Slik unngår du phishing-angrep

I dag er phishingangrep nærmest en del av normalen. Vi utsettes alle for potensielle angrep daglig, på flere digitale enheter. Ekstra viktig er dette for bedrifter, som kan risikere tap av store mengder data og/eller verdier. 

Det handler altså om å kunne skille et phishingangrep fra de vanlige henvendelsene man får, og heldigvis er det flere gode forholdsregler å bruke her.   

Hva er et phishingangrep?

Kort forklart er et phishingangrep en form for svindel. Datakriminelle vil forsøke å lure enkeltpersoner eller bedrifter til å dele sensitive eller personlige opplysninger. Det kan være brukernavn, passord, betalingsinformasjon eller andre data du ikke vil ha på avveie. Avsender vil som utgi seg for å være en pålitelig kilde, eksempelvis en leverandør, kollega eller en merkevare du kjenner til, med målsetting om å lure til seg informasjon, spre skadelig programvare eller svindle verdier i form av data, pressmidler eller rett og slett penger.

Et phishingangrep kan forekomme gjennom tekstmeldinger, e-poster eller telefonsamtaler, samt via sosiale medier og falske nettsider. Det finnes etter hvert mange typer phising, men ofte snakker man om og skiller mellom phishing og spearphishing:

• Phishing skjer gjerne gjennom falske e-poster som ser ut til å komme fra en aktør du stoler på, med mål om å "fiske" til seg viktig informasjon. Det kan være passord og brukernavn, personnummer og bankinformasjon. Her sendes e-posten til mange.
• Spearphishing er også svindelforsøk som foregår over falske e-poster, men er mer målrettet. De er rettet mot en eller veldig få ofre, med innhold som er skreddersydd mottagerne. Det fremstår gjerne mer troverdig for den som får e-posten.

Hvordan gjenkjenne et phishingangrep?

Dette er en økende trussel for norske bedrifter. Menneskelige feil står for majoriteten av de største sikkerhetsinnbruddene, og dermed er det viktig å være forberedt på faretegnene. For å beskytte bedriften din må du og dine ansatte kunne gjenkjenne mistenkelige e-poster, meldinger og telefonsamtaler. 

Hackernes reproduksjoner er bedre enn noen gang, og du kan ikke alltid se med det blotte øye at noe er galt.

Vi i SNORRE data bruker ofte phishingtester som et verktøy for å se hvordan kunnskapsnivået er hos de ansatte. Først setter vi opp og sender ut en falsk e-post, for å se hvor mange av de ansatte som lar seg lure av forsøket. E-posten ser ekte og overbevisende ut – og dessverre blir mange lurt. Når dette er gjort, er det enklere å anbefale tiltak som sikkerhetsopplæring eller utnyttelse av hensiktsmessige sikkerhetssystemer.

8 gode regler for å øke datasikkerheten

1. Sikkerhetsopplæring
Alle ansatte bør få en innføring i hva som kjennetegner et phishingangrep. Det bør også settes en plan for kompetanseheving, for ikke å nevne kontinuerlig oppfølging.

2. Kontroller avsender
Selv om e-posten kan se ut til å være fra en kjent avsender, bør du sjekke at e-postadressen matcher med organisasjonens offisielle kontaktinformasjon. 

3. E-postfiltrering og sikkerhetssertifikater
Det finnes flere e-postfiltreringsløsninger som lar deg oppdage og blokkere phishingangrep på e-post før de sendes ut. Du bør også implemetere sikkerhetssertifikater for å autentisere e-postserveren din overfor mottakerens server. 

Et av alternativene som løser disse problemstillingene er PowerDMARC, som vi bruker hos SNORRE data.

4. Implementering av tofaktorautentisering
Vi anbefaler selvsagt alltid å bruke sterke passord, som er unike for hvert nettsted du har innlogging. Likevel bør du fremdeles aktiviere tofaktorautentisering (2FA) for å være sikker på at hackere ikke får tilgang.

5. Ikke klikk på vedlegg og lenker du er usikker på
Du bør være sikker på avsender før du klikker på lenker eller åpner vedlegg i e-poster. Ved å sveipe eller holde over knappen eller linken kan du se hvordan URL-en ser ut, så du er sikker på at du ikke går på usikre sider.

6. Hold systemene oppdatert
Det er viktig å holde sikkerhetsprogramvare og andre applikasjoner oppdatert til enhver tid. 

7. Rutiner og oppfølging
Hvis en ansatt oppdager en phishing-e-post bør de rapportere dette videre til IT-avdelingen. Samme føring gjelder om man er uheldig og deler sensitiv informasjon – da bør det gjøres noen umiddelbare tiltak. Her bør IT-avdeling eller sikkerhetsansvarlig etablere rutiner de ansatte kan følge, og ikke minst utarbeide en krise- og responsplan ved vellykkede angrep.

8. Gjennomfør sikkerhetssjekker ofte
Datasikkerhet må følges opp kontinuerlig. Enten du har en IT-ansvarlig eller bruker en samarbeidspartner, må du være trygg på at sikkerheten er ivaretatt. Derfor anbefaler vi å utføre sikkerhetssjekker ofte, og be om jevnlige oppdateringer fra de som er ansvarlige. 

Vi i SNORRE data har lang erfaring med datasikkerhet, og hjelper gjerne til med å finne riktige behov for deg. Ta kontakt med oss via skjemaet under for en uforpliktende prat.