Hvorfor er phishing egentlig farligt?
Vi har både et godt spamfilter, to-faktor aktiveret, og vores medarbejdere har fået at vide, at de skal være opmærksomme.
Ovenstående hører vi ofte.
Alle intiativerne er gode, men det betyder ikke, at man er 100% sikret imod phishing. I dette blogpost vil vi komme ind på, hvad der kan gå galt, og vi vil addressere nogle myter om phishing.
Vi fokuserer kun på email-phishing her, men mange af de samme ting gælder smishing, vishing, quishing osv..
Hvad er phishing
Phishing er en form for social engineering, der gennem emails forsøger at lokke informationer ud af folk eller at få adgang til data og it-systemer.
Det gør phishing ved at give sig ud for at være f.eks. en bank eller en virksomhed du kender. De sender mails, sms'er eller andet for at få dig til at klikke på links og give dem adgang.
Så er det på plads. Lad os hoppe ud i det.
Phishing er manipulerende af natur
Phishing handler om bedrag. Cyberkriminelle sender beskeder for at få dine medarbejdere til at reagere. Derfor er beskederne ofte fyldt med tricks, der udnytter psykologi og menneskelige sårbarheder. Alle de samme tricks som sælgere og marketing-folk har det med at gøre brug af - bare med et mere ondsindet formål. De spiller på jeres medarbejderes følelser for at få paraderne ned.
Derfor, er det heller ikke altid nok at fortælle dine medarbejdere, at de "skal være opmærksomme". Der er ofte større kræfter på spil, og det kræver træning.
Lad os gå gennem nogle af myterne om phishing
Vi hører ofte nogle tiltag fra IT-chefer der gør, at phishing ikke er et problem for dem. Men disse tiltag bygger ofte på nogle myter og er ikke i sig selv nok til at modstå truslen.
Lad os hoppe nogle termer først og bagefter myterne.
Hvis du allerede kender disse termer, kan du med fordel scrolle forbi dem.
Hvad er Anti-virus software
Anti-virus software er designet til at undgå, spotte og fjerne virus fra computere og systemer. Det tjekker kontinuerligt programmer og systemer for usædvanlig aktivitet. Den holder sine tjeks op med kendte malware-typer og giver besked, hvis den finder noget.
Hvad er Anti-malware software
Anti-malware software er et paraply-term for software, der beskytter dine systemer for malware som ransomware, spyware, adware og andet ondsindet software.
Anti-malware software prøver at fange ny malware, så det ikke bliver installeret f.eks. ved at scanne filer, inden de bliver installeret.
Hvad er VPN (Virtual Private Network)
En VPN-service sikrer en sikker og krypteret online connection. Det styrker brugerens privacy ved at skjule hans/hendes lokation.
Sådan, lad os springe ud i myterne.
Myte 1: VPN beskytter os imod phishing-angreb
Vi hører nogle gange, at folk ikke bekymre sig imod phishing, da de har VPN'er på alle brugeres computere.
VPN'er er et godt tiltagt, men det sikrer ikke en imod phishing-scenarier.
VPN'er er med til at kryptere data og skjule IP-adresser, men VPN'er beskytter ikke imod malware, social engineering og phishing-angreb.
VPN'er sikrer heller ikke imod dine medarbjedere klikker en phishing-mail, giver data væk eller installere malware på deres computer.
Det kan godt være, at de kriminelle ikke kan se dine medarbejderes rigtige IP-adresse, men de får stadig den data, som din medarbejder indtaster. Hvilket jo oftest er det, som de er ude efter.
Myte 2: Anti-Malware software sikrer os mod phishing-angreb
Intet ondt ord om anti-malware software eller anti-virus software.
Det er gode tiltage til at sikre en imod meget malware.
Men heller ikke dette hjælper dig i alle phishing-scenarier.
Ja, de kan måske spotte noget malware fra en phishing-mail inden det bliver installeret i nogle tilfælde.
Men...
Det sikrer kun imod allerede kendt malware. Skulle en phishingmail få dig til at downloade et nyt stykke malware, som softwaren ikke kender, så er du kort sagt på skideren.
Derudover er formålet med phishing IKKE altid at installere malware på dine systemer. Nogle gange er de ude efter data såsom brugernavne og passwords. Og det hjælper anti-malware ikke med at undgå.
Her er det dine medarbejdere, der skal være dit forsvar, som ikke indtaster dette på phishing-sider.
Myte 3: To-Faktor Autentificering sikrer os mod alle medarbejdere der klikker og giver data væk
Two Factor Authentication (2FA) er et must i din IT-sikkerhed.
Faktisk viser nogle rapporter at to-faktor kan hjælpe dig med at modstå op ti 99% af alle hackerangreb.
Så har du ikke det slået til hos alle dine medarbejdere, så er det med at komme igang.
Det sikrer dig dog ikke 100% imod phishing.
Hvis en medarbejder giver et password væk, så ja, så kan to-faktor sikre, at den kriminelle ikke kommer igennem.
Men...
1. Er du 100% sikker på, at ALLE medarbejdere har 2-faktor implementeret? Det kan være svært at sikre.
2. Det er ikke altid passwords, som de kriminelle er efter.
Nogle gange er de på jagt efter andet data, eller netop ude efter at installere malware på jeres systemer. I disse tilfælde, hjælper to-faktor ikke.
Myte 4: Alle eksterne mails er markeret og sikre
Vi har hørt ovenstående myte før. Vi vil ikke bruge for lang tid på den.
For det korte svar er, nej.
Mailsystemer bliver bedre til at spotte phishing-mails, ja. Men de cyberkriminelle bliver også bedre og bedre til at snyde mailsystemerne. Der vil dryppe et par phishingmails igennem engang imellem, og her er du afhængig af, at dine medarbejdere spotter dem.
Myte 5: Hvis man er på ens virksomheds netværk eller vpn, er man sikker imod phishing
Nogle virksomheder sikrer, at deres medarbejder kun brugeres deres netværk eller VPN. Men som nævnt oppe om myten om VPN's, så sikrer det ikke imod at medarbejdere kan klikke phishing-links og give data væk
Forstå faren ved phishing
Der er en risiko ved phishing-mails.
Det at åbne en phishingmail er for det meste ikke særlig farligt, men hvis du svarer på den, kigger på vedhæftede filer eller klikker på links, så stiger risikoen.
Det er klart, at den største risiko ligger i at åbne filer, klikke på links og dele data.
Lad os dykke ned i det.
Hvad sker der, hvis man åbner en phishing-mail?
Oftest sker det ingenting ved at åbne en phishing-mail.
Dog kan nogle cyberkriminelle få data på, hvorvidt deres mails bliver åbnet. Hvis de kan se, at en af dine medarbejdere har åbnet deres mail, så kan de finde på at målrette fremtidige angreb imod denne medarbejdere.
For deres første step, er at få folk til at åbne mails'ene.
De ved også, at der er et rigtigt menneske på den anden side af mailen, når den bliver åbnet. Derfor kan det åbne op for, at de bruger mere tid på at researche denne person for at målrette endnu mere sofistikerede angreb mod dem.
Lav risiko - trussel: Risikoen ved at åbne en phishingmail er lav. Der sker højest sandsynligvis ingenting ved det. I får formentlig ikke malware blot ved at åbne mailen, da dette oftest kræver, at man downloader et eller andet.
Hvad sker der hvis du svarer på en phishingmail
Hvis dine medarbejdere vælger at svare på en phishingmail. Enten fordi, at de tror den er reel, eller for at finde ud af om det er en phishingmail, så åbner de op for nogle potentielle risici.
Selve det at svare er i sig selv ikke farligt. Men, det betyder at din medarbejder kommer i dialog med scammeren og de får også informationer om medarbejderen gennem f.eks. mail-signaturen.
Det kan de kriminelle bruge til at skabe tillid gennem næste mail og deres svar, hvilket højner risikoen for, at din kollega ender med at klikke på et link. Måske ikke i denne mailtråd, men det giver dem også informationer om, hvordan de kan målrette nye angreb.
Medium risiko - trussel: At svare på en mail er ikke i sig selv farligt, men det giver de kriminelle flere informationer, som de kan udnytte. Det bedste råd er altså at ignorere mails du er i tvivl om og istedet få bekræftet en identitet gennem andre kilder.
Hvad sker der, hvis du klikker på et link i en phishing-mail?
Nu begynder det at blive mere kritisk.
Ved at klikke på et phishing-link risikerer du at installere malware og måske endda ransomware.
Uheldet kan altså være ude allerede ved et klik, og jeres systemer i fare.
Det er dog langt fra altid, at dette sker. Ofte vil man blive ført videre til en hjemmeside, der kræver en handling mere, f.eks., at logge ind eller downloade noget.
Det er dog her, hvor det begynder at blive kritisk, og det er vigtigt, at jeres medarbejdere tager fat i jer i IT-afdelingen, hvis noget er blevet klikket.
Høj risiko - trussel: At klikke på et link i en phishingmail betyder ikke nødvendigvis at verden brænder, men det kan ske. Og nu er vi et sted, hvor der skal reageres. Der kan blive installeret malware, spyware eller andet gris i jeres systemer. Forhåbentligt, sker det dog ikke, og ofte får man en ekstra chance for at spotte angrebet ved at det kræver en ekstra handling på den næste side.
Hvad sker der, hvis du klikker og indtaster data?
Hvis dine medarbejdere både klikker og indtaster data, så er uheldet ude.
Hackeren vil i såfald have adgang til passwords og brugernavne, eller hvad de nu har efterspurgt. Det kan f.eks. også være kortoplysninger eller lignende.
Det afhænger meget af, hvilket data det er, hvad konsekvensen er.
Igen. Få installeret det to-faktor, så I ikke er helt så sårbare for at have givet passwords væk.
Høj risiko - trussel: At klikke og indsende data er alvorligt. Det er et databrud og her skal i reagere. Afhængigt at dataen kan tiltagene være forskellige: Lukke bankkonto, skifte password, osv.
Hvad sker der, hvis man "previewer" en vedhæftet fil i en phishingmail?
Preview-funktionen i mailklienter er lavet for, at man netop kan se dokumenter uden at downloade dem på sin computer. Men det kommer stadig med en risiko, for i nogle tilfælde kan det faktisk stadig trigger malware eller andet skadelig software.
Sandsynligheden er dog markant lavere end hvis man rent faktisk downloader det.
Det vigtige her er, at dine medarbejdere ved, at de IKKE bør previewe, hvis de er i tvivl. Det er ikke en 100% sikker løsning.
Medium risiko - trussel: Selvom previewing er en sikkerhedsforanstaltning, så er den ikke 100% vandtæt.
Hvad sker der, hvis jeg downloader en vedhæftet fil fra en phishingmail?
Hvis du bliver bedt om at downloade noget i en phishingmail, så vil det ofte indeholde malware. Derfor er risikoen altså høj.
Forhåbentligt vil jeres anti-malware-software fange det, inden det går galt, men der er ingen garanti for det. Det kan være alt fra malware, ransomware, spyware eller noget helt fjerde. Konskvenserne afhænger meget af, hvilken type vi snakker om.
Høj trussel - risiko: At downloade noget fra en phishingmail er klart en af de største risci, når det kommer til potentielle konsekvenser. Det er meget sjældent, at man kan downloade noget fra en phishingmail uden negative konsekvenser.
Hvad skal du gøre, hvis I bliver udsat for et phishing-tilfælde?
Forhåbentligt kommer jeres medarbejdere til jer, hvis de har spottet en phishing-mail. Afhængig af, hvordan de har reageret på denne phishingmail, så skal I selvfølgelig reagere. Her er der et par scenarier.
Hvis en medarbejder har åbnet en mail
Hvis din medarbejder kommer og siger, at de har åbnet en mail, men intet andet. Ros dem, marker mailen som junk og advar resten af organisationen imod mailen. Det er drømmen, at dine medarbejdere spotter mails allerede her.
Hvis dine medarbejdere har svaret på en mail
Fortæl medarbejderen at de skal stoppe dialogen. Ihvertfald indtil at de har fået bekræftet identiteten gennem andre kanaler. Fortæl denne medarbejder på at være ekstra opmærksom fremadrettet, da de måske er et target. Og igen, advar resten af organisationen.
PS: Husk også at rose medarbejderen for at komme til jer. For hvis I ved ovenstående, så er det fordi, at nogle har trådt frem.
Hvis din medarbejder klikker på et link
Start igen med at rose medarbejderen for at stå frem.
Afhængig af jeres setup, så vil det formentlig være en god ide at få gennemtjekket computeren. Måske er det en ide at koble den af internettet imens, så potentiel malware ikke spreder sig til andre på jeres netværk imellemtiden.
Hvis din medarbejder indtaster data
Ros medarbejderen for at komme forbi jer og tag dem i hånden gennem processen.
Kobl deres computer fra nettet og jeres systemer.
Afhængig af hvilken data der er givet, så er det igen med at skifte passwords, spærre bankkontoer eller hvad der nu er tale om.
Der er måske endda tale om et databrud, hvilket skal sætte gang i en del processer.
Hvis en medarbejder previewer en fil
Rådene er meget af det samme som ovenstående om at have svaret på en mail. Better safe than sorry, lav et sikkerhedstjek, men formentlig er der ikke sket noget.
Ros medarbejderen og advar resten af organisationen.
Hvis en medarbejder downloader en fil
Her kan du kigge på samme råd som ved indsendt data.
Advar resten af organisationen. Få personen af internettet så intet spreder sig. Og så er det ellers igang med at scanne og måske endda formattere computeren afhængig af jeres setup.
Igen, ros medarbejderen for at stå frem. Det kan være forskellen, der redder jer for store nedbrud. Alle disse scenarier afhænger af, at folk fortæller jer, at de har gjort noget, for ellers er det svært at opdage.
Hvordan kan du beskytte jeres virksomhed imod phishing?
Der er meget man kan gøre for at sikre sig imod phishing.
Og nogle af dem har vi allerede været omkring.
Først og fremmest skal der være styr på det tekniske:
- Korrekt opsatte mailklienter
- To-faktor-autentificering hvor muligt
- Anti-malware-software
Og måske endda SIEM-systemer etc., der kan spotte usædvanlig aktivitet.
Derudover er dine medarbejdere dit stærkeste forsvar.
Gør dem opmærksomme på truslerne og vigtigheden af at være opmærksom. Det kan f.eks. gøres gennem awareness-træning eller plakater.
Derudover anbefaler vi, at I også træner dem i praksis. Send dem simulerede phishing-angreb, og gør det kontinuerligt i et træningsforløb.
