• De fleste cyberangreb indledes med phishing, hvor it-kriminelle forsøger at franarre personlige oplysninger via e-mail, SMS eller opkald.  
• Virksomheder er populære mål for phishingangreb og kan lide store økonomiske tab ved cyberangreb, der starter med en phishing-mail.
• Phishingangreb kan ikke undgås 100 procent, men der er mange måder at mindske risikoen for phishingangreb på.

Phishing er ifølge Center for Cybersikkerhed (CFCS) en vedvarende og alvorlig cybertrussel mod danske virksomheder, myndigheder og borgere i Danmark. Ifølge it-sikkerhedsfirmaer slipper op til hver tiende phishingmail igennem et typisk mailfilter, blandt andet fordi der globalt bliver oprettet mindst 65.000 nye hjemmesider til angrebene hver måned. Og globalt koster phishing-mails samfundet hele 20 milliarder kroner i skadesomkostninger.

Danske virksomheder oplever derfor dagligt forsøg på at blive udsat for phishing. Og da cirka 70 procent klikker på et link fra en såkaldt spear phishing-mail, er phishing en stor cybertrussel i Danmark. De fleste cyberangreb indledes nemlig med en phishing-mail, lyder det fra Center for Cybersikkerhed.

Bliv klogere på, hvad phishing er, hvordan phishing kan ramme virksomheder, og hvordan organisationer kan minimere risikoen for at blive udsat for phishingangreb, som kan føre til mange andre alvorlige cyberangreb.

Læs også: It- og cybersikkerhed har aldrig været vigtigere, end det er i dag

Hvad er phishing?

Phishing er it-kriminelles forsøg på at franarre personlige oplysninger eller andre beskyttelsesværdige oplysninger fra personer ved at sende e-mails, SMS-beskeder (kaldet smishing) eller foretage telefonopkald (kaldet vishing) med det mål at opnå et økonomisk udbytte fra offeret.

It-kriminelle gør brug af det, der kaldes social engineering eller social manipulation. Det vil sige, at indholdet ofte er formuleret og udformet på en måde, så det ser ud som om, at afsenderen er en troværdig kilde, som modtageren har tillid til. Dermed kan modtageren blive overbevist og narret til i god tro at udlevere oplysninger til den it-kriminelle.

Spear phishing

Til forskel fra traditionel phishing er spear phishing en form for phishing, der er personligt rettet mod en eller flere modtagere såsom en hel virksomhed. Det får e-mailen, SMS-beskeden eller opkaldet til at fremstå endnu mere legitim. Til spear phishing anvendes en mere avanceret form for social engineering, hvor der indsamles personlige oplysninger om offeret såsom vedkommendes navn for at øge sandsynligheden for, at offeret falder i fælden.

De oplysninger, der opnås adgang til, kan it-kriminelle enten selv udnytte. De kan også videresælges, lækkes online eller deles med tredjeparter til for eksempel cyberspionage.

Andre former for phishing

Whaling er en gren af spear phishing, hvor målet er ledende medarbejdere i virksomheder og andre højtprofilerede personer.

CEO fraud er det modsatte af whaling. Her udgiver it-kriminelle sig for at være ledende medarbejdere i virksomhed med henblik på at narre medarbejdere i lederens organisation.

Til sidst er der clone phishing, hvor en legitim e-mail klones og vedhæftede filer erstattes af filer med skadeligt indhold. Dette kræver dog som regel, at vedkommende i forvejen er blevet hacket.

Se også: Alt om it- og cyberkriminalitet

Phishing bruges til at kompromittere virksomheders netværk

Der har været mange sager med ulykkelige danskere, som har oplevet at miste mange penge, fordi de er blevet narret til at udlevere deres NemID-oplysninger eller andre personlige oplysninger. Men phishing er et mindst lige så stort problem for danske virksomheder, fordi de it-kriminelle har mulighed for at opnå større økonomisk udbytte.

Ved phishingangreb er angrebsfladen stor, og der er mange måder, som angrebene kan ramme virksomheder på.

Cloud-løsninger er et populært mål

Cloudløsninger er blevet vældig populære i virksomheder. Ja, faktisk benytter mere end halvdelen af alle større danske kontorværktøjer som en cloudløsning. Men netop cloudløsninger er udsatte mål for phishingangreb, vurderer Center for Cybersikkerhed.

Angrebet går ud på, at medarbejdere i virksomheder modtager en phishing-mail med et link til en falsk loginside til virksomhedens cloudløsning. Hvis phishingangrebet er veludført nok, risikerer medarbejdere at bruge deres login på den falske hjemmeside, som giver adgang til medarbejderens mailkonto, hvilket kan give dybere adgang til virksomhedens systemer.

Dette er blot en af flere måder, hvor it-kriminelle kan få fat i medarbejdernes brugernavne og adgangskoder, hvilket er det er den metode, der anvendes hyppigst til phishingangreb.

Phishing er desværre ikke kun velegnet til at narre medarbejdere til at dele personlige oplysninger. Angrebet kan også bruges til at overbevise medarbejdere om at åbne en vedhæftet fil, som viser sig at være en skadelig fil, der arbejder sig ind i virksomhedens netværk. Det kan blandt andet føre til et ransomwareangreb, hvor virksomhedens data krypteres og tages som gidsel – som regel indtil der udbetales en ofte meget høj løsesum.

Phishing kan komme fra andre kompromitterede virksomheder

Et angreb, som Center for Cybersikkerhed har set flere gange, er hvor kompromitterede mailkonti i danske virksomheder anvendes til at sende phishing-mails til personer i andre virksomheder. Dermed bliver det endnu sværere at gennemskue falske e-mails, da de ser ud til at komme fra en samarbejdspartner eller person, som man kender og har tillid til. Hvis næste offer falder i fælden, kan vedkommendes mailkonto kompromitteres, og angrebet kan spredes videre til næste virksomhed.

Truslen er især stor i tilfælde, hvor der opnås adgang til mailkonti, der anvendes til fakturering. It-kriminelle kan nemlig udnytte disse mailkonti til at sende legitime mails med fakturaer med de kriminelles kontonummer.

Hvordan kan virksomheder beskytte sig mod phishing?

I en tid, hvor cybertruslen mod Danmark og danske virksomheder hele tiden stiger, er det utrolig vigtigt som virksomhed at beskytte sig mod phishingangreb. Det kræver en gennemtænkt indsats, som forsøger at bekæmpe phishing på flere fronter.

Gør det svært for phishing at ramme virksomheden

Først og fremmest er det vigtigt at inddrage alle medarbejdere i bekæmpelsen af phishingangreb. Test udført af it-sikkerhedsfirmaerne viser, at træning af medarbejdere kan nedbringe antallet af episoder, hvor en medarbejder klikker på et phishing-link, betragteligt.

Et godt e-mail-filter, som både filtrerer og blokerer langt de fleste phishingforsøg, er også vigtigt. Det vil naturligvis aldrig være muligt at slippe for alle phishing-mails. Derfor bør der også indarbejdes en indrapporteringsproces i virksomheden, så virksomheden ved, hvilke phishingangreb der forsøges udført mod virksomheden.

Det er også vigtigt at have klare regler for, hvordan forskellige e-mails skal håndteres. Det kan for eksempel være, at pengeoverførsler skal håndteres på en bestemt måde, så medarbejdere nemmere kan opdage usædvanlig aktivitet. Ligeledes kan det være godt at kræve, at nogle processer skal bekræftes af flere medarbejdere for at undgå risikoen for phishing.

Center for Cybersikkerhed opfordrer ligeledes organisationer til at tænke over, hvilke oplysninger om virksomheden der ligger offentligt tilgængelige. Jo flere oplysninger it-kriminelle kan findes om virksomheden, jo nemmere er det for it-kriminelle at misbruge dem til at narre virksomhedens medarbejdere.

Virksomheder bør også implementere godkendelsesproceduren DMARC for virksomhedens domæne. Det forhindrer, at andre kan sende falske e-mails, som ser ud til at komme fra virksomheden (også kendt som spoofing).

En procedure, som også kan forhindre mange phishingangreb, er at bekræfte afsenderens identitet ved at kontakte afsender på flere forskellige måder. Det kan for eksempel være ved at ringe til vedkommende på det nummer, som medarbejderen i forvejen har på vedkommende, eller som kan findes andre steder end i den e-mail, der kan vise sig at være phishing.

Begræns konsekvenserne, hvis phishing-angreb lykkes

Det er umuligt at gardere sig fuldstændigt mod phishingangreb. Men man kan gøre meget for at minimere konsekvenserne, hvis uheldet sker.

Det er blandt andet vigtigt at holde alle systemer opdaterede, så chancerne for, at it-kriminelle kan udnytte kendte sårbarheder i it-systemer, reduceres. Med application control-løsninger kan man samtidig sikre sig, at kun autoriserede programmer kan afvikles på medarbejderens enhed. Antallet af medarbejdere, som har administratorrettigheder, bør også holdes på et minimum. Dette kaldes for principle of least privilege (PoLP).

Med en sikker DNS-tjeneste kan virksomheden samtidig blokere for domæner, som er kendt for at være ondsindede.

Fler-faktor-autentifikation (MFA), ofte også kendt som totrinsgodkendelse, er også et effektivt middel til at forhindre phishing-angreb i at blive gennemført. Fordi loginforsøg skal bekræftes af to eller flere enheder, vil it-kriminelle som udgangspunkt ikke kunne opnå adgang til systemer selv med adgang til medarbejderens brugernavn og kodeord.

Ifølge Microsoft har 99,9 procent af de virksomheder, der får kompromitteret deres Office365-løsning, ikke gjort brug af fler-faktor-autentifikation. Globalt er det kun 11 procent af virksomhederne, som har aktiveret MFA.

Håndtering af phishingangreb

Til sidst er det også afgørende at have en politik for logning. Den skal være læsbar og gå tilstrækkeligt tilbage i tid til at undersøge en eventuel it-hændelse, der involverer phishingangreb.

Center for Sikkerhed har en detaljeret vejledning til, hvordan virksomheder beskytter sig bedst muligt mod phishingangreb. Den kan læses her.

Se også: Nyheder om it- og cybersikkerhed