Säkerhet 2021.12.14

Medarbetarna: din största tillgång, men också den svagaste länken

Personalen är verksamhetens viktigaste resurs, men de är också den svagaste länken när det kommer till IT-säkerhet. Metoderna för s.k. phishing har idag blivit väldigt sofistikerade vilket gör det svårare att urskilja ”fula mejl” eftersom de i många fall imiterar innehållet från något/någon du känner igen. Något som kan lura även den mest erfarna att klicka.

Vad är Phishing?

Phishing heter nätfiske på svenska och är en omskrivning från engelskans fishing. Oftast sker phishing via e-post eller SMS som ser ut att komma från en avsändare som mottagaren känner igen. På företag luras ofta en anställd genom ett mejl som ser ut att komma från en kund, leverantör eller det egna företaget. Mottagaren luras till att exempelvis klicka på en länk som innehåller skadlig kod och infekterar mottagarens dator eller uppge inloggnings- eller bank-uppgifter. Det finns olika typer av phishing. Förutom vanlig phishing som är ett brett spritt mejl eller sms som skickas till ett antal mottagare så finns det även s.k. spear-phishing och whaling.

Spear-phishing fokuserar på specifika mål där inkräktaren gjort efterforskningar kring den som är mottagare, vilket gör att det är svårt för mottagaren/målet att urskilja att det är ett försök till phishing.

Whaling är i stort samma som spear-phishing men fokuserar på till exempel en finanschef, VD eller annan högt uppsatt i ett företag. Lyckas angriparen med sin attack har det ofta förödande konsekvenser med stora ekonomiska förluster för företaget.

Låt oss ta ett exempel på hur en phishing-attack kan gå till:

Du jobbar på företaget 123invest AB och får ett mejl som ser ut att komma från den interna IT supporten som uppger att du måste byta lösenord. Mejlet innehåller företagets logo och länken ser ut att gå till företagets interna system. Du klickar på länken och loggar in… Du har nu gett bort dina inloggningsuppgifter till den som skickade mejlet.

Angriparen kan nu med din inloggning använda tex. din mejl till att skicka mejl till din kollega Anna. Eftersom mejlet kommer från dig så klickar så klart Anna på länken och vips så har Anna ett litet program (s.k. virus/trojan) på sin dator som ser vad Anna gör. Eftersom Anna är administratör i företagets ekonomisystem så kan nu skurken komma åt företagets ekonomi och t.ex. ställa ut betalningar till sig själv.

I exemplet ovan är det även lätt för skurken att komma åt gemensamma filytor såsom G: eller Teams. Detta betyder att det är möjligt för bedragaren att utsätta företaget för ett s.k. ransomware – alla filer krypteras och ingen kan komma åt/läsa filerna. Företaget uppmanas då att betala en stor summa pengar för att få filerna upplåsta.

Ett växande problem

Enligt FBI:s Internet Crime Report (IC3) från 2020 fördubblades antalet phishing-attacker och kostade amerikanska företag mer än 1,8 miljarder dollar. Attackerna har blivit mer sofistikerade under de senaste åren med betydande framsteg inom social engineering, vilket sätter högre krav på både företag såväl som privatpersoner. Cyberkriminella har utvecklat sina metoder från vanliga VD-bedrägerier till branschspecifika bedrägerier mot exempelvis finansiella företag, fastighet- och byggbranschen, eller presentkortsbedrägerier mot privatpersoner.

Så kan du förhindra att falla offer för en phishing-attack

  • Kolla på detaljerna i mejlet; Ser logon rätt ut? Är stavning och språkbruk korrekt?
  • Kontrollera länkar genom att hålla muspekaren ovanför dem för att synliggöra adressen. Gör detsamma med avsändarens adress.
  • Om du får ett meddelande från en person du känner som verkar tvivelaktigt – tveka aldrig att höra av dig till personen på telefon för att säkerhetsställa att meddelandet verkligen kommer från personen i fråga.
  • Använd lösenord som inte går att gissa, sätt tex ihop flera ord; yesterDaythe5kywasPINK!
  • Använd multifaktorautentisering (MFA) vid inloggning; verfiering via t.ex. en app eller sms i telefonen tillsammans med lösenord.
  • Se till att din dator är skyddad genom att aktivera/installera brandvägg och antivirusprogram.
  • Lämna aldrig ut kreditkortuppgifter, inloggningsuppgifter etc. över mejl eller sms.
  • Och framför allt…. klicka aldrig på en länk eller fil som upplevs suspekt.

Vi rekommenderar alla företag att arbeta proaktivt med utbildning av anställda i denna typ av frågor för att förebygga och minska risken för ”inbrott”. Vi på Advania kan hjälpa er med utbildningar av personal och vägledning inom informationssäkerhet. 

Behöver du stöd i ditt säkerhetsarbete?

Vi hjälper dig att skydda din verksamhet proaktivt. Läs mer om våra erbjudanden inom Säkerhet →

Skribenter

Nathalie Åhlander
Information Security Consultant

Camilla From
Security Consultant

 

Relaterat innehåll

Säkerhet
2024.05.29

Stabila samarbeten mot oväntade hot

På flaggskeppeventet Fortinet Security Day uppstod viktiga samtal om cybersäkerhet och NIS2! Du som besökte eventet fick även se oss på scen i ett kundcase tillsammans med Sitevision där vi berättade mer om våra dagliga...

Säkerhet
2024.03.04

Öka medvetenheten om cyberhot

Känns det som att din verksamhet har en trygg krisberedskap för IT-incidenter? En bra början är att skapa rutiner som hjälper till att stärka medarbetarnas medvetenhet och som gör att det finns en trygg plan att luta sig mot...

Sveriges bästa branschblogg inom IT

Håll dig i loopen och prenumerera på vår blogg där vi bjuder på insikter, åsikter & inspiration!