Phishing-angrep er på vei oppover, og de er stadig dyrere for bedrifter. Den nyeste tilstanden i Phish-rapporten indikerer at 76 prosent av informasjonssikkerhetens fagpersoner opplevde et phishing-angrep i 2017, og Verizon rapporterer at 90 prosent av alle cyberangrep (som i økende grad inkluderer ransomware) begynner med phishing-e-post.

Det betyr at ondsinnet e-post burde ha det beste for bedrifter. Imidlertid forstår mange selskaper fortsatt ikke bredden og omfanget av phishing-problemet, de potensielle risikoene, eller til og med hva phishing egentlig er.

Hva teller som phishing?

Ethvert forsøk på å skaffe seg informasjon eller penger som bruker en falsk e-post, teller som phishing. Phishing-e-poster spoof utseendet på en faktisk e-postmelding fra en klarert kilde - en person eller oftere, et selskap som Amazon, Google eller PayPal. Disse e-postene gir en følelse av haster for brukerne å følge en lenke til en side der de vil legge inn sine personlige passord for å forhindre noen form for uønsket hendelse - som at deres e-postkonto blir stengt eller en svindelskatt blir behandlet - eller å dobbeltsjekke en kontosaldo.

Når de logger inn, kan informasjonen bli stjålet, eller datamaskinen kan bli smittet med skadelig programvare eller ransomware. I noen tilfeller bruker cyberkriminelle dataene til å hack i kontoer og stjele penger eller foreta svindelfulle kjøp.

Phishing-svindel inneholder vanligvis koblingsmanipulering - ved hjelp av feilstavede nettadresser som ligner på legitime. Ofte phishers bruker bilder innebygd i e-postmeldinger i stedet for tekst for å unngå evigfiltre. Mer sofistikerte tilnærminger kan innebære en skjult omdirigering som bruker en påloggings-popup på et legitimt nettsted.

Det er noen vanlige tilnærminger:

  • Spyd phishing er et stadig vanlig angrep som er rettet mot en bestemt person eller bedrift. Disse angrepene involverer vanligvis å samle informasjon om målet eller målene forut for å bedre håndtere phishing-e-post for å manipulere potensielle ofre.
  • Klonfisking bruker en legitim og tidligere levert e-post med vedlegg eller lenke som har innhold og adresse klonet. Koblingen / vedlegget erstattes deretter med et skadelig nettsted eller vedlegg.
  • Hvalfangstangrep er rettet mot toppledere eller andre høyprofilerte mål. Disse svindelene tar vanligvis form av viktige forretnings- eller juridiske e-postadresser, og har til og med tatt med smidede underkvoter.
  • SMS-phishing, eller smishing, bruker mobiltelefon tekstmeldinger for å skumme personlig informasjon fra mottakere.

(Bilde: © Pixelcreatures / Pixabay)

Lavteknologiske sikkerhetsstrategier

Mens e-postfiltre og annen sikkerhetsteknologi kan bidra til å blokkere phishing-e-postmeldinger fra å komme til kundens innboks, oppdaterer de kriminelle bak disse svindelene kontinuerlig deres teknikker for å unngå deteksjon. Phishing er avhengig av psykologisk manipulasjon, og sluttbrukerne er den svakeste lenken i kjeden.

Selv grunnleggende, lavteknologiske strategier kan hjelpe deg med å beskytte bedriften din og kundene dine fra kostnadene og konsekvensene av et phishing-angrep. Disse inkluderer:

Trening

Oppgi sluttbrukeropplysningstrening for å hjelpe medarbeiderne å gjenkjenne fortellingene om phishing - feilstavede nettstednavn, merkelig navngitte vedlegg, etc. Ansatte bør “sveve” over avsendernavn i e-post og innebygde koblinger for å sikre at de samsvarer med opprinnelseskontoen eller et legitimt nettsted.

Sørg for at de også kjenner til beste praksis, som aldri logger inn på et nettsted de nådde via en e-postkobling.

Utpekte e-postadresser

Hvis virksomheten regelmessig mottar legitime e-poster for finansielle transaksjoner, kan de for eksempel sette opp bestemte e-postadresser bare for disse forespørslene. Begrens eksponeringen av disse adressene på offentlige nettsteder, noe som kan bidra til å redusere målfoten når det gjelder phishing.

Kode navn / kodeord

Kodenavn er ikke bare for spioner. Ansatte eller klienter kan etablere bestemte e-postformater eller kodeord som skal brukes til korrespondanse som vil gi mottakeren beskjed om at e-posten var legitim.

Forfølge e-postpolitikk

Opprett retningslinjer for å minimere antall sensitive transaksjoner som skjer via e-post. Hvis ansatte vet at finansielle godkjennelser bare skal gjøres personlig eller over telefonen, er det for eksempel usannsynlig at de vil falle for et phishing-forsøk for å få dem til å gjøre det via e-post.

Phishing er en voksende og stadig utviklende trussel, så det er viktig å holde seg oppdatert om de nyeste truslene og hvilke skritt som organisasjonen kan ta for å redusere disse angrepene.

Jason Howells, EMEA Salgsdirektør ved Barracuda MSP

  • Vi har også markert det beste antivirusprogrammet