Phishing-test

Sådan finder du ud af, om I bider på krogen

Når it-kriminelle ønsker at skaffe sig adgang til data eller placere skadelig kode som virus og malware, går det ofte gennem en bruger. En bruger, der allerede har adgang og kan lokkes til at udføre nogle ganske få ting, der skaffer fremmede adgang til data og systemer.

Det kalder man phishing, og det sker ofte via e-mail.

Opfindsomheden er utroligt stor. It-kriminelle ved godt, hvad der frister brugerne, og de ved godt, hvad der for brugeren ser harmløst ud. I langt de fleste tilfælde kan man dog godt se, at der er noget, der ikke stemmer. Denne overvågenhed bør man løbende træne sine brugere i og skærpe den naturlige skepsis.

På teknisk niveau gør både vi og Microsoft en del for at justere spamfiltre og andre sikkerhedsforanstaltninger til at blokere e-mails, der indeholder skadelige filer og links. Men når alt kommer til alt, afhænger meget af, at modtageren af e-mailen forholder sig kritisk og selv er med til at vurdere, om der er tale om en fishing-mail, der vil lokke brugeren i en fælde.

Denne træning af brugerne kan Vivant hjælpe med.

Det man ofte ønsker at lokke brugene til er, at:

åbne en skadelig vedhæftet fil og installere den på computeren
trykke på et link og dermed få skadelig kode ind på computeren
trykke på et link og få brugeren til at afgive brugernavn og password og måske endda NemID
trykke på links og få brugeren til at afgive kreditkort-informationer
lokke medarbejderen til at udføre en speciel handling på systemer eller i netbank, fx overføre penge

Hvordan ser man, at der er tale om en fishing mail?

Meget ofte indeholder de sprog- og stavefejl
E-mailen er ofte maskinoversat, og sproget er kluntet
Links i e-mailen peger til web-adresser, man ikke umiddelbart kender
Mailen beder om handlinger fra fx CEO, der normalt ikke kommer på e-mail
Mailen indeholder uventede beskeder, instrukser eller dokumenter

Alt dette kan man træne brugerne i

Ved løbende at sende e-mails til brugerne, der har samme karakteristika som phishing-mails, kan man se, hvem der falder i og Hvordan. Dertil, vigtigst af alt, at skabe en opmærksomhed omkring problemet. En test skal ikke bruges til at hænge nogen ud. Den skal bruges til at dygtiggøre brugerne i, hvordan man genkender en fishing-mail.

Hvad så nu?

Sammen med Vivant designes en mail, der er skabt til at lokke brugerne. Vi har masser af skabeloner og erfaring. Det kunne fx være en rabatkode til den lokale café. Det kunne være en besked fra chefen om at installere et specielt program, eller det kunne være en e-mail, der ser ud som om, en samarbejdspartner har delt et dokument, I skal samarbejde om.

Når test-mailen er afsendt og ligger i brugernes postkasse, holder vi løbende øje med, hvem der åbner, trykker på links, afgiver brugernavn, password og den slags.

På et efterfølgende opsamlingsmøde gennemgår vi resultatet, og I vil modtage sparring til, hvordan I kan bruge testresultaterne til at få endnu bedre opmærksomhed og sikkerhed hos jeres brugere.

Efterhånden som brugerne bliver dygtigere, kan testen gentages og gøres sværere at gennemskue.