Phishing – en alvorlig trussel mod borgere og virksomheder

14. december 2020 - Julen er ovre, og butikkerne er lukkede. Det betyder online-shopping og hjemmearbejde, og det er noget, hackerne kan lide. Truslen for phishing-angreb er vedvarende alvorlig både for private og for virksomheder, og hackerne bliver kun dygtigere til deres arbejde.

De fleste af os sender og modtager mails hver dag både privat og i forbindelse med arbejde. Og de fleste af os har prøvet at modtage en mail, der ikke helt var, hvad den udgav sig for at være. Phishing er en af de mest udbredte metoder blandt cyberkriminelle og en ny trusselsvurdering fra Center for Cybersikkerhed viser, at phishing udgør en vedvarende alvorlig trussel for myndigheder, virksomheder og borgere i Danmark.

Vi modtager konstant phishing-mails

Ifølge rapporten vurderes det, at op mod 80 % af de mails, som virksomhederne modtager udefra, kan være uønskede eller direkte skadelige. Og større organisationer modtager dagligt phishing-mails. Det sætter store krav til medarbejderne og til sikkerheden i virksomheden.

Martin Thunn Hansen er Security Consultant i Dubex, og det er samtidig ham, der står for de mange phishing-test, som Dubex bliver sat til at lave. Ifølge Martins statistik bliver der klikket på ca. 25 % af de phishing-mails, han sender ud, og næsten alle der klikker, afgiver også brugernavn og password.

”Når jeg går i gang med en phishing-kampagne, lægger jeg en masse arbejde i at få modtagerne til at føle sig trygge. Det gør jeg bl.a. ved at se, hvad jeg kan finde af information om virksomheden og medarbejderne online,” fortæller Martin og fortsætter: ”Og hvis de så trykker på linket i mailen, kommer de til en loginside, hvor de skal kunne føle sig hjemme f.eks. med velkendte billeder, logoer osv.”

Målet med en phishing-test er at simulere et rigtigt phishing-angreb for at finde ud af, hvor modstandsdygtig virksomheden er, hvis de skulle blive udsat for det.

”Phisherne i dag er blevet så dygtige og går meget målrettet efter deres bytte. Det samme gør jeg,” siger Martin.

Teknologi og mennesker skal kæmpe sammen

De fleste cyberangreb indledes med et phishing-angreb, og det kan Martin godt nikke genkendende til: ”Størstedelen af de DIRT-sager, vi har i Dubex, starter med et phishing-angreb,” fortæller Martin.

Det er derfor vigtigt, at man som virksomhed er modstandsdygtig overfor den slags angreb.

Ifølge trusselvurderingen, bruger mange virksomheder mailfiltre, som er med til at stoppe uønskede mails. Dog slipper ca. hver 10. phishing-mail igennem sådan et filter. Det er derfor vigtigt, at man klæder medarbejderne på til at kunne gennemskue, hvis de bliver udsat for phishing.

Et godt råd til virksomheder er også at give eksterne mails et stempel, så man kan se, hvis mailen ikke kommer fra en i virksomheden. Dette kan bl.a. afsløre forsøg på CEO-fraud, hvor det skal ligne at mailen kommer internt fra.

”På et eller andet tidspunkt kan det være, at nogle medarbejdere bliver blinde over for sådan et stempel, men hellere nudge medarbejderne til at være opmærksomme end slet ikke at gøre noget,” understreger Martin.

Desuden er der flere små ting, man kan være opmærksom på som bruger, når man modtager e-mails og sms’er.

”Tjek domænet. Hvis der står alt muligt efter det kendte domænenavn, kan det være et tegn på phishing. Og er mailen en, du forventer at modtage? Hvis ikke kan dette også være et tegn. Det er nogle de bedste tips, jeg kan give,” siger Martin.

Bliver du presset med korte tidsfrister, forekommer der upersonlige hilsner, og er der dårlige formuleringer og stavefejl, er det også tegn på phishing.

”Vi laver alle sammen fejl, og phisherne er utrolig dygtige, men hvis vi er mere opmærksomme og mere kritiske over for det, vi modtager, kan vi forhåbentlig bliver bedre til at gennemskue det,” siger Martin.

Phisherne holder ikke ferie

Phisherne bruger mange forskellige metoder til at lokke os i fælden, men særligt mails vedrørende uautoriseret logins og organisatoriske ændringer får folk til at falde i fælden.

”Dit password er udløbet, du er logget ind fra en ny enhed, og organisatoriske ændringer vinder hver gang. Der er ikke noget, der er mere kedeligt, men det virker hver gang,” fortæller Martin.

Men det er kun fantasien, der sætter grænser for, hvad phisherne bruger som madding på krogen.

”Vi ser en stigning i antallet af forsøg på phishing i ferierne,” fortæller Martin og fortsætter: ”I ferierne er der typisk færre på arbejde til at opdage angreb og gøre noget ved dem, og samtidig giver ferier eller særlige begivenheder phisherne godt indhold til diverse e-mails.”

Det er set før, at man har modtaget en mail fra PostNord, om at ens pakke er på vej, men noget af fragten ikke er betalt. Det er ofte en tegn på phishing – og et man skal være særlig opmærksom på omkring f.eks. julen, som vi lige har været igennem eller her i januar, hvor en stor del af befolkningen bestiller deres varer på januarudsalg online.

Virksomhederne ved det godt

Ikke nok med at phishing-mails er skadelige, så svækker de også tilliden til e-mails. Og i takt med at phisherne bliver dygtigere og dygtigere til deres arbejde, bliver det tilsvarende sværere at gennemskue phishing-mails. Hvis det ikke var nok, udvikles der konstant nye metoder at narre medarbejdere og borgere med.

Phishing er ikke længere bare på e-mail. Der er også mange, der modtager ondsindede sms’er også kaldes smishing og sågar opkald – dette kaldes vishing.

”Phishing er en alvorlig trussel for virksomhederne. Og også for privatpersoner,” understreger Martin.

Og det er noget, som mange virksomheder godt er klar over.

”Jeg udfører mange flere phishingtest nu, end jeg har gjort tidligere. Virksomhederne ved godt, at det er en kæmpe trussel, og derfor vil de gerne vide, hvor sårbare de er, og hvor de skal sætte ind henne,” afslutter Martin.

Læs mere

Se video: Call spoofing

Vær opmærksom når du modtager opkald. De cyberkriminelle kan nemlig få et opkald til at ligne, at det kommer fra en, du kender. Men i virkeligheden kan det være et trick for at få dig til at udlevere oplysninger.

Sikker online juleshopping

Vi shopper som aldrig før – online. Og dette medfører en lang række sikkerhedsmæssige udfordringer. Men med kun et par få gode råd, er du allerede langt mere sikker, når du foretager dine juleindkøb på nettet.

Se video: Smishing – COVID-19 som lokkemad

Falske SMS’er med ondsindede links er ikke et sjældent syn. De cyberkriminelle bruger særligt i denne tid COVID-19-pandemien som redskab, når de vil forsøge at få folk til at klikke.

Tak for din interesse. Vi har nu registreret din henvendelse og du hører fra os snarest muligt.