Anti-phishing
Phishing er en af de mest udbredte metoder, som hackere benytter sig af for at skaffe sig adgang til en virksomheds systemer og data.
Phishing er en type ‘social engineering’, som handler om at manipulere mennesker til at udføre handlinger på vegne af hackeren.
Det er ofte den nemmeste måde for en hacker at få adgang til IT-systemer og data hos offeret, da medarbejderne i en organisation typisk er det svageste led i sikkerhedskæden. IT-systemer er i dag mere robuste end tidligere, og derfor har hackere svært ved at trænge igennem systemernes tekniske sikkerhedsforanstaltninger.
Omvendt, så har medarbejderne allerede adgang til disse systemer, så hackerne udnytter dette, og forsøger i stedet at manipulere medarbejderne til at skaffe sig adgang, og faktisk sker ⅔ af databrud ved at et menneske er involveret - enten ved simple fejl eller ved manipulation af en hacker via et phishingangreb.
Ved et phishingangreb, så vil hackeren typisk forsøge at narre offeret til at udlevere fortrolige oplysninger, såsom brugernavne, adgangskoder, kreditkortoplysninger eller personlige data. Dette sker typisk ved at sende falske emails, falske beskeder eller ved at bruge falske hjemmesider, der ser ud til at komme fra troværdige kilder, som for eksempel en bank, et socialt medie eller andre velkendte virksomheder.
Det er vanskeligt at underdrive risikoen ved phishingangreb. Det skal blot gå galt én gang og for blot én medarbejder, og så kan det have betydelige negative konsekvenser for en organisation. Dette skal holdes op imod, at hackernes metoder løbende forbedres fx ved brug af kunstig intelligens til at oversætte deres beskeder til flere sprog og til at målrette indholdet til offeret.
Det er derfor vigtigt at have en forståelse for, hvad phishing er, og hvordan man kan beskytte sig imod det, samt, at phishing ikke kun sker via email, men også via SMS (smishing), telefonopkald (vishing), chat applikationer (Whatsapp, Telegram, etc.) og sociale medier.
Foranstaltninger
Phishingangreb kan bekæmpes ved en kombination af flere sikkerhedsforanstaltninger såsom implementering af tekniske løsninger, uddannelse af medarbejdere, samt interne processer til håndtering af phishingangreb. En anti-phishing strategi bør forholde sig til følgende:
Tekniske foranstaltninger
Drømmescenariet er, at din organisations brugere ikke bliver mødt med phishing forsøgene, hvilket i nogen grad kan opnås ved at implementere tekniske foranstaltninger. En teknisk foranstaltning kan fx forhindre at phishing emails havner i brugernes indbakke.
Der findes en række muligheder, som kan beskytte mod phishing.
En vigtig foranstaltning er at gøre det svært for hackere at forfalske e-mails, der ser ud til at komme fra jeres organisation. Hackere kan nemlig forsøge at udnytte jeres organisations navn og domæne til phishingangreb. Ved at implementere tekniske kontroller som DMARC, SPF og DKIM, kan jeres organisation aktivt forhindre misbrug af jeres eget domæne. Disse teknologier gør det vanskeligere for hackere at sende emails, der udgiver sig for at være fra jer, og beskytter dermed både egne medarbejdere og eksterne kontakter mod såkaldte "spoofing"-angreb, hvor afsenderadressen er forfalsket.
En anden teknisk foranstaltning er filtrering og blokering af indgående phishing mails direkte via organisationens email server, og inden at mails modtages af brugerne i deres mailklient. Disse filtre kan analysere alle indgående emails og fange mistænkelige beskeder, der ligner phishing, spam eller indeholder virus, så de aldrig når brugerens indbakke.
I tillæg hertil, så kan man også anvende filtre via brugerens mailklient, som en ekstra foranstaltning imod de phishing mails, som kommer igennem til brugerne. Disse filtre kan være indbyggede funktioner i fx Outlook eller Gmail, eller de kan være tilføjet som separate plugins.
Awareness træning
Hvis organisationens tekniske foranstaltninger er utilstrækkelige, så kan medarbejderne blive mødt af phishing forsøg i deres mail, telefonopkald, beskeder, sociale medier, falske hjemmesider, osv. Derfor bør de have kendskab til disse trusler, samt hvordan de bør forholde sig til dem.
Phishingangreb forekommer konstant og mange organisationer oplever daglige phishingangreb. Medarbejderne bør derfor løbende modtage træning, så det sikres, at de har den nødvendige viden til at modstå de forskellige typer angreb, som udvikler sig over tid. Træning kan omfatte forskellige workshops, eLearning, phishing øvelser, samt regelmæssig information om aktuelle trusler.
Processer og politikker
I forlængelse af medarbejdernes uddannelse, så er det vigtigt at have skabt de rammer, som organisationen og dens medarbejdere bør agere indenfor for at kunne håndtere phishingangreb. Dette kan opnås ved at adressere phishingangreb i organisationens IT-sikkerhedspolitik og i proceduren for sikkerhedsbrud.
Disse bør suppleres med at implementere metoder til at medarbejdere kan rapportere mistanke om phishing, så man hurtigt kan blive opmærksom på potentielle phishing forsøg i organisationen. Det er vigtigt at fremme en sikkerhedskultur, hvor medarbejderne føler sig trygge ved at indrapportere hændelser, og særligt når de selv har været offer for et phishing forsøg.
Jo hurtigere, at din organisation kan respondere på et hackerangreb, desto bedre.
Trusselsscenarier
Hackerne har flere tilgange til phishing, og disse kan skifte karakter alt efter deres metode til at udføre angrebet og målgruppen for angrebet.
|
Trusselsscenarie
|
Foranstaltning
|
|
Email Phishing: Masseudsendelse af emails til mange modtagere, der ser ud til at komme fra legitime virksomheder eller organisationer.
|
For at beskytte mod generelle phishing emails er det vigtigt at træne brugerne i at genkende dem, anvende spamfiltre, samt have en klar incident response plan klar.
|
|
Spear Phishing: Personlige og målrettede emails, der fokuserer på specifikke individer eller grupper inden for en organisation fx HR-ansatte.
|
Medarbejderne skal trænes i at genkende disse sofistikerede angreb, så de kan spotte mistænkelig aktivitet.
|
|
SMS Phishing (Smishing): Svindelnumre, der udføres via SMS-beskeder fx med links til falske hjemmesider.
|
Træning af brugerne i at være skeptiske over for beskeder, anvende sikkerhedssoftware på mobiltelefoner, og etablere politikker for sikker mobil kommunikation.
|
|
Voice Phishing (Vishing): Svindelnumre, der udføres via telefonopkald, hvor svindlerne udgiver sig for at være fra legitime organisationer.
|
Træning til at øge bevidstheden om vishing-teknikker og social engineering, samt politikker for sikker håndtering af telefonopkald.
|
|
Direktørsvindel (Whaling): En variation af spear phishing rettet mod højtstående ledere i organisationer, ofte med det formål at franarre penge eller følsomme oplysninger.
|
For at forebygge direktørsvindel bør ledere modtage målrettet træning, der fokuserer på denne type angreb, godkendelsesprocesser for finansielle transaktioner, mv.
|
Ved phishingangreb udnytter hackere ofte aktuelle emner for at skabe følelser som nysgerrighed, bekymring og et ønske om at hjælpe, for at manipulere ofrene fx ved ulykker, krig, landsindsamlinger til velgørenhed, mv.
Risiko reduktion
Du kan betydeligt reducere risikoen for sikkerhedsbrud fra phishingangreb, hvis du implementerer en kombination af tekniske foranstaltninger, uddannelse, politikker og processer målrettet mod phishingangreb.
Man må forvente en markant nedgang i antallet af vellykkede phishingangreb, hvis man går fra ikke at have foranstaltninger og over til en omfattende strategi.
Da phishingangreb er en af de hyppigste årsager til sikkerhedsbrud, så må det omvendt også forventes, at organisationen er meget sårbar over for angreb, hvis ingen eller begrænsede foranstaltninger er indført.
Ressourcekrav
Implementeringen af anti-phishing foranstaltninger kræver en investering i både tid og ressourcer.
Omkostninger ved implementering
Omkostningerne ved at implementere anti-phishing foranstaltninger kan variere afhængigt af organisationens størrelse og kompleksitet. Det kræver typisk ikke betydelige økonomiske ressourcer sammenlignet med de potentielle omkostninger ved et vellykket phishingangreb.
De primære omkostninger inkluderer investering i køb af adgang til en platform med awareness træning. Herudover, anskaffelse af tekniske løsninger som spamfiltre og emailsikkerhedssoftware, som dog ofte er er standard i emailsystemet, og til sidst ressourcer til at udvikle og implementere processer og politikker, hvilket dog typisk udvikles som del af organisationen’ tværgående sikkerhedsarbejde.
Selvom der indledningsvis er en investering, så er de løbende omkostninger ofte mere moderate og fokuserer på vedligeholdelse, opdatering af træningsmateriale og softwarelicenser. Set i lyset af de potentielle tab ved et databrud eller driftsforstyrrelser, er investeringen i anti-phishing foranstaltninger ofte en omkostningseffektiv måde at beskytte organisationen på.
Ressourcebehov
Internt kan anti-phishing indsatsen kræve involvering af IT-personalet til at implementere og konfigurere tekniske løsninger, samt eventuelt ressourcer fra IT/Compliance til at administrere awareness træning via en eLearning platform. Afhængigt af kompetencerne internt i organisationen, så kan der også være behov for at trække på eksterne konsulenter til at rådgive om den bedste strategi, levere målrettet træning eller implementere avancerede tekniske løsninger.
Ressourcebehovet afhænger af omfanget af de ønskede foranstaltninger, som er afledt af organisationens risikovurdering og risikoappetit.
Udfordringer
Implementeringen af en anti-phishing indsats kan støde på forskellige udfordringer.
|
Udfordring
|
Løsning
|
|
Brugerapati
|
Brugernes apati skal overvindes med engagerende træning, samt ved at skabe en forståelse af organisationens reelle trusselsbillede for at fastholde opmærksomheden.
|
|
Relevant awareness træning
|
Hold uddannelsesmaterialet relevant og med fokus på aktuelle trusler.
|
|
Måling af effektivitet
|
Mål effektiviteten ved at vurdere medarbejdernes træningsresultater i awareness trænings platformen.
|
|
Phishing-lignende intern kommunikation
|
Undgå at kommunikere på samme måde, som en hacker ville kommunikere i et phishingangreb, da det skaber forvirring. Udarbejd en kommunikationspolitik, retningslinjer, og awareness træning om sikker intern kommunikation.
|
Software
Google Gmail og Microsoft Outlook har indbygget beskyttelse mod phishing, og for de fleste organisationer, så kan disse indbyggede funktioner levere et højt beskyttelsesniveau.
Organisationer med mere komplekse sikkerhedskrav og med høje trusselsniveauer kan supplere disse standardfunktioner med dedikerede anti-phishing løsninger. Det er løsninger der fx inkluderer email filtre og awareness træning i en samlet løsning for derigennem at tilbyde en mere skræddersyet beskyttelse.
To af de mest anerkendte og respekterede udbydere af disse specialiserede løsninger på markedet er Proofpoint og Mimecast.
Relaterede foranstaltninger
Anti-phishing foranstaltninger er ofte en del af en bredere sikkerhedsstrategi, og følgende foranstaltninger kan også overvejes at undersøge nærmere:
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
.jpg)
