4 huskeregler til at undgå Social Engineering

Langt de fleste falder ikke længere for de gamle klassiske svindelnumre, som f.eks. den nigerianske prins som SÅ gerne vil dele sin formue. Det bliver straks sværere at spotte disse forsøg, når de bliver skræddersyet til at snyde netop os. En af metoderne IT-kriminelle bruger til at gøre dette hedder ”Social Engineering”, og i denne blogpost vil vi gennemgå, hvordan i kan undgå, at jeres organisation bliver et offer.  

 

 

Social engineering – helt kort 

 

Helt kort kan social engineering beskrives som forsøg på svindel, hvor afsenderen prøver at udnytte modtagerens sociale sider, som f.eks. tillid. Et klassisk eksempel er, at man modtager en e-mail fra sin chef, som vil have én til at overføre et beløb til en konto, man ikke har overført til før. Man har tillid til, at en e-mail fra ens chef er troværdig, og man overfører derfor pengene. Dette kunne undgås, hvis man dobbelttjekkede igennem et andet medie, som f.eks. telefonen, men dette gør man oftest ikke, da man har tillid til sin chef og gerne vil undgå at skabe unødigt bøvl.   

 

 

Hvor får de deres data fra? 

 

Disse skræddersyede angreb kræver selvfølgelig, at de IT-kriminelle har personlige oplysninger at arbejde med. Oftest kan de dog finde disse på enten jeres organisations hjemmeside, sociale medier eller bare simple søgninger på søgemaskiner. Jo flere personlige oplysninger der inkluderes, jo lettere er det at falde i fælden. At få fat i disse personlige oplysninger er blevet lettere over de senere år, især pga. sociale medier, og dette er muligvis en af grundene til stigningen i social engineering.  

 

 

Hvor skal jeg passe på? 

 

Disse forsøg på svindel vil jeres medarbejdere oftest møde i tekstform – enten over e-mail, SMS eller over sociale medier, men i sjældne tilfælde også over telefonsamtaler eller ved personlig kontakt. Det vigtigste værktøj, som jeres medarbejdere skal bruge til at håndtere disse angreb, er en kritisk indstilling. Med en kritisk indstilling menes der, at de ikke tager alt for gode varer. Et eksempel på dette, er at man stiller spørgsmålstegn ved de mails, som man får. Giver det mening, at man får denne mail på dette tidspunkt? Sådanne spørgsmål vil ofte kunne afsløre et forsøg på social engineering, men i yderst sofistikerede tilfælde på social engineering vil de ikke være nok. Så hvad gør man så? 

 

 

Better safe than sorry 

 

Hvis man vil være ét hundrede procent sikker på ikke at blive offer for social engineering, er det altså ikke nok bare at have en kritisk indstilling. Det kræver, at man sørger for at få bekræftet de oplysninger og instrukser man modtager. Det vil sige, at hvis man får en mail med instrukser, skal man søge bekræftelse igennem et andet medie eller ansigt til ansigt. Dette kan være svært at gøre, da man kan være bange for at blive set som besværlig. Det er derfor vigtigt, at hele organisationen implementerer denne kritiske kultur, så at jeres medarbejdere ved, at det ikke skaber besvær, men derimod et sikkert digitalt miljø.  

 

 

Undskyld, kan jeg hjælpe dig med noget? 

 

Denne kritiske indstilling hører ikke kun til i det digitale, men også på det helt fysiske kontor. Ser du en person, som du ikke har set før gå rundt på kontoret, så henvend dig og spørg om, hvem de leder efter. Husk bagefter at følge dem helt hen til denne person. Dette kan virke aggressivt og mistroisk, men man skal huske, at det netop er denne trang til at vise tillid, som de kriminelle udnytter.  

 

 

4 huskeregler til at undgå social engineering 

 

For at opsummere, hvordan man bedst undgår at falde for social engineering har vi lavet disse fire huskeregler: 

 

  1. Er du i tvivl om, hvorvidt en e-mail fra en organisation er reel, så kontakt dem via et andet medie og få en bekræftelse på validiteten af e-mailen.
     

  2. Overvej grundigt, om det giver mening, at du modtager en given forespørgsel. Er der forskel på tidligere forespørgsler af samme type? Eller er det den første af sin slags? Hvis det er den første af sin slags, skal du være ekstra opmærksom.  

  3. Møder du en person ved indgangen, som du ikke kender, så bed høfligt vedkommende om at anvende deres eget adgangskort. Hvis du lukker en gæst ind, burde du også følge dem hen til den relevante medarbejder.  
     

  4. Ser du en person gå uledsaget rundt i din afdeling, så spørg ind til personens ærinde, og følg ham/hende hen til den relevante medarbejder.  


 

Med mindre at organisationen som en helhed adopterer disse regler og den inkluderede kritiske holdning, vil jeres medarbejdere ofte ikke følge disse regler, i frygt for at virke mistroiske. Det kræver altså en fælles indsats.  

 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.    

 

 

Fra lommetyv til IT-kriminel

IT-kriminalitet er en voksende industri, som i 2018 er estimeret til at få en omsætning på 1,5 billioner dollars. Hvis vi vil undgå at bidrage til denne omsætning, bliver vi nødt til at holde os opdateret på hvordan denne industri udvikler sig. Dette inkluderer selvfølgelig de tekniske aspekter af IT-sikkerhed, men også at forstå, hvem der står bag truslen. I denne blogpost vil vi undersøge denne trussel og hvem bagmændene er.


Den klassiske stereotyp om den isolerede hårdkogte hacker, som vi kender fra film, passer ikke længere, hvis den nogensinde har, på nutidens IT-kriminelle. Det er blevet muligt for enhver med en smule teknisk snilde at blive en del af den voksende industri, hvilket er en stor faktor i industriens vækst. Disse kriminelle betaler for services, der gør det muligt for dem at køre f.eks. phishing- eller ransomware-kampagner, som de ellers ikke ville have den tekniske kunnen til at eksekvere.


Den lette adgang til disse services er en af grundene til at mange småkriminelle, som før beskæftigede sig med f.eks. lommetyveri, er skiftet til IT-kriminalitet. IT-kriminalitet appellerer til disse mennesker på grund af at det er:

  • Nemt 

  • Lukrativt 

  • Relativt risikofrit


Desværre er det nemlig sådan at IT-kriminelle meget sjældent bliver fanget eller dømt, selvom at de svindler for store mængder penge. På samme tid kan den kriminelle også undgå at se deres ofre i øjnene, hvilket gør det lettere på samvittigheden. Det er altså ikke hårdkogte hackere, men  simple forbrydere, som vil tjene hurtige penge. Denne type IT-kriminel bruger oftest en af tre metoder:

  • Phishing
     

  • Passwordtyveri 

  • Ransomware


Langt de fleste af disse IT-kriminelles forsøg på svindel kan undgås, så længe man forholder sig skeptisk overfor det man møder i det digitale, og man holder sig opdateret på truslernes udvikling. Dette skaber et behov for kontinuerlig træning, som også derfor er et krav i personforordningen, og det kan f.eks. opnås igennem awareness-træning.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Malware anno 2018

Malware kom igen i fokus i 2017 da over 200.000 systemer blev inficeret med det effektive ransomware WannaCry. Det er estimeret at angrebet kostede de inficerede over 100 millioner dollars, og fastlåste flere store institutioner og firmaer. Dette angreb blev et eksempel på, hvordan malware udvikler sig, og hvor vigtigt det er, at vi holder os opdaterede på aktuelle trusler indenfor IT-sikkerhed.  


I sidste blogpost havde vi fokus på den største aktuelle trussel indenfor IT-sikkerhed: Phishing. I denne blogpost vil vi fokusere på en af de potentielle konsekvenser phishing kan have: Malware. Begrebet malware over en bred vifte af skadelige typer software. Et par eksempler på dette er ransomware, adware og spyware. 


Det er ikke længere kun hardcore IT-kriminelle, som har adgang til malware, men nu også småkriminelle ved hjælp af programmer som Cerber. Cerber er et eksempel på programmer man kalder ”Ransomware as a Service” (RaaS), der gør det let for enhver at sende ransomware-angreb afsted. RaaS har gjort at mængden af ransomware er steget støt, hvilket gør det vigtigt, at jeres medarbejdere er opmærksomme på de få der kommer igennem jeres antivirusprogrammer.  


Det er ikke kun computere der er i fare, men også smartphones. Mængden af malware på Google Play fordoblede i 2017 og man bliver derfor også nødt til at være kritisk overfor hvilke apps, man downloader til sin telefon. Generelt har Mac-computere og iPhones været mindre udsatte i forhold til Malware. I 2017 så man dog en stigning i forsøg på at inficere disse systemer, men antallet af reelle Malware angreb var stadig færre end på Windows-systemer.  

Der er altså intet der tyder på at malware fremadrettet bliver et mindre problem, så hvordan beskytter vi os imod det? Her kommer fem huskeregler jeres medarbejdere kan bruge til at undgå malware: 

  • Brug et antivirusprogram på alt IT-udstyr, der tillader det.  

  • Hent eller åbn aldrig filer fra folk, du ikke kender eller har tiltro til.
     
     

  • Indlæs aldrig CD’er eller USB-nøgler, som du ikke ved, hvor kommer fra.  

  • Hold alle dine systemer og programmer opdateret på smartphone, computer og andet IT-udstyr.  

  • Vær varsom med at klikke på pop-ups, reklamer, tilbud, konkurrencer og lignende.  

Huskeregler som disse kan hjælpe med at undgå langt størstedelen af malware, men som man så med WannaCry udvikler truslen sig. Dette gør det nødvendigt, at vi kontinuerligt holder alle dele af vores IT-sikkerhed opdateret. Sikker IT involverer selvfølgelig at have styr på de tekniske aspekter af IT-sikkerheden, men medarbejdernes viden er mindst lige så vigtigt, da det kun kræver at én medarbejder falder i fælden, for at konsekvenserne mærkes.
 

  

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

Se her for mere information omkring vores awareness-træning. 

Phishing – Den største digitale trussel

Phishing er blevet vurderet til at være den største aktuelle IT-sikkerhedsrelaterede trussel for virksomheder. I denne blogpost vil du lære både hvordan phishing har udviklet sig og hvordan I kan undgå at jeres medarbejdere falder i fælden. 

Phishings udvikling 

 

Igennem de sidste 10 år er phishing gået fra at være en fælde, som kun de mest uopmærksomme faldt i, til at være en udfordring, som enhver virksomhed er tvunget til at tage seriøst.  Phishing har udviklet sig fra gennemskuelige masseproducerede e-mails fyldt med stavefejl til e-mails, som er skræddersyede til at snyde lige netop dine medarbejdere. 

Det kræver kun én fejl fra én medarbejder 

For at beskytte din virksomhed er det selvfølgelig essentielt at have styr på de tekniske aspekter af IT-sikkerheden, da det sorterer størstedelen af de skadelige e-mails fra, men det er lige så essentielt at jeres medarbejdere er trænet til at håndtere de få der kommer igennem filteret. Det kræver kun at én medarbejder falder i fælden, før jeres virksomhed mærker konsekvenserne. 

 

Vær særlig opmærksom på phishing af persondata 

 

Den nye persondataforordning sætter endvidere fokus på brud på it-sikkerheden, særligt når et brud involverer læk af persondata. Dette betyder, at et phishing-angreb ikke blot kan have konsekvenser for virksomhedens egne fortrolige oplysninger, men at man også risikerer at komme i problemer ift. persondataforordningen. 


Nødvendigt med kontinuerlig træning 


Det er vigtigt at træning af medarbejderne i IT-sikkerhed er kontinuerlig, da truslerne konstant udvikler sig. Et eksempel på dette er, at man engang nemt kunne spotte phishing på de mange stavefejl og den dårlige grammatik. I dag har de kriminelle dog lavet om på dette, hvilket betyder at man sjældent ser dårligt skrevne forsøg på phishing. Det gør de falske mails væsentlig sværere at spotte.  

Nu er der altså andre ting, som medarbejderne skal være opmærksomme på for at være i stand til at håndtere e-mails sikkert, hvilket øger behovet for
kontinuerlig IT-sikkerheds træning.  


Huskeregler for phishing 


Vi har opstillet tre gode huskeregler, som kan hjælpe dine medarbejdere: 

  • Vær forsigtig med at åbne vedhæftede filer.
     

  • Klik ikke på links i e-mails. 

  • Send aldrig følsomme oplysninger via e-mail. 

Huskeregler er gode at have, men en trussel så stor som phishing kræver kontinuerlig træning enten i form af undervisning eller tests. 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 

  

Se her for mere information omkring vores awareness-træning.