Hvad er phishing? – Den største digitale trussel

Hvad er phishing? Den største digitale trussel

Phishing illustration. En fisk omgivet af kroge.
Mikael Korsholm

Mikael Korsholm

• 10. OKTOBER 2020 • LÆSETID 2 MIN.

Phishing er blevet vurderet til at være den største aktuelle IT-sikkerhedsrelaterede trussel for virksomheder. Denne blogpost vil tage dig gennem, hvad phishing er, og hvordan man kan træne sine medarbejdere til ikke at falde i fælden.

Phishing, smishing, spear phishing, hvad er forskellen?

Phishing er falske mails, der forsøger at lokke dig til at give personlige oplysninger væk. Det kan også ske gennem sms’er, men her kaldes det istedet smishing. Der findes også et term, der hedder spear phishing. Det dækker over en mere målrettet form for phishing, der er målrettet specifikke individer eller organisationer. 

Falske mails og sms’er kommer altså til udtryk på mange forskellige måder, og de har udviklet sig markant gennem årene.

Falske mails bliver sværere og sværere at spotte

Igennem de sidste 10 år er phishing gået fra at være en fælde, som kun de mest uopmærksomme faldt i, til at være en udfordring, som enhver virksomhed er tvunget til at tage seriøst. Phishing var i starten masseproducerede e-mails fyldt med stavefejl. De fleste af os husker, hvordan vi modtog mails fra nigerianske prinser, der tilbød os store mængder penge, hvis vi ville hjælpe dem med at flytte deres guld. De var lette at genkende.

I dag er phishing-mails skræddersyede til at snyde lige netop dine medarbejdere. Disse skræddersyede mails kom bl.a. til udtryk under COVID-19, hvor kriminelle gav sig ud for at være fra regeringen og politiet.

Det kræver kun én fejl fra én medarbejder 

For at beskytte din virksomhed er det selvfølgelig vigtigt at have styr på de tekniske aspekter af IT-sikkerheden. Teknikken sorterer størstedelen af de skadelige e-mails fra, så de lander i spam-filteret. Det er dog lige så vigtigt at jeres medarbejdere er trænet til at håndtere de få phishing-mails, der kommer gennem filteret. Hvis bare én medarbejder falder i fælden, mærker jeres organisation konsekvenserne. Medarbejdere kan altså være en af de største sikkerhedsrisikoer. Omvendt kan bevidste medarbejdere blive et af de stærkeste elementer i jeres IT-forsvar.

Vi har i CyberPilot selv været udsat for falske mails. Du kan her læse en anekdote om, hvordan det udspillede sig.

Vær særlig opmærksom på phishing af persondata   

Den nye persondataforordning sætter endvidere fokus på brud på IT-sikkerheden, særligt når et brud involverer læk af persondata. Det betyder, at et phishing-angreb ikke blot er et IT-sikkerhedsspørgsmål, men også et GDPR spørgsmål. Ihverfald hvis et angreb betyder tab af data fra f.eks. kunder eller samarbejdspartnere.

Kontinuerlig træning kan ske gennem undervisning eller phishing kampagner

For at gøre medarbejdere til et stærkt IT-sikkerhedsforsvar, er det vigtigt at træne dem. Træningen bliver nødt til at være kontinuerlig, da truslerne konstant udvikler sig.

Træning af medarbejdere kan ske på flere måder. I kan lave awareness-træning, hvor i underviser jeres medarbejdere i, hvordan man spotter og håndterer phishing-mails. Enten gennem digital e-learning, gennem fysisk undervisning eller en blanding af begge dele.

En anden løsning kan være at lave phishing-simulationer, hvor I sender falske mails ud til jeres medarbejdere. Medarbejdere kan her øve sig i at spotte falske mails. Det gør det også muligt, at opbygge processer om, hvordan jeres organisation reagerer, når der spottes et phishing-angreb. Hvem skal man tage kontakt til? Hvordan bliver andre medarbejdere advaret? Det er vigtigt, at medarbejdere ikke blot sletter mailen uden at advare sine kollegaer. Ved at opbygge processer, bliver der skabt et beredskab. Man kan altså se phishing-simulationer som små brandøvelser.

Awareness-træning og simulationer kan selvfølgelig også kombineres, hvilket på mange måder er oplagt. Det er en mulighed for at blande teori med praksis – som når man tager kørekort. Det hjælper ikke noget at vide, hvordan en phishing-mail ser ud, hvis man ikke er opmærksom på det i dagligdagen.

3 huskeregler til dine medarbejdere 

Alle skal selvfølgelig starte et sted, og det er svært at skabe et stærkt menneskeligt forsvar på et splitsekund. Et let sted at starte er at få spredt nedenstående 3 vigtige huskeregler blandt jeres medarbejdere. Hvis de altid har dem i baghovedet, når de modtager en mail, så øger man chancen for at undgå, at der klikkes på farlige links i phishing-mails.

Huskeregler er gode at have, men en trussel så stor som phishing kræver kontinuerlig træning. Enten i form af undervisning, simulationer eller noget helt tredje. Det er vigtigt, at man ikke ignorerer truslen.

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed.

Det kan, som nævnt, opbygges gennem awareness-træning, som underviser medarbejdere i specifikke emner (læs mere om vores phishing-kursus). Det kan også gøres gennem praktisk træning, hvor man tester medarbejdere gennem simulerede phishing-angreb.

Få beskeder når vi udgiver artikler

Tags: No tags

Comments are closed.