Phishing

Sosial manipulasjon

Angripere leter alltid etter den enkleste veien inn i virksomhetens systemer – og denne veien går ofte via ansatte. Gjennom ondsinnede e-poster, SMS-er eller meldinger forsøker kriminelle å lure brukere til å oppgi passord eller godkjenne falske innlogginger.

Sosial manipulering er i dag en av de vanligste metodene for å få uautorisert tilgang til virksomheter.

Hvordan redusere risikoen?

For å redusere risikoen er det ikke nok å kun satse på opplæring. Virksomheter bør kombinere menneskelige, organisatoriske og tekniske tiltak.

Et viktig tiltak er gode e-postfiltre som stopper phishing før den når brukeren. I tillegg er phishing-resistent autentisering (Passkeys / FIDO2) i dag den mest robuste løsningen mot phishing.

Phishing-resistent autentisering erstatter passord og er knyttet til både bruker og tjeneste. Det betyr at selv om en ansatt klikker på en falsk lenke, vil innloggingen ikke fungere – fordi nøkkelen kun virker mot den ekte tjenesten.

Anbefalte tiltak

Støtte for phishing-resistent autentisering finnes allerede hos ledende leverandører som Microsoft, Google og Apple, noe som gjør innføringen enklere.

Ved å kombinere tekniske tiltak med gode rutiner og opplæring reduserer dere angrepsflaten betydelig.

For å beskytte virksomheten bør dere:

Ta i bruk phishing-resistent autentisering.

Sørge for compliant device – det vil si pc/mobil/enhet som er godkjent av virksomheten for pålogging.

Sørge for jevnlig opplæring i phishing og sosial manipulering.

Gjennomføre simulerte phishing-øvelser

Etablere tydelige rutiner for rapportering av mistenkelige meldinger

Hva er phishing-resistent autentisering?

Phishing-resistent autentisering betyr at pålogging ikke kan misbrukes, selv om brukernavn og passord kommer på avveie.

Trenger du hjelp til å sette opp phishing-resistent autentisering?

Ta kontakt med oss

Innlogging krever en fysisk nøkkel eller innebygd sikkerhetsmekanisme

Pålogging kan ikke kopieres

Beskytter mot de fleste moderne phishingangrep

Phishing-øvelse

For å måle nivået av informasjonssikkerhet kan det gjennomføres simulerte phishing-angrep, der realistiske e-poster sendes til ansatte. Klikk, innlogginger og respons analyseres for å avdekke sårbarheter.

En phishing-øvelse gir verdifull innsikt i hvor motstandsdyktig virksomheten er – og hva dere bør jobbe videre med for å styrke sikkerhetskulturen.

Vi tilbyr ulike former for phishing-øvelser

Tilpasset epost-angrep

Tilpasset falsk nettside

Epost-angrep med skadevare

Innsamling av innloggingsdetaljer

Analyse av detaljer fra kampanjer

Årshjul med flere kampanjer av forskjellig vanskelighetsgrad

Passordverifisering, hvor vi sjekker om påloggingsinformasjon er i lekkede databaser med påloggingsinformasjon

Anonym rapport, eller med detaljer etter ønske

Rådgivning og bistand i trening med bevissthet rundt sikkerhet

Kundeerfaring

Kristiansand kommune opplevde marerittet da to stjålne brukerkontoer førte til 5 millioner utsendte spam-eposter til hele Norge. Les om deres dyrekjøpte erfaring og hvorfor de valgte å gjennomføre en phishingøvelse for alle ansatte i etterkant.

Les mer

Slik unngår du å bli lurt av en hacker

Våre etiske hackere har gjennomført phishingøvelse med en rekke bedrifter. Her er noen av deres tips til hva du bør være oppmerksom på for ikke å bli lurt:

Let's Do This

Se på språket i eposten – er det mange rare skrivefeil eller uprofesjonelt språk?
Se på innholdet – er det en epost fra en kollega, men innholdet virker litt merkelig? Ikke svar tilbake på mail, ring heller kollegaen din på telefon for å dobbeltsjekke
Vurder konteksten – virker det rart, spør IT eller en kollega for en second opinion
En angriper bruker ofte trusler, hastverk og lignende for å gjøre deg stresset – pust med magen og les mailen en gang til
Sitter du på stasjonær PC, hold musepekeren over linken – da ser du den faktiske URL-en lenken leder til
Se på mailadressen – ser den riktig ut?
Ta en titt på signaturen – er den reell?