De anställda är företagets största tillgång, men också den svagaste länken

Security Blogg
14.12.2021

De anställda är företagets största tillgång, men också den svagaste länken

Personalen på ett företag är verksamhetens viktigaste resurs, men de är också den svagaste länken när det kommer till IT-säkerhet. Metoderna för s.k. phishing har idag blivit väldigt sofistikerade vilket gör det svårare att urskilja ”fula mejl” eftersom de i många fall imiterar innehållet från något/någon du känner igen. Något som lurar även de erfarna att klicka…

 
Vad är Phishing?

Phishing heter nätfiske på svenska och är en omskrivning från engelskans fishing. Oftast sker phishing via e-post eller SMS som ser ut att komma från en avsändare som mottagaren känner igen. På företag luras ofta en anställd genom ett mejl som ser ut att komma från en kund, leverantör eller det egna företaget. Mottagaren luras till att exempelvis klicka på en länk som innehåller skadlig kod och infekterar mottagarens dator eller uppge inloggnings- eller bank-uppgifter. Det finns olika typer av phishing. Förutom vanlig phishing som är ett brett spritt mejl eller sms som skickas till ett antal mottagare så finns det även s.k. spear-phishing och whaling.

Spear-phishing fokuserar på specifika mål där inkräktaren gjort efterforskningar kring den som är mottagare, vilket gör att det är svårt för mottagaren/målet att urskilja att det är ett försök till phishing.

Whaling är i stort samma som spear-phishing men fokuserar på till exempel en finanschef, VD eller annan högt uppsatt i ett företag. Lyckas angriparen med sin attack har det ofta förödande konsekvenser med stora ekonomiska förluster för företaget.

Låt oss ta ett exempel på hur en phishing-attack kan gå till:

Du jobbar på företaget 123invest AB och får ett mejl som ser ut att komma från den interna IT supporten som uppger att du måste byta lösenord. Mejlet innehåller företagets logo och länken ser ut att gå till företagets interna system. Du klickar på länken och loggar in… Du har nu gett bort dina inloggningsuppgifter till den som skickade mejlet.

Angriparen kan nu med din inloggning använda tex. din mejl till att skicka mejl till din kollega Anna. Eftersom mejlet kommer från dig så klickar så klart Anna på länken och vips så har Anna ett litet program (s.k. virus/trojan) på sin dator som ser vad Anna gör. Eftersom Anna är administratör i företagets ekonomisystem så kan nu skurken komma åt företagets ekonomi och t.ex. ställa ut betalningar till sig själv.

I exemplet ovan är det även lätt för skurken att komma åt gemensamma filytor såsom G: eller Teams. Detta betyder att det är möjligt för bedragaren att utsätta företaget för ett s.k. ransomware – alla filer krypteras och ingen kan komma åt/läsa filerna. Företaget uppmanas då att betala en stor summa pengar för att få filerna upplåsta.

Ett växande problem

Enligt FBI:s Internet Crime Report (IC3) från 2020 fördubblades antalet phishing-attacker och kostade amerikanska företag mer än 1,8 miljarder dollar. Attackerna har blivit mer sofistikerade under de senaste åren med betydande framsteg inom social engineering, vilket sätter högre krav på både företag såväl som privatpersoner. Cyberkriminella har utvecklat sina metoder från vanliga VD-bedrägerier till branschspecifika bedrägerier mot exempelvis finansiella företag, fastighet- och byggbranschen, eller presentkortsbedrägerier mot privatpersoner.

Så hur kan du förhindra att falla offer för en phishing-attack?
  • Kolla på detaljerna i mejlet; Ser logon rätt ut? Är stavning och språkbruk korrekt?
  • Kontrollera länkar genom att hålla muspekaren ovanför dem för att synliggöra adressen. Gör detsamma med avsändarens adress.
  • Om du får ett meddelande från en person du känner som verkar tvivelaktigt – tveka aldrig att höra av dig till personen på telefon för att säkerhetsställa att meddelandet verkligen kommer från personen i fråga.
  • Använd lösenord som inte går att gissa, sätt tex ihop flera ord; yesterDaythe5kywasPINK!
  • Använd multifaktorautentisering (MFA) vid inloggning; verfiering via t.ex. en app eller sms i telefonen tillsammans med lösenord.
  • Se till att din dator är skyddad genom att aktivera/installera brandvägg och antivirusprogram.
  • Lämna aldrig ut kreditkortuppgifter, inloggningsuppgifter etc. över mejl eller sms.
  • Och framför allt…. klicka aldrig på en länk eller fil som upplevs suspekt.

 

Vi rekommenderar alla företag att arbeta proaktivt med utbildning av anställda i denna typ av frågor för att förebygga och minska risken för ”inbrott”. Vi på Advania kan hjälpa er med utbildningar av personal och vägledning inom informationssäkerhet. 

Vill du veta mer?

Läs mer här om hur vi kan hjälpa er.

Skribenter

Nathalie Åhlander
Information Security Consultant

Camilla From
Security Consultant


Back
?i