Falske E-mails – Phishing:
Falske e-mails, ofte refereret til som phishing-e-mails, udgør en af de mest udbredte og vellykkede metoder til at narre dig eller dine medarbejdere til at lække fortrolige oplysninger. Disse e-mails kan se ud som om de kommer fra pålidelige kilder, som en underleverandør, kunde, eller endda en kollega. De opfordrer typisk modtageren til at klikke på et link eller downloade en vedhæftning, der i virkeligheden indeholder skadelig software eller en formular til at indtaste personlige oplysninger.
For eksempel kan en medarbejder modtage en e-mail, der ser ud til at være fra jeres IT-afdeling og beder om at bekræfte deres login-oplysninger. Når disse oplysninger indtastes, kan de havne i hænderne på en angriber, der nu har adgang til den indsendte konto.
Falske SMS’er og Facebook-beskeder:
Cyberkriminelle benytter sig også af SMS’er og beskeder på sociale medier som Facebook for at narre virksomheder. Disse beskeder kan indeholde link til falske websteder, der ser ud som legitime tjenester eller indblik i presserende anmodninger, der kræver øjeblikkelig handling. Når medarbejdere klikker på disse links eller deler følsomme oplysninger, kan de udsætte jeres virksomhed for alvorlige sikkerhedsrisici.
Lige på de sociale medier kan man være svært bombarderet med falske beskeder. Onde aktører har ofte en bevidst strategi hvor de samler lister på deltagere i f.eks. Facebook konkurrencer, og dernæst udgiver sig for at være konkurrencens afsender når de kontakter deres offer. På den måde kan de få paraderne nede, da man som person både er glad for at have vundet, og godt kan huske man har deltaget i en konkurrence.
Et eksempel fra virkelighedens verden:
En dag modtager vi en e-mail hos Provi, der synes at være fra en af vores underleverandører – her specifikt en tjeneste til domænestyring. Mailens tekst-indhold er en tro kopi af, hvad vores underleverandør normalt ville skrive hvis en betalingskonto er ved at udløbe.
I mailen refereres der til et domæne som vi rigtigt nok styrer; det kan være de cyberkriminelle har fået indblik i ejerskabet over domænet i et tidligere datalæk. Derudover er der i mailen et link til betaling, hvor man sandsynligvis bliver promptet til at oplyse sine kortoplysninger eller adgang til konto hos underleverandøren, så de kan tage kontrollen derfra.
Det eneste der afslører at der er noget på færde er:
- Mailen endte i vores spam folder
- Mailens afsender så rigtig ud, men selve afsenderadressen er ikke fra vores underleverandør
- Det link der refereres til i mailen leder ikke ind på vores underleverandør’s domæne.
Sådan beskytter du dine medarbejdere mod falske beskeder:
Det er absolut livsnødvendigt at forsvare jeres virksomhed imod denne type trusler. Her er nogle skridt, som virksomheder kan tage:
- Sikkerhedstræning: Sørg for, at dine medarbejdere er opmærksomme på faren ved phishing og andre former for svindel. Giv dem regelmæssig træning i at genkende mistænkelige beskeder.
- To-faktor-godkendelse (2FA): Kræv, at medarbejdere bruger 2FA, når de har adgang til virksomhedens systemer. Dette giver en ekstra lag af beskyttelse, selv hvis adgangsoplysningerne er blevet lækket. Det betyder, at den cyberkriminelle altså ikke nødvendigvis har adgang til systemet, selvom de har fået et login.
- Opdatering af software: Hold alle software og systemer opdateret med de seneste sikkerhedsrettelser for at reducere eksponeringen over for sårbarheder.
- Tag altid direkte kontakt: Som f.eks. Politiet ofte skriver ud, prøv altid at gå direkte til kilden hvis en aktør forsøger at kontakte dig. Hvis du får en mail eller SMS fra en underleverandør bør du gå direkte til underleverandørens tjeneste eller ringe direkte til dem.
- Klik aldrig på links i en e-mail eller SMS. Er det nødvendigt at bruge f.eks. et betalingslink i en e-mail bør du sørge for at du har bekræftet afsenderen. Det kan du blandt andet gøre ved at sammenligne afsenderen fra den seneste besked med tidligere beskeder du har fået fra samme leverandør.
I den konstante kamp mod cyberkriminalitet er opmærksomhed og forebyggelse nøglen til at beskytte jeres fortrolige oplysninger og data. Det er afgørende, at i forstår risici ved falske e-mails, SMS’er og Facebook-beskeder og træffer de nødvendige foranstaltninger for at forsvare jer mod dem.