I vår avslutande del av artikelserien om social engineering ger vi exempel på vanliga attacker mot företag och hur ni kan bygga upp ert skydd. Visste du att it-brottsligheten skjutit i höjden under pandemin?
Interpol rapporterade att närmare en miljon skräppostmeddelanden och 48 000 skadliga webbadresser relaterade till covid-19 upptäckts under en fyramånadersperiod. Varför? Plötsligt distansarbete som kräver uppkoppling till nätverk i kombination med mänskliga reaktioner som osäkerhet och behov av att söka efter information utgör faktorer som förövare utnyttjar till sin fördel.
Kunskap ger motståndskraft
Som arbetsgivare måste du vara medveten om att social engineering snarare riktar in sig på mänskliga faktorer än mjukvaror. Genom att känna till förövarens metoder kan vi lättare uppmärksamma det som annars skulle gå oss helt förbi. För att ligga i framkant vad gäller kvalitetssäkring har ToFindOut regelbundet interna workshops och utbildningar. Senast föll sig temat naturligt: informationssäkerhet under ledning av vår egna säkerhetsexpert Ville Söderberg.
– Jag märkte att det pågick ett ökat antal phishing-attacker och ville upplysa mina medarbetare, förklarar Ville och tillägger:
– Phishing är den absolut vanligaste social engineering-attacken mot företag. Förövaren skickar ett mail och ber mottagaren logga in på en falsk server. Även baiting är vanligt förekommande. I dessa tider kan det gå till så att förövaren skapar domännamn kopplat till covid-19 för att locka människor till att klicka på länkar och därmed ladda ner skadlig kod.
Att sätta medarbetarna i skorna
ToFindOuts workshop inleddes med att Ville utbildade sina kollegor genom att gå på djupet med vad informationssäkerhet innebär. Han gav också verkliga exempel på en rad metoder som bygger på social engineering och beskrev hur det är lämpligt att skydda sig mot respektive attack. Därefter följde grupparbete där medlemmarna fick diskutera hur de skulle gå tillväga för att hacka sig in hos sina kollegor. I slutet presenterades strategierna och motparten fick reflektera över sitt försvar. Resultatet? Både en uppdaterad säkerhetspolicy och medarbetare som tänker säkert!
– Jag ville få med deltagarna, ge dem verktyg och förståelse för att angreppen inte bara handlar om att trycka på en knapp – det ligger kreativa tankar bakom. Det räcker alltså inte att installera en brandvägg. Att sätta medarbetarna i skorna är ett ypperligt sätt för att lära dem försvara sig mot social engineering.
Hur skapas en välfungerande säkerhetspolicy?
– När ni bygger er säkerhetspolicy måste ni utröna vad er organisation vill skydda och utgå från det. Kartlägg de olika sårbarheterna och ha i beaktning att det inte går att uppnå ett hundraprocentigt skydd. Istället måste ni besluta er för hur ni ska kompromissa för att minimera risker. Egentligen borde säkerhetsrutinen finnas med under de första stegen av varje projekts eller systems uppbyggnad. Kom ihåg att hålla policyn levande, det vill säga håll den uppdaterad och se till att den utövas av de anställda. Det kräver att de anställda utbildas i säkerhetstänk regelbundet. Att anlita någon som kan fungera som säkerhetsexpert är en god investering för att skydda företaget.
Konkreta råd att addera till säkerhetsrutinen:
- Skapa unika lösenord för varje tjänst du använder
- Installera spamfilter för mailen
- Ha som tumregel att inte öppna länkar eller dokument i mail från okänd avsändare
- Uppdatera programvaror och operativsystem
- Lås datorn när du går iväg
- Använd kryptering för känslig information och backa upp varje dag
- Stoppa inte in okända USB-stickor i datorn
- Tänk över din integritet på sociala medier
- Var vaksam mot okända personer – online och offline
- Inför bakgrundskontroller