Tilbake til artikler Hero image

Phishing-angrep: hvordan dine ansatte blir lurt

Torkel Aannestad

26.09.2023

Selv om vi tror at vi er for smarte til å bli lurt, er sannheten at vi undervurderer hvorfor andre blir det. Dette fører til at ransomware, malware, og andre digitale trusler finner fotfeste i bedriften. De utnytter øyeblikkene hvor vi er uforsiktige eller utnytter tidskritiske og aktuelle temaer som får oss til å handle før vi tenker.

Phishing, enten det er målrettet eller er mer generelle, er en sofistikert teknikk. Det er angrepet som får oss til å tro at angriperen er en av våre egne. Hvem er det som ikke føler en trang til å åpne et vedlegg som kommer fra sin egen sjef? Når vi først oppdager at noe er galt, har skaden allerede skjedd.

Forstå mekanismene i phishing-angrep

Vanlige phishing-angrep inkluderer falske e-poster, meldinger, eller nettsteder som prøver å få mottakeren til å gi fra seg sensitiv informasjon. Disse angrepene kan se svært overbevisende ut, ved å imitere pålitelige kilder. Ved hjelp av psykologiske teknikker, forsøker hackerne å utnytte våre svakheter. Phishing-angrep går ofte gjennom flere faser:

  • Research: Hackere samler informasjon om målet som personlig detaljer og deres relasjoner til andre mennesker eller roller.
  • Sosial Manipulasjon: Phishing-e-poster utformes for å se ekte ut, for å lure mottakeren til å ta raske handlinger som å trykke på en lenke eller laste ned noe.
  • Utnyttelse: Mottakeren blir så omdirigert eller lurt til å gi fra seg sensitiv informasjon som brukernavn og passord. Dermed kan hackeren logge seg på din bruker og fortsette angrepet.

Lær deg kjennetegnene ved Phishing-angrep

Ved å trene ansatte til å være observante og ha en naturlig skepsis kan organisasjoner redusere risikoen for trusler. Her er noen vanlige kjennetegn på phishing-forsøk:

  • Avsenderens e-postadresse: Sjekk for små forskjeller eller feilstavelser. En stor «I»(i) kan se ut som en liten «l» (L). • Følelse av hastverk: Phishing-e-poster skaper en følelse hastverk eller av en følelse av press til å utføre umiddelbare handlinger som eksempelvis ubetalt regning med inkassovarsel eller lukking av brukerkonto.
  • Følelse av hastverk: Phishing-e-poster skaper en følelse hastverk eller av en følelse av press til å utføre umiddelbare handlinger som eksempelvis ubetalt regning med inkassovarsel eller lukking av brukerkonto.
  • Dårlig språkbruk: Feil og rare setninger er ofte et tegn. Derimot er ikke dette noe som gjelder alle. Hackere som tar seg tid til å utforme eposten grundig vil ha godt språk og utforming.
  • Mistenkelige lenker: Se på lenken og se om noe ser uvanlig ut. Er det et nettsted du ikke er kjent med i denne konteksten kan det være lurt å droppe å klikke på den. Ofte kan du gå direkte til nettsiden å se selv, fremfor å følge lenken.
  • Uvanlige forespørsler: Vær skeptisk hvis du blir bedt om sensitiv informasjon. Legitime kilder ber der sjelden om å gi fra deg informasjon i e-post.

Spear Phishing, et målrettet angrep

Denne typen phishing er mer sofistikert. I stedet for en bred og generell tilnærming, fokuserer de på spesifikke individer eller organisasjoner. Hackerne bruker tid på å tilpasse meldingene, noe som gjør dem vanskeligere å oppdage. Hackerne legger ned tid i å utforske målet, hente offentlig informasjon og tilpasse meldingene slik at de fremstår som troverdige. Dersom målet har tilgang til verdifull informasjon eller monetær verdi som bedriftens bankkonto kan det være lønnsomt for hackere å bruke betydelig tid på research og utforming av den perfekte meldingen.

Tenkt deg at du eksempelvis får en e-post fra en konferanse du skal delta på i neste uke, om å bestemme hvilket foredrag du ønsker å delta på eller si noe om dine lunsjpreferanser. Målrettede angrep kan være skikkelig spesifikke mot deg, som gjør det svært vanskelig å avsløre. Å beskytte seg mot slike trusler krever vaktsomhet og opplæring. Alle må kritisk vurdere meldinger de mottar.

Den menneskelige faktoren i cybersikkerhet

Medarbeidere er ofte det svakeste leddet i organisasjonens forsvar mot digitale trusler. Teknologi er viktig, men opplæring i å oppdage phishing er også kritisk. Det handler om å utruste ansatte med verktøyene de trenger for å kjenne igjen angrep og beskytte sensitiv informasjon. God opplæring gir de ansatte evnen til å se og avverge trusler. Dette inkluderer:

  • Phishing-simuleringer: Test ansatte med fiktive angrep. Dette gir god og jevnlig trening i å kjenne igjen angrep.
  • Kontinuerlig opplæring: Hold alle oppdatert på de siste truslene og metodene, og hvordan ansatte skal sikre seg bedre.
  • Sikkerhetsrutiner: Lag klare retningslinjer for bruk av internettet, håndtering av passord og hvordan ansatte skal rapportere mistenkelig aktivitet.

Phishing fortsetter å utvikle seg, men ved å forstå, kjenne igjen tegnene, og investere i opplæring, kan organisasjoner styrke sitt forsvar. Sørg for å gi de ansatte de kunnskapen og verktøyene de trenger å være en ressurs mot cyberangrep.

Flere artikler

Abonner på Easywaves nyhetsbrev

Vi sender informasjon om endringer i trusselbildet, og hvordan du kan forbedre din digitale sikkerhet. Null spam, bare bra innhold.

Skal Easywave håndtere IT for dere også?

Ta kontakt nå