Den Største Digitale Trusselen | Hva Er Phishing?

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen Cybersikkerhet | 7 desember

Phishing regnes nå som den største IT-sikkerhetstrusselen mot organisasjoner og bedrifter. Dette blogginnlegget hjelper deg med å forstå hva phishing og gir deg innspill om hvordan du kan trene dine ansatte, slik at de kan unngå å bli et offer for et phishing-forsøk.

 

Phishing, smishing, målrettet phishing.... hva er egentlig forskjellen?

Phishing handler om falske e-poster som forsøker å lure deg, bland annet for å lokke deg til å gi bort verdifulle personopplysninger. Disse kan også bli sendt som tekstmeldinger, altså som en SMS istedenfor som e-post. I dette tilfellet kalles det “smishing” for “SMS” og “phishing. Når det gjelder målrettet phishing, “spear phishing” på engelsk, handler det om phishing-forsøk som er meget målrettet og fokusert spesifikt på en person eller en organisasjon.

Falske e-poster og tekstmeldinger kommer i mange ulike former og de har utviklet seg i betydelig grad de seneste årene.

 

Phishing-e-poster blir stadig vanskeligere å få øye på

I løpet av de siste ti årene har phishing gått fra å være en felle som noen få uoppmerksomme personer går på, til å være en utfordring som alle virksomhetet må forholde seg til. Phishing var tradisjonelt masse-produserte e-poster med mangelfulle setninger og grammatiske feil. De fleste husker nok e-poster vi fikk fra en “Nigeriansk prins” som fristet oss med store pengesummer dersom vi hjalp ham med å flytte gullet hans. De var enkelt å forstå at dette var falsk.

I dag blir phishing e-poster skreddersydd for å lure dine spesifikke ansatte. Et nylig eksempel på dette er skreddersydde e-poster i forbindelse med korona-pandemien, hvor kriminelle påstår å være fra politiet eller fra myndighetene.

 

Det trengs bare én ansatt som går på fella

For å beskytte din bedrift mot phishing er det åpenbart veldig viktig å ha styr på de tekniske sidene ved IT-sikkerhet. Dagens teknologi er god til å filtrere ut mesteparten av skadelige e-poster, slik at de havner i spam-innboksen. Det er dermed minst like viktig at dine ansatte har kunnskap om hvordan de skal håndtere de få, men ganske profesjonelle phishing e-postene som kommer seg gjennom filtrene.

Det trengs kun én ansatt som går på fella for at phishing-angrepet skal ha konsekvenser for hele virksomheten deres. Derfor kan dine ansatte faktisk utgjøre den største sårbarheten for sikkerhetsbrudd. På den andre siden, kan bevisste ansatte være et av de sterkeste elementene i ditt cyberforsvar
.

 

Vær spesielt oppmerksom på phishing av personopplysninger

Personvernforordningen (GDPR) fokuserer på IT-sikkerhetsbrudd, spesielt når det er snakk om sikkerhetsbrudd som inneholder lekkasje av personopplysninger.

Dette betyr at phishing-angrep ikke bare er et tema i forbindelse med IT-sikkerhet, men også i forbindelse med personvernloven/GDPR. Dette kan for eksempel være phishing-angrep hvor personopplysninger om kunder, ansatte eller samarbeidspartnere blir stjålet.

Smart CTA_e-book NO

Kontinuerlig trening er nødvendig

For å gjøre dine ansatte til ditt sterkeste forsvar mot cybertrusler er det viktig å gi dem opplæring og å sørge for trening. Det er viktig at opplæringen fortsetter med kontinuerlig trening fordi truslene er stadig i utvikling.

Trening av ansatte kan gjøres på mange måter. Du kan gi dine ansatte bevissthetstrening, hvor du lærer opp dine ansatte i hvordan de kan identifisere og håndtere phishing e-poster. Dette kan gjøres gjennom fysiske forelesninger, nettbasert opplæring eller en kombinasjon av disse.

En annen mulighet er å foreta en phishing-simulering hvor du med vilje sender ut falske e-poster til dine ansatte. På denne måten kan du gjøre dine ansatte bedre til å identifisere falske e-poster. Dette kan også være nyttig for din organisasjon i å lage strategier for hvordan dere skal håndtere et phishing angrep når den er identifisert. Hvem bør dine ansatte kontakte dersom de mistenker et phishing-angrep? Hvordan bør dine ansatte bli informert? Det er viktig at dine ansatte ikke bare sletter e-posten når de identifiserer at den er falsk, men også informerer de andre ansatte. Et cyberforsvar bygges med gode strategier, hvor phishing-simulering kan være en liten “skyteøvelse” for forsvaret ditt.

Bevissthetstrening og phishing-simulering kan selvfølgelig også kombineres, noe som på mange måter er ideelt. Det er en god måte å anvende teori i praksis – sånn som i når man tar lappen. Det spiller egentlig ikke så stor rolle om du vet hvordan en phishing e-post ser ut, dersom du ikke er bevisst på det gjennom hverdagen.

 

Tre tommelfingerregler for dine ansatte

 

Alle bør selvsagt starte ett sted, og det er vanskelig å bygge opp et cyberforsvar med det samme. En enkel måte å starte på, kan være å gi dine ansatte de 3 følgende tommelfingerreglene nedenfor. Hvis de kan huske på dette hver gang de åpner en ny e-post, er du allerede godt i gang med å minske muligheten for at noen klikker på en skadelig lenke i en phishing e-post:

  • Tenk deg om før du åpner vedlegg med det samme
  • Ikke klikk på lenkene i en e-post før du er sikker på hvem senderen er og hvorfor du har fått den e-posten.
  • Send aldri sensitiv informasjon gjennom e-post.
Tommelfingerregler er gode å ha, men en så betydelig trussel som phishing krever kontinuerlig trening, enten i form av opplæring og simuleringer. Det er viktig at du ikke undervurderer denne trusselen.

Dine ansattes kunnskap og bevissthet er veldig viktig for din IT-sikkerhet.

Du kan sørge for et bedre arbeid mot phishing gjennom bevissthetstrening, som trener dine ansatte i spesifikke temaer innen IT-sikkerhet. Du bør også vurdere å sette i gang en phishing-simulering for å tilrettelegge for at dine ansatte kan teste seg selv.