Sådan beskytter du din virksomhed mod phishing-angreb via e-mail

Cyberkriminalitet er nu en af de mange bekymringer, virksomheder står overfor dagligt. Teknologi har været en hjørnesten i udviklingen for mange virksomheder; dog, efterhånden som den digitale del bliver mere essentiel for virksomheders drift og daglige aktiviteter, vokser også antallet af angreb i dette miljø.

En af de mest almindelige måder for hackere at få adgang til privat information om enkeltpersoner og virksomheder er gennem e-mail. E-mail er en af de mest anvendte kanaler af virksomheder og enkeltpersoner til at dele information dagligt. Det er utroligt, hvor meget information der sendes gennem e-mail hver dag, og hvor meget af disse data indeholder privat eller følsom information. Antag, at du vil forhindre din virksomhed i at lide et phishing-angreb på grund af en forglemmelse i korrekt brug af e-mail. I så fald vil denne artikel give dig værdifuld information til at forhindre og give større sikkerhed til din virksomhed. 

Først, hvad er phishing?

Phishing er en type social engineering, hvor hackeren narrer en bruger til at gøre “det forkerte”, hvilket normalt indebærer at afsløre information eller klikke på et ondsindet link. Phishing kan udføres via sociale medier, tekstbeskeder eller endda telefonisk. Men i dag har e-mails været den mest almindelige kanal til at udføre denne type angreb. E-mail er en ideel leveringsmetode for phishing-angreb, fordi de fleste mennesker tjekker deres e-mails i en hast. Derudover er disse ondsindede e-mails meget nemme at kamuflere blandt legitime e-mails.

Hvordan påvirker phishing virksomheder?

En organisation af enhver type og størrelse kan blive ramt af en phishing-e-mail. Udover tyveri af information kan phishing-e-mails installere malware, herunder ransomware, sabotere dine systemer eller stjæle penge gennem svindel. Derudover kan et cyberangreb ødelægge dit omdømme og din kundes tillid. Du kan blive fanget i en masse-kampagne; dette er, når angriberen stjæler adgangskoder eller tjener nogle lette penge, hvilket normalt er det første skridt til at begå et større angreb på din virksomhed, som tyveri af følsomme data. I en målrettet kampagne kan angrebene bruge privat information om dine medarbejdere til at lave mere realistiske og overbevisende beskeder, hvilket er kendt som spear phishing.

Hvorfor er phishing-angreb succesfulde?

Hackere har studeret folks online adfærd meget godt, de ved, hvordan folks sociale instinkter fungerer, såsom at være hjælpsom og effektiv. Phishing-angreb kan være særligt kraftfulde, fordi disse sociale instinkter også gør os gode til vores arbejde.

Den mest effektive måde at beskytte sig mod phishing-angreb er at anvende en kombination af teknologi, proces og menneskebaserede tilgange. For eksempel, hvis du vil have folk til at rapportere enhver mistænkelig e-mail, skal du gøre det nemt for dem at gøre det. Dette betyder at give tekniske midler til at rapportere e-mailen og have en proces på plads, der vil give rettidig feedback på rapporten.

Hvordan beskytter du din virksomhed mod phishing-angreb?

Her er nogle trin fra eksperter til at beskytte din virksomhed mod e-mail phishing-angreb:

Udvid dine forsvar:

Typiske forsvar mod phishing afhænger af brugernes evne til at opdage phishing-e-mails. Ved at udvide dine forsvar kan du forbedre din modstandsdygtighed mod phishing uden at forstyrre dine medarbejderes produktivitet. Du vil også have flere muligheder for at opdage et phishing-angreb og handle, før det kan forårsage stor skade på din virksomhed. Det er også vigtigt at acceptere, at nogle angreb vil slippe igennem, hvilket du kan bruge som en fordel til at planlægge forud og minimere den forårsagede skade.

Når du udvikler din sikkerhedsplan, kan du tænke på dine forsvar i form af fire lag:

• Lad ikke dine e-mailadresser være en ressource for hackere.
• Hjælp brugere med at identificere og rapportere potentielt skadelige eller svigagtige e-mails.
• Hold din organisation sikker fra phishing-e-mails, der går ubemærket hen.
• Det er vigtigt at reagere hurtigt på hændelser for at løse dem så hurtigt som muligt.

Nedenfor vil vi forklare hvert af disse lag og hvordan man anvender dem i din virksomhed. 

Lag 1: Gør det svært for hackere at nå dine brugere

Det første lag beskriver de forsvar, der kan gøre det svært for hackere overhovedet at nå dine slutbrugere.

Lad ikke hackere bruge dine e-mailadresser som en ressource

Angribere kan narre folk ved at sende e-mails, der foregiver at være en anden, for eksempel en af dine medarbejdere eller endda dig selv. Disse forfalskede e-mails kan nå dine kunder eller folk inden for din organisation.

Hvordan kan du forhindre dette?

For at beskytte dine e-mailadresser og forhindre hackere i at få adgang, kan du anvende anti-spoofing kontroller: DMARC, SPF og DKIM. Derudover er det meget nyttigt at opfordre dine kontakter til at gøre det samme.

Reducer de tilgængelige oplysninger online

De online offentlige oplysninger om din virksomhed er kendt som et “digitalt fodaftryk” og inkluderer alle de offentlige oplysninger, du poster på sociale medier og din hjemmeside. Inklusive dem, dine medarbejdere har postet.

Hvad kan du gøre ved dette?

Giv ikke unødvendige detaljer; vær opmærksom på de oplysninger, dine partnere, entreprenører og leverandører giver om dig i deres organisations online kommunikation, og arbejd med dine medarbejdere for at minimere sikkerhedsrisici. Uddan dit personale om, hvordan deling af deres personlige oplysninger kan påvirke dem og organisationen, og udvikl en politik for et rent digitalt fodaftryk for alle brugere.

Filtrer eller blokér indkommende phishing-e-mails

Filtrering eller blokering af ethvert forsøg på phishing-angreb, før det når dine brugere, reducerer sandsynligheden for nogen skade. Derudover reducerer det også den tid, brugerne skal bruge på at tjekke for mistænkelige e-mails og rapportere dem.

Hvordan kan du gøre dette?

Anskaff en cloud-baseret filtrerings/blokeringsservice til at blokere alle indkommende e-mails med phishing og malware, før de når din bruger. Sørg for, at den service, du får, dækker alle dine brugere. For indgående e-mails skal afsenderens anti-spoofing-politikker respekteres. Hvis afsenderen har en DMARC-politik med en afvisningspolitik, skal du gøre som foreskrevet. Derudover kan e-mails filtreres eller blokeres på en række måder, såsom ved hjælp af IP-adresser, domænenavne, e-mail-adresse hvid/sortlister, offentlige spam og åbne relay sortlister, vedhæftningstyper og malware-detektion.

Lag 2: Hjælp brugeren med at identificere og rapportere mistænkte phishing-e-mails

Dette lag forklarer de bedste måder at hjælpe dit personale med at opdage phishing-e-mails og hvordan man forbedrer din rapporteringskultur.

Et veludført phishing-træningsprogram kan gøre en forskel

En af de mest fremhævede metoder vedrørende phishing-forsvar er at træne dine brugere, de kan yde et værdifuldt bidrag til din organisations sikkerhed. Men mennesker kan begå fejl, derfor er det afgørende at give en holistisk tilgang med passende tekniske afbødninger og ændringer til den bredere sikkerhedskultur i organisationen. 

Hvordan kan du gøre dette?

Dit personale skal vide, at phishing-beskeder kan være svære at opdage, og du forventer ikke, at folk identificerer dem hele tiden. I stedet fremme en tankegang, hvor det er okay at bede om vejledning eller støtte, når noget virker forkert.

Straff aldrig brugere, der har svært ved at opdage phishing-e-mails. Husk, hackere er professionelle, og de ved, hvordan man narrer folk. Træning bør sigte mod at forbedre dine medarbejderes selvtillid og vilje til at rapportere fremtidige hændelser.

Sørg for, at dine brugere forstår konsekvenserne af phishing, og giv virkelige eksempler og en håndgribelig case-studie uden at overvælde folk.

Arbejd med det personale, der er mere sårbare over for at modtage phishing-e-mails. For eksempel er kundevendte afdelinger, det finansielle område eller IT-personalet af større interesse for hackere. Sørg for, at personalet er opmærksom på risiciene og tilbyd dem ekstra støtte.

Gør det lettere for dine brugere at genkende svigagtige anmodninger

Angribere vildleder brugere for at få adgang til adgangskoder eller foretage uautoriserede betalinger. Med tanke på hvilke processer der er mere tilbøjelige til at blive efterlignet af angribere, er det nødvendigt at forbedre og gennemgå dem, så det bliver lettere at opdage disse phishing-angreb.

Hvordan kan du gøre dette?

Sørg for, at alle involverede er bekendt med processerne og er forberedt på at genkende usædvanlig aktivitet.

Implementer to-faktor autentificering, hvilket betyder, at alle vigtige e-mail-anmodninger verificeres gennem en anden type kommunikation, såsom tekstbeskeder, opkald eller personligt. En anden ting, du kan gøre for at dele filer, er gennem en adgangskontrolleret cloud-konto; på denne måde undgår du eventuelle vedhæftninger i dine e-mails.

Overvej at fortælle dine leverandører eller kunder, hvad de skal kigge efter, såsom “vi vil aldrig bede dig om din adgangskode eller bankoplysninger”.

Opfordre brugere til at bede om hjælp, når de har brug for det

At opbygge en god rapporteringskultur gør det muligt for dine brugere at bede om hjælp og giver dig vigtig information om, hvilke typer phishing-angreb der er rettet mod din organisation. Du kan også lære, hvilke typer e-mails der forveksles med phishing, og hvilke forbedringer du kan foretage.

Hvordan kan du gøre dette?

Opret en effektiv proces for brugere til at rapportere, når de tror, phishing-forsøg kan have passeret din organisations tekniske forsvar. Sørg for, at processen er klar, enkel og bekvem.

Giv hurtig og specifik feedback om, hvilken handling der er blevet taget, og gør det klart, at deres bidrag gør en forskel og er nyttige.

Tænk over, hvordan du kan bruge uformelle kommunikationskanaler til at skabe et miljø, hvor det er nemt for personalet at tale om emnet og bede om støtte og vejledning.

Undgå at skabe en straf- eller skyldorienteret kultur omkring phishing.

Lag 3: Beskyt din organisation mod virkningerne af uopdagede phishing-e-mails

Dette lag forklarer, hvordan man minimerer virkningen af uopdagede phishing-e-mails.

Beskyt dine enheder mod malware

Malware er skjult i e-mails eller falske hjemmesider, men du kan konfigurere dine enheder til at stoppe malware-installation, selvom e-mailen klikkes.

Hvordan kan du undgå malware?

En måde at forhindre angribere i at udnytte dine sårbarheder er at bruge understøttet software og enheder og holde dem opdateret med de nyeste versioner fra softwareudviklere, hardwareleverandører og sælgere.

Begræns brugen af administrator-konti til kun det personale, der har brug for dem. Dog bør personer med administrator-konti aldrig bruge dem til at tjekke e-mails eller surfe på nettet.

Overvej andre sikkerhedsforsvar mod malware, såsom deaktivering af makroer, anti-malware software, antivirus osv. Dog skal du sikre dig, hvilken type malware-forsvar der er passende for de forskellige enheder.

Beskyt dine brugere mod ondsindede sider

Links til ondsindede hjemmesider er altid den vigtigste del af phishing-e-mails. Men hvis linket ikke kan åbne hjemmesiden, vil angrebet ikke blive gennemført.

Hvordan kan du gøre dette?

Den mest moderne og opdaterede software vil blokere hjemmesider, der indeholder malware. Dog er denne mulighed ikke altid tilgængelig på mobile enheder.

Organisationer bør køre en proxy-service, enten internt eller i skyen, for at blokere ethvert forsøg på at nå hjemmesider, der er identificeret som vært for malware eller phishing-kampagner.

Beskyt dine konti med en stærkere autentificering

Hackere er altid på jagt efter adgangskoder, især når de er til konti med privilegier til at få adgang til følsomme oplysninger, finansielle aktiver eller IT-systemer. Sørg for at gøre din login-proces mere modstandsdygtig over for phishing, og begræns antallet af konti med privilegeret adgang til følsomme oplysninger.

Hvordan kan du gøre dette?

Aktiver to-faktor autentificering (2FA) eller to-trins verifikation. At have en anden faktor betyder, at angriberen ikke kan få adgang til en konto ved hjælp af en stjålet adgangskode.

Brug en adgangskode-manager. Nogle af disse genkender rigtige hjemmesider og vil ikke autofylde på falske hjemmesider; på denne måde undgår du at give dine login-oplysninger til en falsk hjemmeside. Derudover kan du bruge en single sign-on metode, hvor enheden genkender og logger ind på den rigtige hjemmeside automatisk. Disse to teknikker undgår manuel indtastning af adgangskoder, hvilket betyder, at det ville være usædvanligt, når en hjemmeside beder brugeren om at indtaste adgangskoden.

Overvej at bruge alternative login-mekanismer, der er sværere at stjæle, som biometrik eller smartcards.

Fjern eller suspendér konti, der ikke længere bruges.

Lag 4: Reager hurtigt på hændelser

Alle organisationer vil opleve et cyberangreb på et tidspunkt; at være opmærksom på dette og have en plan på forhånd for at reagere straks er afgørende for at undgå de mest alvorlige konsekvenser.

Opdag hændelser hurtigt

At vide om en hændelse før snarere end senere giver dig mulighed for at begrænse den skade, den kan forårsage.

Hvordan kan du gøre dette?

At have en sikkerhedsovervågningskapacitet kan opfange hændelser, dine brugere ikke er opmærksomme på. Dog kan dette ikke være muligt for alle organisationer, så du kan starte med at indsamle logfiler, såsom historien om modtagne e-mails, webadresser der er tilgået, og forbindelser til eksterne IP-adresser. For at indsamle disse oplysninger kan du bruge overvågningsværktøjer indbygget i hyldetjenester, såsom cloud-sikkerhedspaneler, opbygge et internt team eller outsource til en administreret sikkerhedsovervågningstjeneste. Mængden, du indsamler og gemmer, vil afhænge af dit budget. Når du har gjort dette, skal du sørge for at holde det opdateret, så det forbliver effektivt.

Hav en hændelsesreaktionsplan

Når du eller nogle af dine medarbejdere har opdaget et phishing-angreb, skal du vide, hvad du skal gøre for at forhindre nogen skade så hurtigt som muligt.

Hvordan kan du gøre dette?

Sørg for, at alle i organisationen ved, hvad de skal gøre i tilfælde af forskellige typer hændelser, deres ansvar og hvordan de vil gøre det. Sørg for, at din plan overholder de juridiske og regulatoriske forpligtelser i din organisation. Hændelsesreaktionsplaner bør øves før for at sikre, at alle er fortrolige med proceduren og deres roller.

Afsluttende tanker

Afslutningsvis kan phishing-angreb have alvorlige konsekvenser for enkeltpersoner og organisationer. Det er vigtigt at huske, at det ikke er et problem, der kan løses med én løsning, men snarere ved at implementere forskellige lag af forsvar. Dette kan involvere tekniske foranstaltninger, såsom at bruge sikre e-mail-gateways og proxy-tjenester, samt at have stærk autentificering og regelmæssig brugertræning for at uddanne medarbejdere i at genkende phishing-forsøg. Endelig er det afgørende at være forberedt med en reaktionsplan i tilfælde af et angreb for at minimere skaden og komme sig hurtigt.