chef eller VD för att göra bluffen mer trovärdig.
VD-bedrägeri kan få allvarliga konsekvenser för din organisations ekonomi och anseende. I Storbritannien ökade antalet fall av VD-bedrägerier med 29 % och förlusterna orsakade av VD-bedrägeri ökade med 165 % till 12,7 miljoner pund 2021. För att skydda ditt företag mot VD-bedrägeri är dina anställdas förmåga att identifiera och reagera på rätt sätt ditt starkaste försvar.
I nästa avsnitt går jag igenom hur du kan förbereda dina anställda mot de ovan nämnda nätfiskeattackerna och på så sätt stärka ditt IT-säkerhetsförsvar.
Hur du skyddar ditt företag mot phishing
Du känner nu till varför och hur bedragare kan rikta in sig på din organisation. Men för att skydda ditt företag behöver inte bara du utan alla anställda vara medvetna om riskerna och förstå det individuella ansvaret som finns. Med rätt typ av utbildning och åtgärder kan du förbereda dina medarbetare och hålla din organisation bättre skyddad.
Använd dessa tre strategier för att stärka dina anställda mot nätfiskeattacker:
Utbilda dina anställda om phishing
Se till att dina anställda är ditt starkaste försvar genom att ge dem rätt utbildning. Nätfiskeattacker utnyttjar och manipulerar människors beteende. Om de känner till de olika metoderna och teknikerna bakom nätfiske kommer dina medarbetare att bli mer medvetna om hur och när de blir lurade.
Använd den här guiden för att skapa ett utbildningsprogram i nätfiske och social engineering.
Det är också viktigt att dina medarbetare vet vad de ska göra när de får ett nätfiskemejl, eftersom det krävs att de anställda varnar varandra och att potentiella bedrägerier rapporteras för att hålla din organisation skyddad.
Öva på att identifiera phishingmejl genom simulerade attacker
Medan de flesta av oss känner oss trygga i vår förmåga att upptäcka ett nätfiskemejl som lovar en gratis resa runt jorden, kommer en del ha svårt att upptäcka de nätfiskeattacker som diskuteras i detta inlägg. Att skicka ut simulerade nätfiskemejl är ett praktiskt sätt att träna anställda i att känna igen och vidta rätt åtgärder mot olika typer av nätfiskeattacker.
Att få ett simulerat nätfiskemejl, och kanske till och med falla för betet, kan få vissa anställda att inse vikten av utbildning och hur lätt det faktiskt är att bedras när man inte är observant.
Falska nätfiskemejl kan också avslöja om dina anställda vet hur de ska rapportera riktiga nätfiskemejl. Om du inte får de resultat du hoppats på kan dina anställda behöva en påminnelse om rapporteringsprocessen eller göra det lättare för dem att följa den.
Här hittar du våra bästa tips om hur du skapar ditt eget simulerade nätfiskemejl
Gör IT-säkerhet till en del av din företagskultur
För att göra IT-säkerhet mer synligt och omtalat rekommenderar vi att du använder olika läromedel. Förutom utbildning och simulerade nätfiskemejl kan du avsätta tid för frågor under möten eller hänga upp affischer på kontoret. Vi har skapat våra egna gratis affischer som fungerar som roliga påminnelser och bidrar till att skapa diskussioner om IT-säkerhetsfrågor.
Slutligen, prata om cybersäkerhet i din organisation och gör det regelbundet. Detta kommer inte bara att påminna dina anställda om riskerna men också uppmuntra dem att ställa frågor och föra fler diskussioner om säkerhet.
För att sammanfatta det hela
Nätfiskeattacker har blivit svårare att upptäcka eftersom de numera är skräddarsydda efter de specifika organisationer som de riktar sig till. Samtidigt gör ny teknik och AI-verktyg som ChatGPT det lättare än någonsin för cyberkriminella att utföra nätfiskeattacker. Att skydda din organisation är ett gemensamt ansvar, och alla anställda måste veta hur de ska upptäcka och agera när de får ett nätfiskemejl. Anställda ses ofta som en organisations svagaste länk, men de kan också bli ditt starkaste försvar när du utrustar dem med rätt kunskap och utbildning.