Smells phishy?

 

Hva vil det bety for bedriften din dersom ansattes kontoer blir tatt og uvedkommende får tilgang til systemene deres? Det mest sårbare i din bedrift kan være menneskene. Et enkelt sted å starte for å teste sikkerhetsbevisstheten i bedriften, er å gjennomføre en phishingøvelse.

 

Hva er phishing? 

Phishing er å utgi seg for å være en legitim og kjent aktør mottakeren stoler på, med hensikt om å lure til seg sensitiv informasjon som igjen kan utnyttes. Du har kanskje opplevd å få en mail fra noen du stoler på, som Posten, banken din eller til og med en kollega, men innholdet ser litt suspekt ut? Da kan du ha blitt utsatt for et av de vanligste cyberangrepene – epostsvindel, eller phishing. 

Kristiansand kommune opplevde marerittet en tid tilbake, da to stjålne brukerkontoer førte til 5 millioner utsendte spam-eposter til hele Norge. Les om deres dyrekjøpte erfaring og hvorfor de valgte å gjennomføre en phishingøvelse for alle ansatte i etterkant.

Har du lyst til å teste dine ansatte? Ta kontakt med oss, så hjelper vi deg gjerne med å sette opp en phishing-øvelse.

 

- IT-sikkerhet er lag-på-lag-sikkerhet, men phishing går forbi mange av disse lagene og rett på mennesket. Derfor er det ekstremt nyttig at alle ansatte får trene på hvordan et angrep kan se ut.

 

Slik unngår du å bli lurt av en hacker

Jarle Børven, som jobber som etisk hacker og penetrasjonstester i Netsecurity, har gjennomført phishingøvelse med en rekke bedrifter. Her har han samlet noen tips til hva du bør være oppmerksom på for ikke å bli lurt:

  • Se på språket i eposten – er det mange rare skrivefeil eller uprofesjonelt språk?
  • Se på innholdet – er det en epost fra en kollega, men innholdet virker litt merkelig? Ikke svar tilbake på mail, ring heller kollegaen din på telefon for å dobbeltsjekke
  • Vurder konteksten – virker det rart, spør IT eller en kollega for en second opinion
  • En angriper bruker ofte trusler, hastverk og lignende for å gjøre deg stresset – pust med magen og les mailen en gang til
  • Sitter du på stasjonær PC, hold musepekeren over linken – da ser du den faktiske URL-en lenken leder til
  • Se på mailadressen – ser den riktig ut?
  • Ta en titt på signaturen – er den reell?
MicrosoftTeams-image-3

 

Klikker du på lenken, kan skaden være skjedd

Det er ikke alltid du må oppgi sensitiv informasjon for at noen skal klare å gjøre skade, noen ganger kan det holde at du klikker på lenken som ligger i mailen. Det kan føre til at hackeren får kontroll over hele nettleseren din, som igjen gjør at de kan få videre tilgang inn i bedriftens nettverk, installere virus på maskinen din eller komme seg inn i nettbanken din. 

-   Ved å gjennomføre en phishing-øvelse, gjøres brukeren mer bevisst på slike angrep og hva man skal være på vakt for. IT-sikkerhet er lag-på-lag-sikkerhet, men phishing går forbi mange av disse lagene og rett på mennesket. Derfor er det ekstremt nyttig at alle ansatte får trene på hvordan et angrep kan se ut, sier Jarle Børven.

 

Ønsker du å teste sikkerhetsbevisstheten i din bedrift?

Stadig flere bedrifter gjennomfører phishingøvelser jevnlig for å holde ansatte bevisst og oppdaterte på trusselbildet.

Våre sikkerhetseksperter hjelper dere gjerne med å gjennomføre en phishingøvelse. Ta kontakt, så viser vi dere hvordan vi kan gå fram.

Vil du vite mer om hva en phishingøvelse innebærer?

Fakta om phishing

  • Phishing er en form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning.
  • Via vedlegg kan det installeres skadevare, for eksempel løsepengevirus («ransomware»), som kan spre seg videre til andre datamaskiner i samme nettverk.
  • Via lenker kan angriperen be om brukernavn og passord til systemløsninger, og videre benytte disse for eksempel til å stjele konfidensielle opplysninger.