Hvad er Phishing? Sådan Beskytter Du Din Virksomhed

Sara Ismar
By: Sara Ismar IT-sikkerhed | 31 januar

Phishing definition

Phishing er en slags cyberangreb, hvor cyberkriminelle bruger vildledende e-mails til at lokke dig til at videregive følsomme oplysninger. Disse oplysninger bruges derefter til at få adgang til vigtige konti, som kan resultere i identitetstyveri og store økonomiske tab. Efterhånden som phishing-angreb bliver hyppigere og mere sofistikerede, udgør de en af de største sikkerhedsrisici for virksomheder. 

Indholdsfortegnelse

Phishing-angreb er stigende 

Der er ingen tegn på et fald i antallet af Phishing-angreb. I 2020 var phishing den mest almindelige slags cyberkriminalitet og antallet af hændelser er næsten fordoblet i hyppighed i forhold til det foregående år. På globalt plan oplevede 75% af organisationer rundt om i verden en eller anden form for phishing-angreb i 2020. 

Der er ingen tvivl om, at pandemien har ændret landskabet for virksomheder ved at skabe usikkerhed og anspore til nye arbejdsvaner såsom fjernarbejde. Når det kombineres med tilgængeligheden af phishing-kits, som der gør det lettere end nogensinde før for cyberkriminelle at udsende angreb, står virksomheder over for den perfekte storm.  

I dette blogindlæg forklarer vi alt om, hvad phishing er, kendetegnene ved et angreb og de forskellige typer af phishing, som du skal være opmærksom på. Derefter kommer vi ind på, hvad du kan gøre for at forhindre din virksomhed i at blive en phishing-statistik. 

Typiske kendetegn ved phishing e-mails 

De fleste ved, at e-mails fra den "Nigerianske prins", der tilbyder dig en enorm sum penge, er et phishing-angreb. Men når cyberkriminelle bruger andre taktikker der udnytter din tillid, så kan selv de klogeste  blive ofre for phishing-angreb! Lad os se på de typiske kendetegn i en phishing e-mail: 

  • E-mailen indeholder dårlig grammatik og stavefejl.  Det mest tydelige tegn på en phishing e-mail er forkert brug af grammatik og dårlig stavning. De fleste virksomheder bruger autokorrektur- og stavekontrolværktøjer på deres afsendte e-mails, så vær forsigtig i det øjeblik, du modtager en e-mail, der er fyldt med fejl. 

  • E-mailen virker enormt usædvanlig. Hvis forespørgslen i e-mailen er ud over det sædvanlige og ikke normen i din virksomhed, så skal du være skeptisk. Et eksempel kunne være en person i din it-afdeling, der sender dig en e-mail om installationen af et program, når denne form for aktivitet normalt håndteres anderledes. 

  • E-mailen kræver hurtig handling. Phishing-e-mails bruger ofte trusler eller har en presserende karakter, som får dig til at reagere hurtigt, før du tænker rationelt. Faktisk omfattede de fem hyppigste emnelinjer for phishing-angreb i 2019 ordene presserende, forespørgsel, vigtigt, betaling eller OBS. 

  • E-mailen indeholder mistænkelige vedhæftede filer. Phishing e-mails indeholder typisk ondsindede vedhæftede filer eller hyperlinks til ondsindede websteder. Et impulsivt klik senere, så er din enhed inficeret, eller du har overdraget personlige identifikationsoplysninger, kreditkortoplysninger eller adgangskoder til de cyberkriminelle.

  • E-mailen er for god til at være sand. Ligesom eksemplet med den nigerianske prins, er e-mailen med al sandsynlighed et forsøg på phishing, hvis den opfordrer dig til at klikke på et link eller åbne en vedhæftet fil for at få en form for belønning. Hvis noget lyder for godt til at være sandt, så er det nok fordi det er det. 

Smart CTA_phishingcase DK

Phishing-e-mails er ofte rettet mod medarbejdere 

Cyberkriminelle har en tendens til at målrette mod det "svageste led" i virksomheden, og uden ordentlig cybersikkerhedstræning, vil det være dine medarbejdere. Nedenfor finder du et eksempel på en phishing e-mail, der er designet til at udnytte dine medarbejderes tillid og respekt for autoriteter. E-mailen informerer medarbejderne om en "ny evakueringsplan" på baggrund af ændrede statslige regler, og medarbejderen får også en stram tidsfrist til at læse og underskrive planen ved at klikke på det integrerede hyperlink.  

Hvad er et phishing-kit? 

En af grundene til, at phishing-angreb er blevet hyppigere, er tilgængeligheden af phishing kits. Et phishing-kit er en samling af softwareværktøjer, der gør det nemt for cyberkriminelle, uanset deres tekniske færdigheder, at starte phishing-kampagner. Dette skyldes, at kits typisk leveres komplet med e-mail-skabeloner, grafik og scripts, som der kan bruges til at skabe overbevisende efterligninger af legitime hjemmesider. Hvis phishing-kits er tilgængelige på det mørke web, så vil phishing-angreb sandsynligvis kun fortsætte. 

Berømte phishing-angreb 

Nogle phishing-angreb skaber overskrifter. Eksemplerne nedenfor illustrerer, hvordan selv de mest teknisk kyndige virksomheder er ofre for phishing-e-mails - men endnu vigtigere viser de, at angrebene kunne have været forhindret, hvis virksomhederne havde været mere proaktive med hensyn til at opbygge bevidsthed omkring phishing.  

For et par år siden blev Facebook og Google ofre for et phishing-angreb, der kostede mere end 100 millioner. En cyberkriminel oprettede en falsk virksomhed, der foregav at være en leverandør af computerdele, som var tilknyttet tech-giganterne og sendte phishing e-mails til specifikke medarbejdere, hvori de blev faktureret for varer og tjenester. 

Et andet eksempel er Sony Pictures, hvor medarbejderne modtog phishing e-mails, der så ud til at komme fra Apple. Ofrene blev bedt om at indtaste deres Apple ID i en falsk formular, og herfra var angriberen i stand til at finde deres Sony netværksloginoplysninger. Angrebet kostede virksomheden mere end 100 terabyte virksomhedsdata, herunder regnskaber og kundedata. 

Consequences of phishing - Infographic

Typer af phishing 

Spear phishing, vishing, smishing - listen er lang. Phishing har udviklet sig til mange typer. De adskiller sig dog på målet for angrebet og den metode, der anvendes til at udføre angrebet. Men hvad de alle har tilfælles er det samme endelige mål om at snyde sig til følsomme oplysninger fra offeret. Lad os gennemgå de forskellige typer phishing-angreb:  

  • Smishing 

  • Vishing 

  • CEO-Fraud 

  • Spear-phishing 

  • Whale phishing 

  • Barrel-phishing  

  • Pharming 

Smishing - phishing over tekstbeskeder  

Smishing er dybest set phishing via SMS. I lighed med phishing har sms'en følelse af, at det haster og ser ud til at komme fra en betroet kilde. Den vil indeholde et URL-link, der fører dig til et phishing-værktøj, som beder dig om at videregive private oplysninger. Her er et eksempel på et smishing-angreb med VISA kreditkort. 

Vishing – voice-phishing over telefonopkald  

Har du nogensinde modtaget et telefonopkald fra en person, der foregiver at være en fra Microsoft? Så har du været udsat for vishing eller voice-phishing. Selvom du måske tænker "hvilken fornuftig person ville falde for sådan noget?", du vil blive overrasket over, hvor mange mennesker der overbevises om at installere software, som i virkeligheden er malware, efter bare en smule fiflen med opkalds-id’et og lidt overtalelse. Tjek eksempler på almindelige vishing angreb her. 

CEO-Fraud – foregivelse af at være en virksomhedsleder 

CEO-Fraud, også kendt som direktør-phishing, er en form for cyberkriminalitet, hvor angriberen foregiver at være en administrerende direktør (CEO), CFO eller en anden virksomhedsleder via e-mail. Det virker, fordi det udnytter din tillid til autoriteter, hvilket får dig til at efterkomme deres forespørgsel uden at tænke videre over det. 

Spear-phishing - angreb rettet mod specifikke medarbejdere 

Spear-phishing er en målrettet form for phishing. I stedet for at sende generiske masse e-mails, så undersøger angriberen nøje, hvordan de kan udforme bedrageriske meddelelser, der appellerer til en bestemt person eller gruppe inden for en organisation. Selvom dette kræver mere arbejde for cyberkriminelle, så fører det til højere succesrater, da folk sænker paraderne, når e-mailen ser ud til at komme fra en person, som de kender. 

Whale-phishing - angreb rettet mod topledere 

Whale-phishing, hvalfangst eller hval-phishing, er en form for spear-phishing rettet mod de "store fisk" såsom administrerende direktører eller andre højt profilerede personer. Den cyberkriminelle drager her fordel af de offentligt tilgængelige oplysninger om disse personer til at skræddersy phishing e-mailen. For eksempel kan en hvalfangst e-mail angive, at virksomheden kan risikere en retssag eller er kan få sit omdømme skadet på grund af en nylig offentlig begivenhed eller handling, som lederen har begået. Hvis du vil se virkelige eksempler på hvalfangst, så tjek denne blog. 

barrel-phishing – at sende én "uskyldig" e-mail før phishing e-mailen  

Også kaldet "dobbelt-barreling" eller tønde-phishing - denne taktik indebærer at sende to separate e-mails, hvoraf den første er madding og den anden er den e-mail, som indeholder den ondsindede vedhæftede fil. Den første e-mail kan se ud at komme fra din kollega og der kan for eksempel stå "Hej, er du på kontoret? Jeg har brug for hjælp i et øjeblik". Formålet med denne godartede e-mail er at etablere tillid og troværdighed, som får dig til at sænke paraderne. Derefter kommer den opfølgende e-mail, som kan lyde noget i retningen af "Hej igen, kan du venligst gennemgå denne rapport hurtigst muligt?". Denne e-mail vil indeholde et ondsindet link, der fører dig til en spoof-hjemmeside. 

Pharming 

Pharming er når cyberkriminelle uden du ved det omdirigerer din webside-anmodning til et websted, der ligner det rigtige, såsom din banks hjemmeside. På denne måde er cyberkriminelle i stand til at opsnappe dine logindata og kan bruge dem til at få adgang til din konto. I modsætning til phishing, hvor angrebet sker via elektronisk kommunikation, foregår pharming direkte i browseren. Hvordan virker det? I korte træk manipulerer cyberkriminelle domænenavnssystemet (DNS), som er det system, der forbinder webbrowsere til websteder. Af denne grund er denne form for angreb ekstremt sofistikerede og vanskelige at genkende. 

Sådan forhindrer du phishing 

Så hvordan undergår man at tage maddingen? To specifikke foranstaltninger, der hjælper dig med at beskytte din virksomhed mod phishing-angreb, er sandboxing og pen-test med simuleringer. Men når det er sagt, så er det mennesker, som der er mål for phishing-forsøg, og derfor skal mennesker være det primære forsvar mod dem! Derfor er det første tiltag til at forhindre phishing-angreb at skabe opmærksomhed omkring phishing og indgyde en god sikkerhedskultur i din virksomhed. 

How to prevent Phishing - Infographic

Sandboxing af indgående e-mails 

"Sandboxing" er en proaktiv forsvarsteknik, som din it-sikkerhedsafdeling kan implementere. Det indebærer kontrol af sikkerheden af e-mails, webadresser eller vedhæftede filer, som der ikke er tillid til, i et isoleret testmiljø, før de når dit netværk eller din mailserver. Denne teknik giver et ekstra lag af beskyttelse ud over de traditionelle filtre, der scanner indgående e-mails. 

Pen-test med phishing-simulering 

Penetrationstest eller pen-test er en sikkerhedstræningsøvelse, der tester organisationens beredskab mod phishing. En måde at gøre dette på er gennem simulerede phishing-angreb, hvor dine medarbejdere kan træne deres færdigheder i at spotte falske e-mails. Du kan gennemføre denne øvelse på egen hånd eller arbejde med en ekstern træningspartner (som os), alt afhængigt af dine mål. Baseret på resultaterne kan du identificere svage punkter og udtænke strategier til uddanne dine medarbejdere yderligere.  

Phishing-bevidsthed 

Når du lærer at få øje på tegnene af phishing, kan du bedre beskytte dig selv og din virksomhed mod angreb. Derfor er phishing-bevidsthed nøglen, når det kommer til forebyggelse. Men et engangs-lynkursus er ikke nok. Efterhånden som phishing-angreb fortsætter med at udvikle sig, er løbende træning  afgørende for at skabe et opmærksomt hold. Faktisk kan du, ved at kombinere simuleringer med løbende awareness-træning, styrke dit team til at blive en stærk frontlinje i forsvaret. Awareness-træning kan finde sted gennem digital e-læring, fysisk undervisning eller en blanding af begge. 

Vores undersøgelser viser, at efter kontinuerlig awareness-træning og phishing-tests, brugere har reduceret deres fejl med 50% under simuleret phishing-angreb.

Phishing effect

Skab en god sikkerhedskultur 

Sidst men ikke mindst, skal du kabe en cybersikkerhedskultur, der fremmer sikker adfærd og giver folk mulighed for at sige til, hvis noget lugter phishy. For eksempel skal du sørge for, at du har en handlingsplan på plads i tilfælde af et cyberangreb, og at dit hold ved, hvem de skal gå til. Etableringen af denne plan og definition af roller og forventninger er en af de mange fordele ved at køre en phishing-simulering.  

Derudover skal du opfordre dit hold til altid at bede om hjælp, hvis de er i tvivl, og til ikke at være bange for at begå fejl. På denne måde føler medledemmerne af holdet sig "sikre" i at rapportere det, hvis skaden er sket, og der er klikket på en phishing e-mail. Resultatet er, at de nødvendige foranstaltninger kan implementeres hurtigere, og skaden reduceres dermed betydeligt.  

Til sidst skal du også belønne holdmedlemmer, der rapporterer phishing e-mails, måske gennem en fremvisning af "dagens fangst". Sørg også for at hjælpe dit hold med at have gode digitale vaner og være på udkig ved at downloade vores gratis cybersikkerhedsplakater, som der kan hænges rundt på jeres kontor! 

Opsummering

I dette blogindlæg har vi opridset, hvad phishing er, og hvorfor det er en af de største sikkerhedstrusler, virksomheder står over for i dag. Vi har lært, at phishing findes i alle former og størrelser, og at alle i organisationen kan være mål for phishing-angreb. Af denne grund har det aldrig været vigtigere at skabe bevidsthed omkring phishing gennem cybersikkerhedstræning. Ved at sikre den menneskelige del af forebyggelsen reducerer du betydeligt chancerne for, at din virksomhed bliver phisherens nyeste fangst!