Nätfiskemedvetenhet: Hur händer det och hur man förhindrar det
Varför använder brottslingar en nätfiskeattack?
Vilken är den största säkerhetsbristen i en organisation?
Folket!
Närhelst de vill infektera en dator eller få tillgång till viktiga informationen som kontonummer, lösenord eller PIN-nummer, allt de behöver göra är att fråga.
Nätfiske attacker är vanliga eftersom de är:
- Lätt att göra – Ett 6-årigt barn kan utföra en nätfiskeattack.
- Skalbar – De sträcker sig från spjutfiskeattacker som träffar en person till attacker mot en hel organisation.
- Mycket effektivt - 74% av organisationerna har upplevt en framgångsrik nätfiskeattack.
- Gmail-kontouppgifter – $80
- Kreditkortsnål – $20
- Online bankuppgifter för konton med minst $ 100 i dem - $40
- Bankkonton med minst $ 2,000 - $120
Du tänker förmodligen, "Wow, mina konton går för bottendollar!"
Och detta är sant.
Det finns andra typer av konton som går för en mycket högre prislapp eftersom de är lättare att hålla pengaöverföringar anonyma.
Konton som har krypto är jackpotten för nätfiskebedragare.
Gällande kurser för kryptokonton är:
- Myntbas – $610
- Blockchain.com – $310
- Binance- $410
Det finns även andra icke-ekonomiska skäl till nätfiskeattacker.
Nätfiskeattacker kan användas av nationalstater för att hacka sig in i andra länder och bryta deras data.
Attacker kan vara för personliga hämnd eller till och med för att förstöra rykten för företag eller politiska fiender.
Anledningarna till nätfiskeattacker är oändliga...
Hur börjar en nätfiskeattack?
En nätfiskeattack börjar vanligtvis med att brottslingen kommer direkt ut och skickar ett meddelande till dig.
De kan ge dig ett telefonsamtal, ett e-postmeddelande, ett snabbmeddelande eller ett SMS.
De kan hävda att de är någon som arbetar för en bank, ett annat företag du gör affärer med, en statlig myndighet eller till och med låtsas vara någon i din egen organisation.
Ett nätfiskemeddelande kan be dig klicka på en länk eller ladda ner och köra en fil.
Du kanske tror att det är ett legitimt meddelande, klicka på länken i deras meddelande och logga in på vad som verkar vara webbplatsen från den organisation du litar på.
Vid det här laget är nätfiskebedrägeriet klar.
Du har lämnat över din privata information till angriparen.
Hur man förhindrar en nätfiskeattack
Huvudstrategin för att undvika nätfiskeattacker är att utbilda anställda och bygga upp organisationens medvetenhet.
Många nätfiskeattacker ser ut som legitima e-postmeddelanden och kan passera genom ett spamfilter eller liknande säkerhetsfilter.
Vid första anblicken kan meddelandet eller webbplatsen se verklig ut med en känd logotyplayout, etc.
Lyckligtvis är det inte så svårt att upptäcka nätfiskeattacker.
Det första du bör hålla utkik efter är avsändarens adress.
Om avsändaradressen är en variant på en webbplatsdomän som du kanske är van vid, kanske du vill gå försiktigt fram och inte klicka på någonting i e-postmeddelandet.
Du kan också titta på webbadressen dit du omdirigeras om det finns några länkar.
För att vara säker bör du ange adressen till den organisation du vill besöka i webbläsaren eller använda webbläsarfavoriter.
Se upp för länkar som när du håller muspekaren över visar en domän som inte är samma som företaget som skickar e-postmeddelandet.
Läs innehållet i meddelandet noggrant och var skeptisk till alla meddelanden som ber dig att skicka in dina privata uppgifter eller verifiera information, fylla i formulär eller ladda ner och köra filer.
Låt inte heller innehållet i meddelandet lura dig.
Angripare försöker ofta skrämma dig för att få dig att klicka på en länk eller belöna dig för att få dina personuppgifter.
Under en pandemi eller nationell nödsituation kommer nätfiskebedragare att dra nytta av människors rädsla och använda innehållet i ämnesraden eller meddelandetexten för att skrämma dig att vidta åtgärder och klicka på en länk.
Kontrollera också om det finns dåliga stavnings- eller grammatikfel i e-postmeddelandet eller webbplatsen.
En annan sak att tänka på är att de flesta betrodda företag vanligtvis inte kommer att be dig att skicka känslig information via webben eller mail.
Det är därför du aldrig ska klicka på misstänkta länkar eller tillhandahålla någon form av känslig information.
Vad gör jag om jag får ett nätfiske-e-postmeddelande?
Om du får ett meddelande som ser ut som en nätfiskeattack har du tre alternativ.
- Radera det.
- Verifiera meddelandeinnehållet genom att kontakta organisationen via dess traditionella kommunikationskanal.
- Du kan vidarebefordra meddelandet till din IT-säkerhetsavdelning för vidare analys.
Ditt företag borde redan granska och filtrera majoriteten av misstänkta e-postmeddelanden, men vem som helst kan bli ett offer.
Tyvärr är nätfiskebedrägerier ett växande hot på internet och skurkarna utvecklar alltid nya taktiker för att komma igenom din inkorg.
Tänk på att du i slutändan är det sista och viktigaste försvarsskiktet mot nätfiskeförsök.
Hur man stoppar en nätfiskeattack innan den händer
Eftersom nätfiskeattacker är beroende av mänskliga misstag för att vara effektiva, är det bästa alternativet att utbilda människor i ditt företag i hur man undviker att ta betet.
Det betyder inte att du måste ha ett stort möte eller seminarium om hur du undviker en nätfiskeattack.
Det finns bättre sätt att hitta luckor i din säkerhet och förbättra din mänskliga reaktion på nätfiske.
2 steg du kan vidta för att förhindra nätfiske
A nätfiske-simulator är programvara som låter dig simulera en nätfiskeattack mot alla medlemmar i din organisation.
Nätfiskesimulatorer levereras vanligtvis med mallar som hjälper till att dölja e-postmeddelandet som en pålitlig leverantör eller efterlikna interna e-postformat.
Nätfiskesimulatorer skapar inte bara e-postmeddelandet, utan de hjälper till att skapa den falska webbplatsen att mottagarna kommer att sluta ange sina referenser om de inte klarar testet.
Istället för att skälla ut dem för att de faller i en fälla är det bästa sättet att hantera situationen att ge information om hur man bedömer nätfiske-e-postmeddelanden i framtiden.
Om någon misslyckas med ett nätfisketest är det bäst att bara skicka en lista med tips om hur du upptäcker nätfiske-e-post.
Du kan till och med använda den här artikeln som referens för dina anställda.
En annan stor fördel med att använda en bra nätfiskesimulator är att du kan mäta det mänskliga hotet i din organisation, vilket ofta är svårt att förutse.
Det kan ta upp till ett och ett halvt år att utbilda anställda till en säker begränsningsnivå.
Det är viktigt att välja rätt infrastruktur för nätfiskesimulering för dina behov.
Om du gör nätfiske-simuleringar i ett företag blir din uppgift enklare
Om du är en MSP eller MSSP kan du behöva köra phishing-tester på flera företag och platser.
Att välja en molnbaserad lösning skulle vara det bästa alternativet för användare som kör flera kampanjer.
På Hailbytes har vi konfigurerat GoPhish, ett av de mest populära ramverken för nätfiske med öppen källkod som en lättanvänd instans på AWS.
Många nätfiskesimulatorer kommer i den traditionella Saas-modellen och har snäva kontrakt kopplade till dem, men GoPhish på AWS är en molnbaserad tjänst där du betalar till en uppmätt pris snarare än ett 1- eller 2-årskontrakt.
Steg 2. Utbildning för säkerhetsmedvetenhet
En viktig fördel med att ge anställda säkerhetsmedvetenhet utbildning skyddar dem från identitetsstöld, bankstöld och stulna företagsuppgifter.
Säkerhetsmedvetandeutbildning är avgörande för att förbättra anställdas förmåga att upptäcka nätfiskeförsök.
Kurser kan hjälpa till att utbilda personal att upptäcka nätfiskeförsök, men endast ett fåtal fokuserar på småföretag.
Det kan vara frestande för dig som småföretagare att minska kostnaderna för en kurs genom att skicka några Youtube-filmer om säkerhetsmedvetenhet...
men personal minns sällan den typen av träning i mer än några dagar.
Hailbytes har en kurs som har en kombination av snabba videor och frågesporter så att du kan spåra dina anställdas framsteg, bevisa att säkerhetsåtgärder är på plats och kraftigt minska dina chanser att drabbas av ett nätfiskebedrägeri.
Du kan kolla in vår kurs om Udemy här eller klicka på kursen nedan:
Om du är intresserad av att köra en gratis nätfiske-simulering för att utbilda dina anställda, gå till AWS och kolla in GoPhish!
Det är lätt att komma igång och du kan alltid kontakta oss om du behöver hjälp med att komma igång.
