Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I 2018 fyldte spam og phishing hhv. 40 og 30 år. Ikke desto mindre lever metoderne i bedste velgående, og det har aldrig været vigtigere for virksomheder og organisationer at beskytte sig mod e-mails som fx phishing eller malware. Det fremgår af rapporten ‘Email: Click with Caution’, der offentliggøres i dag.
I rapporten fremgår det også, at IT-chefer på tværs af landegrænser og organisationer frygter e-mails mest, når det kommer til IT-sikkerhed. Blandt 3.000 IT-chefer svarer 56 pct., at medarbejdernes adfærd er den største sikkerhedstrussel mod deres virksomhed. Alligevel svarer kun 41 pct., at de bruger digitale værktøjer til at beskytte e-mails som en del af deres it-strategi.
Email-kultur er afgørende
“Virksomhedernes største sårbarhed mod it-sikkerhed er medarbejderne, fordi det kan være næsten umuligt at identificere falske e-mails. For at undgå at blive hacket skal virksomhederne ikke kun have den rigtige software, men også etablere en kritisk e-mailkultur blandt de ansatte, der kan fungere som et bolværk mod kriminelle, “ siger Jan Minche, Security Lead hos Cisco.
Ifølge Cisco Talos er størstedelen af alle e-mails enten spam eller indeholder ondsindede links. En analyse af den samlede globale e-mailtrafik fra april 2019 viser således, at hele 85 pct. var spam.
5 af de mest almindelige e-mailangreb
Der findes mange forskellige typer e-mails, der har til hensigt at stjæle fortrolige oplysninger eller penge. Herunder er fem af de mest kendte typer af e-mails, som virksomheder skal være opmærksomme på.
1. CEO fraud
Business email compromise-svindel (BEC) - også kendt som CEO fraud - er en type e-mailsvindel, hvor hackerne giver sig ud for at være virksomhedens CEO eller CFO. Det sker fx ved at få adgang til én af virksomhedens e-mailkonti eller ved at lave en lignende falsk e-mailkonto. Herfra sender kriminelle en e-mail til regnskabsafdelingen og beder dem om at overføre et givent beløb med det samme. Ifølge Internet Crime Complaint Center kostede CEO fraud virksomhederne svimlende 1,3 mia. dollars i 2018.
2. Digital afpresning
Digital afpresning er en metode, hvor de kriminelle truer offeret med at offentliggøre private oplysninger - fx webcamoptagelser fra offerets egen computer – medmindre de får en løsesum i Bitcoins. Ifølge Cisco Talos er der sket et fald i antallet af sager i perioden januar til marts 2019, hvilket formentlig hænger sammen med den faldende Bitcoin-kurs.
3. Falske fakturaer
Hvis der er noget, der kan få folk til at reagere, så er det en faktura på noget, de ikke har købt. Og det udnytter de kriminelle. Ved såkaldt ‘invoice spam’ sender en kriminel en faktura på noget, som offeret ikke abonnerer på eller har købt eller bestilt. Uheldigvis indeholder den vedhæftede PDF en sårbarhed, og det kan i nogle tilfælde give kriminelle adgang til fx bankoplysninger.
4. Office 365 Phishing
Her forsøger hackere at få fingrene i offerets Office 365-legitimationsoplysninger. Offeret modtager en e-mail, hvor der står, at den pågældendes Office 365-e-mail vil blive slettet pga. en fejl eller såkaldte ‘policy violations’. For at undgå dette skal offeret klikke på et link, som sender én videre til en falsk side, der til forveksling ligner en officiel Microsoft-side. Der findes lignende angreb på andre cloud-baserede e-mailtjenester som fx Gmail og G Suite.
5. Advance fee fraud
‘Advance fee fraud’ er en type scam, hvor offeret overfører penge til en fremmed person eller autoritet i den tro, at et markant større beløb vil blive tilbageført senere – hvilket så aldrig sker. Metoden er meget udbredt, og flere vil måske genkende historien om en nigeriansk prins eller advokat, der ville dele sin rigdom.
