Sådan undgår du phishing

Phishing er betegnelsen for en cyber-kriminels forsøg på at fiske oplysninger ud af en godtroende bruger. Phishing er den absolut mest udbredte metode blandt de cyber-kriminelle for at få adgang til jeres computere / netværk. Det er også den allermest benyttede til distribution af ransomware. Husk altid, hvis noget ser ud til at være for godt til at være sandt, så er det det nok også.

Denne guide er til dig, som er ansvarlig for IT i dit firma, og gerne vil sikre din virksomhed bedre mod hackere.
Det bedste er altid at få et IT-Sikkerhedsfirma til at sætte en grundbeskyttelse op, men nedenstående er det næstbedste.

Uddannelse af medarbejderne 

Intet er så effektivt som at uddanne medarbejderne i firmaet i phishing, og vedligeholde uddannelsen med opfølgende kurser. 

 

Vær skeptisk 

Lad være med ukritisk at åbne alle mails du modtager. Hvis det er fra en afsender, du ikke kender, så vær altid lidt opmærksom. For at beskytte sig mod phishing e-mail, er det vigtigt at være skeptisk, og undlade at klikke på links eller åbne filer fra en e-mail, med mindre man er 100% sikker på indholdet.  

 

Vær også skeptisk over for kendte afsendere  

Typisk modtager brugeren en mail fra en velrenommeret og troværdig afsender som f.eks. skat, banken, sociale medier, streamingtjenester eller endda afdelinger internt i firmaet som IT-afdelingen osv.  

BEC (Business Email Compromises) er meget benyttet også. Det er en e-mail, der ser ud til at komme fra en C-level person i virksomheden, som beder om at få udbetalt nogle penge NU NU. Det er typisk et svar på en længere e-mail-korrespondance, fordi de krimelle har tiltvunget sig adgang til jeres direktørs mail. Men selve BEC-mailen kommer fra et andet domæne, som minder meget om jeres. Hvis I skal udbetale en masse penge, så ring og få bekræftet  først.  

 

 Svar aldrig på e-mails der forlanger personlige informationer 
Vær særdeles skeptisk omkring alle e-mails der udbeder sig personlige informationer som brugernavn, password, kontonummer, eller blot beder dig bekræfte en personlig information. Banker, offentlige myndigheder eller e-handelsvirksomheder udbeder sig normalt aldrig sådanne informationer, og der er stor risiko for at e-mailen er en ”phishing e-mail”  

HUSK, hvis det offentlige vil dig noget, så skriver de ALTID i E-boks. Hvis din bank vil dig noget, så skriver de altid i netbanken eller et fysisk brev. E-mails, der indeholder personfølsomt data skal være krypterede end to end, hvorfor det aldrig ville komme i en almindelig mail 

 

Se efter tegn på at en e-mail er “phishy”  

Visse phishing e-mails bærer præg af at de er masseudsendte. Man ser indledninger som “Kære kunde” eller den kombination man har før @ i sin e-mailadresse som dit navn. Mange phishing e-mails bærer også præg af at noget haster som f.eks. dit betalingskort er udløbet, eller der har været mistænkelige transaktioner på din bankkonto. Mange phishing e-mails er ofte ikke særligt velformulerede, og der kan optræde grammatiske fejl. 

 Andre e-mails derimod er mere målrettede og derfor også kaldet ”Spearfishing” Spearphishing e-mails kan se meget troværdige ud. Hold musen over afsenders e-mail, og se, om det er fra et firma, du kender, og I handler med. kig på domænenavnet, som er det der står efter @ i mailen.   

Hvis det ser fornuftigt ud, så kontroller linket (hvis der er indsat et link). Hold også musen over her, og se, hvilken side, du bliver dirigereret over på.  

Hvis det er en vedhæftet fil, der når den åbnes beder om at I siger ja til at acceptere makroer eller andre ting, så er dette højst sandsynligt også phishing.  

 

 Besøg vigtige websider ved at indtaste URL’en direkte  

Følg aldrig links i e-mails til vigtige websider hvor du skal indtaste brugernavn og passwords. Cyberkriminelle indsætter ofte links til falske websider, som til forveksling ligner den originale. Altid indtast URL’en direkte til f.eks. internetbanken i adresselinien.   

 

Brug to-faktor godkendelse når det er muligt 

To-faktorgodkendelse er en teknologi der forbedrer sikkerheden markant, da man skal have yderligere en godkendelse ud over brugernavn og password. Sørg for at I aktiverer dem hvor det er muligt. Med den verden vi bevæger os ind i med Office365 og hjemmearbejdspladser, så SKAL man have to-faktor godkendelse på alt for at undgå identitetstyveri.    

 

Hold computer og netværk sikkert. 

Anti-spam og antivirus software vil blokere de fleste phishing e-mails. En firewall vil også forhindre uautoriseret web-trafik. Sørg altid for at computerens styresystem og browseren er opdateret med de seneste sikkerhedsopdateringer.  

 

Rapporter misktænkelig aktivitet 

Hvis du modtager en e-mail som du mistænker at være en phishing e-mail, så videresend den forfalskede til det firma som den falske e-mail efterligner. Mange virksomheder har dedikerede e-mailadresse til sådan svindel.  

 

 Undgå selv at få dit domæne spoofet 

Opsæt SPF, DKIM og DMARC korrekt. Det lyder komplekst, det er det ikke. Det er en optegnelse, der skal gøres hvor jeres DNS er hosted. Det sikrer jer imod at andre udnytter jeres domæne i en phishingkampagne. 

Beakon rådgivning

Beakon kan hjælpe dig med at opsætte din basale IT-sikkerhed. Ringtil os for et godt råd. Venlighed koster ingenting.

Læs mere om Beakons rådgivning her.