4 huskeregler til at undgå Social Engineering

Langt de fleste falder ikke længere for de gamle klassiske svindelnumre, som f.eks. den nigerianske prins som SÅ gerne vil dele sin formue. Det bliver straks sværere at spotte disse forsøg, når de bliver skræddersyet til at snyde netop os. En af metoderne IT-kriminelle bruger til at gøre dette hedder ”Social Engineering”, og i denne blogpost vil vi gennemgå, hvordan i kan undgå, at jeres organisation bliver et offer.  

 

 

Social engineering – helt kort 

 

Helt kort kan social engineering beskrives som forsøg på svindel, hvor afsenderen prøver at udnytte modtagerens sociale sider, som f.eks. tillid. Et klassisk eksempel er, at man modtager en e-mail fra sin chef, som vil have én til at overføre et beløb til en konto, man ikke har overført til før. Man har tillid til, at en e-mail fra ens chef er troværdig, og man overfører derfor pengene. Dette kunne undgås, hvis man dobbelttjekkede igennem et andet medie, som f.eks. telefonen, men dette gør man oftest ikke, da man har tillid til sin chef og gerne vil undgå at skabe unødigt bøvl.   

 

 

Hvor får de deres data fra? 

 

Disse skræddersyede angreb kræver selvfølgelig, at de IT-kriminelle har personlige oplysninger at arbejde med. Oftest kan de dog finde disse på enten jeres organisations hjemmeside, sociale medier eller bare simple søgninger på søgemaskiner. Jo flere personlige oplysninger der inkluderes, jo lettere er det at falde i fælden. At få fat i disse personlige oplysninger er blevet lettere over de senere år, især pga. sociale medier, og dette er muligvis en af grundene til stigningen i social engineering.  

 

 

Hvor skal jeg passe på? 

 

Disse forsøg på svindel vil jeres medarbejdere oftest møde i tekstform – enten over e-mail, SMS eller over sociale medier, men i sjældne tilfælde også over telefonsamtaler eller ved personlig kontakt. Det vigtigste værktøj, som jeres medarbejdere skal bruge til at håndtere disse angreb, er en kritisk indstilling. Med en kritisk indstilling menes der, at de ikke tager alt for gode varer. Et eksempel på dette, er at man stiller spørgsmålstegn ved de mails, som man får. Giver det mening, at man får denne mail på dette tidspunkt? Sådanne spørgsmål vil ofte kunne afsløre et forsøg på social engineering, men i yderst sofistikerede tilfælde på social engineering vil de ikke være nok. Så hvad gør man så? 

 

 

Better safe than sorry 

 

Hvis man vil være ét hundrede procent sikker på ikke at blive offer for social engineering, er det altså ikke nok bare at have en kritisk indstilling. Det kræver, at man sørger for at få bekræftet de oplysninger og instrukser man modtager. Det vil sige, at hvis man får en mail med instrukser, skal man søge bekræftelse igennem et andet medie eller ansigt til ansigt. Dette kan være svært at gøre, da man kan være bange for at blive set som besværlig. Det er derfor vigtigt, at hele organisationen implementerer denne kritiske kultur, så at jeres medarbejdere ved, at det ikke skaber besvær, men derimod et sikkert digitalt miljø.  

 

 

Undskyld, kan jeg hjælpe dig med noget? 

 

Denne kritiske indstilling hører ikke kun til i det digitale, men også på det helt fysiske kontor. Ser du en person, som du ikke har set før gå rundt på kontoret, så henvend dig og spørg om, hvem de leder efter. Husk bagefter at følge dem helt hen til denne person. Dette kan virke aggressivt og mistroisk, men man skal huske, at det netop er denne trang til at vise tillid, som de kriminelle udnytter.  

 

 

4 huskeregler til at undgå social engineering 

 

For at opsummere, hvordan man bedst undgår at falde for social engineering har vi lavet disse fire huskeregler: 

 

  1. Er du i tvivl om, hvorvidt en e-mail fra en organisation er reel, så kontakt dem via et andet medie og få en bekræftelse på validiteten af e-mailen.
     

  2. Overvej grundigt, om det giver mening, at du modtager en given forespørgsel. Er der forskel på tidligere forespørgsler af samme type? Eller er det den første af sin slags? Hvis det er den første af sin slags, skal du være ekstra opmærksom.  

  3. Møder du en person ved indgangen, som du ikke kender, så bed høfligt vedkommende om at anvende deres eget adgangskort. Hvis du lukker en gæst ind, burde du også følge dem hen til den relevante medarbejder.  
     

  4. Ser du en person gå uledsaget rundt i din afdeling, så spørg ind til personens ærinde, og følg ham/hende hen til den relevante medarbejder.  


 

Med mindre at organisationen som en helhed adopterer disse regler og den inkluderede kritiske holdning, vil jeres medarbejdere ofte ikke følge disse regler, i frygt for at virke mistroiske. Det kræver altså en fælles indsats.  

 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.    

 

 

5 trin til et stærkt password du kan huske

Hver dag bruger vi passwords til at logge ind på alt fra borger.dk til Facebook. Dette skaber et stort behov for, at man håndterer sine passwords sikkert, hvilket mange desværre ikke gør. Derfor vil vi i denne blogpost gennemgå, hvordan du kan lære dine brugere at bruge passwords sikkert, og hvorfor det er vigtigt.  



Hvorfor skal jeg have et stærkt password? 


Mange af os har nok ét password, som bliver brugt i lidt for mange forskellige situationer. Måske bliver det endda både brugt på arbejdet og i det private, men hvad er egentligt også problemet i det? Det har jo både tal, bogstaver og tegn, det er da et stærkt password? Måske er det rent faktisk et stærkt password, men når vi genbruger vores passwords, forøger vi risikoen for at blive ofre for IT-kriminalitet. IT-kriminelle ved nemlig godt, at mange genbruger deres passwords, så hvis de formår at trænge ind i bare én database, som f.eks. din lokale filmklub, prøver de sig frem med passwordet andre steder. Hvis man i en sådan situation har brugt det samme password til både arbejde og det private, har filmklubbens dårlige IT-sikkerhed, altså sat både dit arbejdes data og din egen persondata på spil. At genbruge passwords forværrer også konsekvenserne, hvis man f.eks. bliver offer for phishing, da den IT-kriminelle derved både har din e-mail og dit password.  


Ud fra en sådan situation virker det åbenlyst, at man ikke må genbruge passwords, men der er stadig mange der gør det. Der er endda mange som genbruger et password, som ikke engang er stærkt i sig selv, men hvorfor? Fordi det er let, og det er virker uoverskueligt at huske 16 passwords.  



Et stærkt password du kan huske 


For at gøre det lidt lettere har vi lavet en lille trinvis guide til, hvordan du kan lave stærke passwords, som på samme tid er lette at huske. 


Trin 1: 

Find på en sætning du kan huske, som f.eks: 

Jeg elsker at sejle 


Trin 2: 
Skriv første bogstav med stort: 

Jeg Elsker At Sejle 


Trin 3:  

Fjern mellemrummene: 

JegElskerAtSejle 


Trin 4: 

Indsæt et par tal: 

J3g3lskerAtSejle 


Trin 5: 

Insæt et specialtegn: 

J3g3lskerAtSejle! 



Voila! Et styks stærkt password er hermed lavet. Dette password må selvfølgelig ikke genbruges, men et godt tip til at kunne bruge det flere steder er, at indsætte noget i passwordet, som passer til siden hvor det bruges. F.eks. kunne man indsætte “FB” inden det sidste tegn, hvis man brugte koden på Facebook eller “GM” for Gmail. Så kunne koden altså se sådan ud: 


Facebook: J3g3lskerAtSejleFB


Gmail: J3g3lskerAtSejleGM


Med sådan et system er det mere overskueligt at håndtere sine passwords sikkert og samtidig kunne huske dem. Her kan det være en rigtig god idé at lave en sætning til arbejdsrelaterede logins og en anden til private logins, da det altid er god IT-sikkerhedskutyme at holde arbejdet og det private adskilt.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.