Gå til sidens hovedinnhold

IT-ekspert advarer: Disse svindellenkene blir flest lurt av

De nettkriminelle utnytter hjemmekontoret.

Hvert kvartal undersøker det globale IT-sikkerhetskonsernet KnowBe4 titusenvis av simulerte phishing-e-poster over hele verden. Phishing er når avsender prøver å lure mottakeren til å gi fra seg personlig informasjon, som kontonummer, innloggingsdetaljer eller kredittkortnummer. Avsenderen utgir seg gjerne for å være en aktør mottakeren stoler på, som banken, en sosiale medier-plattform eller et fraktselskap.

Hjemmekontor

KnowBe4 undersøker hvilke e-postmeldinger som lurer flest mottakere. Undersøkelsen for fjerde kvartal i fjor viser at flere og flere blir lurt av det som ser ut som jobbrelaterte e-poster.

– I Norge og flere andre land har mange ansatte jobbet hjemmefra i snart et år nå. Derfor er det ikke overraskende at phishing-forsøk relatert til hjemmekontor øker. Selv om vi er blitt mer vant til hjemmekontormiljøet, må vi fortsatt være kritiske til e-poster vi mottar. Virksomheter som i dag ikke jobber jevnlig med IT-sikkerhet sammen med sine medarbeidere, kan takke seg selv hvis de får ubudne gjester inn i sine systemer, sier sikkerhetsekspert Kai Roer, som er daglig leder i KnowBe4 Research, CLTRe.

Les også: Bank slår alarm om utspekulert svindel: – Vi står som avsender

Eksempler på e-post-emner som mange trykket på i fjerde kvartal er «Du er lagt til på et team i Microsoft Teams», «COVID-19 - oppdaterte retningslinjer for hjemmekontor» og «Passordet ditt må sjekkes umiddelbart». Det siste kvartalet var Microsoft den merkevaren som oftest ble misbrukt ved phishing-angrep.

Sikkerhetseksperten ser store sprik i sikkerhetsopplæringen.

– Det er ikke godt nok at lederne sitter på et morgenmøte en gang iblant og messer om viktigheten av å følge med. Å skape en god sikkerhetskultur, som er det mest effektive forsvaret mot svindel, handler om klare rutiner, god opplæring og jevnlig trening. Hvis arbeidsgiveren svikter, er det viktigste den enkelte medarbeider kan gjøre å sjekke avsenderadressen i e-poster man mottar nøye og være varsom med å klikke på lenker.

Økning i antall saker

Seniorrådgiver i Norsk senter for informasjonssikring (NorSIS), Trude Talberg-Furulund, er enig i at phishing utgjør en stor IT-trussel i disse dager:

– Phishing er ofte veien man bruker for å komme inn i et system. Sikkerheten til datamaskinen din har nå blitt så bra at det er lettere å lure menneskene. Det er lettere å logge seg inn enn å hacke seg inn, sier hun til Nettavisen.

At flere og flere nordmenn blir lurt av e-poster er noe NorSIS har registrert. Den siste tiden har de fått inn langt flere av denne type saker:

– Vi har merket en økning i antall henvendelser om phishing det siste året, og den store endringen vår i atferd det siste året har jo vært at vi bruker mer tid hjemme og på hjemmekontor, sier Furulund.

Les også: Disse svindeltruslene advarer IT-eksperten om i året som kommer

– Da er vi jo alle vår egen sikkerhetsansvarlig og det er høyere terskel for å diskutere med en kollega eller sjefen om en litt annerledes e-post er ekte eller du bør la være å klikke på den, sier seniorrådgiveren.

Hun legger også til at man ofte ser at svindlerne er flinke til å raskt tilpasse seg endringer i nordmenns vaner.

– Samtidig er det viktig å understreke at det å klikke på en lenke i en phishing-e-post ikke er farlig i seg selv. Det er når du skal legge inn personlige opplysninger, betalingsinformasjon, laste ned eller installere noe på maskinen din at alarmklokkene bør begynne å ringe.

Er du i tvil? Gjør dette

Nettadressen er ofte nøkkelen, sier daglig leder i CLTRe, Kai Roer:

– Hvis du føler deg trygg på avsender, sjekk likevel nettadressen nøye før du aksepterer noe eller legger inn informasjon. Det er enkelt å kopiere designet på en nettside, men umulig å kopiere adressen. I tillegg skjer alle oppdateringer på de mest brukte programvarene direkte på maskinen, ikke via e-poster. Er du tvil om en e-post, ta en ekstra sjekk med IT-avdelingen eller IT-ansvarlig før du gjør noe som helst, sier Roer.

Les også: «Historisk» priskutt i snuskrigen

Man skal ikke være redd for å si fra, understreker Furulund i NorSIS overfor Nettavisen:

– Det viktigste rådet til alle ansatte når det gjelder phishing, er at alle må si ifra om de har gjort noe galt eller de lurer på om du har gjort noe galt. For eksempel lagt inn påloggingsinformasjon, annen informasjon eller lastet ned eller installert noe på maskinen via en lenke i e-post. Og for å få til det må virksomhetens ledere tilrettelegge for en sikkerhetskultur der alle tør å si ifra og at de vet hvem de skal si ifra til.

Reklame

Her får du tak i de superpopulære shortsene