Vad är nätfiske? Det största digitala hotet

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen Cybersäkerhet | 7 december

Phishing, eller nätfiske, är i dagsläget uppskattat att vara det största hot mot ett företags IT-säkerhet. Efter att ha läst det här blogginlägget kommer du att kunna svara på följande frågor: Vad nätfiske är för något? Hur nätfiske har utvecklats? Hur kan du förhindra att dina anställda faller i fällan?

Phishing, smishing, spear phishing – vad är skillnaden?

Phishing är att skicka ut falska e-mails i syfte att locka dig att ge bort personuppgifter. Det kan också ske via sms, som istället kallas ”smishing”. Det finns också termenen ”spear phishing”, där nätfiskeförsöket är målinriktat och fokuserar på specifika individer eller organisationer. Phisheren försöker ”spjuta” en specifik.

Falska e-mails och sms formas på många olika sätt och har utvecklats drastiskt genom åren.

Nätfiskemejl blir svårare och svårare att upptäcka

Under de senaste tio åren har phishing gått från att vara en fälla som bara de mest ouppmärksamma fastnade i till att bli en utmaning som alla företag tvingas kämpa med. Det har utvecklats från bilder med tydliga pixlar och massor av grammatiska fel, till högkvalitativa och smarta e-mails, skräddarsydda för att lura ditt företags anställda. Många av oss har säkert mottagit mailet från den ”Nigerianska prinsen” som erbjud en stor summa pengar, i utbyte mot ens hjälp att flytta deras guld. De var lätta att upptäcka.

Idag har nätfiskemejl blivit skräddarsytt för att lura just dina anställda. Till exempel, har många skräddarsydda e-mail dykt upp under COVID-19 pandemin, där kriminella utgav sig som en myndighet eller polis.

Det krävs bara 1 misstag från 1 anställd

För att skydda ditt företag är det självklart viktigt att behärska de tekniska aspekterna av IT-säkerhet, eftersom detta hjälper till att identifiera och blockera majoriteten av skadliga e-mails. Men det är minst lika viktigt att dina anställda är utbildade att kunna hantera de nätfiskemejl som tar sig förbi det tekniska filtret.

Om en enda anställd faller i fällan, kommer hela din organisation att äventyras. Anställda kan därför vara den största risken för säkerhetsintrång. Men, på andra sidan, kan medvetna medarbetare bli ett av de starkaste elementen i ditt IT-säkerhetsförsvar.

Var särskilt uppmärksam på phishing av personuppgifter

Den nya regleringen av personuppgifter (GDPR) fokuserar också på IT-säkerhetsöverträdelser, särskilt när ett intrång innebär läckage av personuppgifter.

Det innebär att en nätfiskeattack inte bara kan få konsekvenser för företagets egen konfidentiella information – det kan också leda till problem relaterade till GDPR.

Smart CTA_e-book SE

Kontinuerlig träning är en nödvändighet, genom utbildning eller simulering

För att göra dina anställda till ett starkt IT-säkerhetsförsvar är nyckeln till framgång att träna dem / ge dem utbildning. Utbildningen måste också vara kontinuerlig eftersom hoten ständigt utvecklas.

Att utbilda anställda kan göras på flera sätt. Du kan träna dem i medvetenhet, där du lär dina anställda att identifiera och hantera nätfiske. Antingen genom digital e-lärande, genom fysisk undervisning eller en blandning av båda formerna.

Ett annat alternativ är att göra phishing-simuleringar, där du målmedvetet skickar ut falska mejl till dina anställda. På så sätt kan de få öva sina kunskaper i att upptäcka falska e-mails. Simuleringar gör det också möjligt för dig att skapa strategier för hur din organisation ska reagera när ett försök till phishing upptäcks. Vem ska man kontakta och hur man varnar andra anställda? Det är viktigt att den anställde inte bara tar bort e-mailet, utan att varna sina kollegor. Ett försvar byggs genom att skapa strategier. Du kan se phishing-simuleringar som små brandövningar.

Medvetenhetsträning och simuleringar kan naturligtvis kombineras, vilket på många sätt är den perfekta kombinationen. Det är en möjlighet att blanda teori med övning – som när du tar ett körkort. Det gör ingen skillnad att bara veta hur ett nätfiskemejl ser ut, om du inte är medveten om dem i din vardag.

3 tumregler till er

Självklart, börjar alla någonstans, och det kan vara svårt att skapa ett starkt mänskligt försvar i en enda svepande rörelse. Ett enkelt ställe att börja på, är att dela vidare de tre nedan nämnda tumreglerna till dina anställda. Om de sedan behåller dessa i bakhuvudet när de får ett e-mail, ökar du chansen att undvika att någon klickar på skadliga länkar i ett nätfiskemejl.

  • Var försiktig när du öppnar bilagor.

  • Klicka inte på länkar i e-mails innan du är säker på vem de är från och varför du har fått dem.

  • Skicka aldrig känslig information via e-mail.

Tumregler är bra att ha, men ett hot så stort som nätfiske kräver kontinuerlig träning, antingen genom undervisning, simuleringar eller något tredje. Det är viktigt att du inte ignorerar hotet.

Kunskap och medvetenhet hos dina anställda är avgörande för er IT-säkerhet.

Det kan, som nämnts i det här inlägget, byggas genom medvetenhetsutbildning, som går ut på att lära dina anställda om specifika ämnen. Men det kan också göras genom praktisk träning, där du testar de anställda genom simulerade / iscensatta nätfiskeattacker.