Åtte av ti lar seg lure

Bedriftenes sikkerhetstiltak består i dag av mer teknologi enn noen gang før. Likevel er menneskene som jobber der det svakeste leddet, og phishing-angrep er svært utbredte og gir angriperne gode resultater. Å bli offer for et phishing-angrep er bare et museklikk unna.

Hva er phishing?

I dag kan et phishing-angrep være langt mer sofistikert enn masseutsendte «Nigeriabrev» der du tilbys millioner av dollar for å lagre litt penger fra den avsatte diktatorens statskasse i bytte mot kontodataene dine, eller at du har vunnet hundrevis av millioner Euro i ett eller annen lotteri du aldri har hørt om – langt mindre kjøpt et lodd i. Du må bare fortelle avsenderen om hvilken konto du ønsker at pengene skal overføres til, først.

Phishing er et dataangrep som forsøker å få tak i sensitiv informasjon ved hjelp av e-poster eller direktemeldinger som ser ut som den kommer fra en troverdig avsender. Meldingene inneholder typisk destruktiv kode i et vedlegg, eller linker til nettsteder som er infisert med malware.

Spearphishing er et angrep som er direkte rettet mot et enkeltindivid eller en spesifikk organisasjon. En spearfishing-melding inneholder vanligvis personlig informasjon som øker sjansen for at mottakeren tror at meldingen kommer fra en legitim avsender. Denne personlige informasjonen har som regel sin opprinnelse fra sosiale medier.

Idet den skadelige programvaren er etablert på brukerens datamaskin, har de datakriminelle skaffet seg et brohode på innsiden i bedriftens nettverk. Derfra kan de datakriminelle skaffe seg videre tilgang til sensitiv informasjon eller interne systemer, som er det endelige målet for angrepet.

Personalavdelingen er verst

Det er i augustutgaven av datasikkerhetsselskapet McAfee Labs Threats Report vi kan lese om dette. Selskapet har en test liggende ute på nettsidene sine som lar oss prøve å gjenkjenne e-poster som kanskje eller kanskje ikke inneholder phishing-forsøk.

Testen viser ti e-poster som vises i en emulert e-postklient, og så skal testeren bestemme om meldingen er legitim eller ikke. Da rapporten ble publisert hadde 16.000 bedriftsbrukere gjennomført testen, og av disse gikk 80 prosent på limpinnen, og klarte ikke å identifisere alle syv phishing-meldingene i testen.

McAfee har fordelt resultatene etter hvilken avdeling testeren arbeider i, og da var det to avdelinger som særlig pekte seg ut med negativt fortegn: Personalavdelingen og Finans og regnskap. Testere fra disse organisasjonene lå nærmere fire prosentpoeng bak de neste på listen, mens IT og Forskning- og utviklingsavdelingen lå på topp på listen, nesten ti prosentpoeng over.

Rapporten observerer at dette er en svært betenkelig oppdagelse, siden akkurat personal- og finans- og regnskapsavdelingen håndterer tildels svært sensitiv informasjon på bedriftens vegne.

Stort og økende problem

McAfee har registrert over 250.000 nye nettadresser til nettsider som inneholder phishing-kode, bare i det siste kvartalet alene. Ifølge rapporten har det totalt dukket opp nesten en million nye nettsider av dette slaget de siste tolv månedene. McAfee konkluderer derfor at phishing er et stort og økende problem, og i tillegg har phishing-kampanjene som er rettet mot bedriftsbrukere blitt mer avanserte og komplekse.

Selv om Norge tradisjonelt har vært skjermet for mye phishing fordi vi har kunnet gjemme oss bak et språk som den store majoriteten av verdens datakriminelle ikke behersker, har vi i nyere tid sett at dette ikke er et effektivt forsvar lenger. I dag er phishing et dataangrep som både brukes og fungerer bra, også mot norske bedrifter. Kanskje det er på tide å høyne kunnskapen og holdningene, også blant dine egne kolleger?