Artikel

Phishing kan ramme alle i virksomheden

Phishing kan ramme alle medarbejdere i virksomheden, blot de har en arbejdstelefon. Sørg for, at dine medarbejdere forstår, hvad phishing er, og hvad de skal holde øje med.

Skrevet af:

Erhvervshusene

Phishing er mails, som sendes af cyberkriminelle med det formål, at du klikker på et skadeligt link eller en vedhæftet fil. Det kan også handle om at lokke modtageren til at overføre penge eller udlevere oplysninger, som kan misbruges.

Fire tiltag til at øge cybersikkerheden

Adgangskoder og to-trins login

Opdatering af it-systemer

Backup og sikkerhedskopier

Offline nødplan

Smishing er det samme som phishing, men foregår i stedet via sms’er på mobilen.

Vær opmærksom på, at it-kriminelle er særligt aktive i perioder, hvor de ved at virksomheder har travlt, og tingene derfor går hurtigt.

Ransomware angreb

Ransomware angreb foregår ofte ved, at en ansat i firmaet med phishing bliver lokket til at klikke på et link. Linket overfører derefter malware (malicious software) i form af en virus, der sætter angriberen i stand til at overtage kontrollen.

Ransomware er en sammentrækning af det engelske ord for ’løsesum’ og ’software’. Hvis din virksomhed oplever et ransomware angreb, bliver systemer og data i virksomheden krypteret og låst, så I ikke kan tilgå dem. Ofte vil dette blive fulgt op af en henvendelse, hvor virksomheden vil blive afkrævet en løsesum for at få systemer data tilbage.

Pengeoverførsler eller følsomme oplysninger

Phishing kan også være henvendelser, som går ud på at lokke ejeren eller medarbejdere til at udlevere oplysninger, som kan misbruges. Eller beskeder, der ser ud til at komme fra chefen, banken eller leverandører om at foretage pengeoverførsler, men hvor pengene i stedet overføres direkte til cyberkriminelle.

Husk derfor, at myndigheder eller virksomheder aldrig vil anmode om betalingsoplysninger eller lignende via mail. Uanset hvor overbevisende og troværdig en mail ser ud, bør man aldrig sende de fortrolige oplysninger, der efterspørges i mailen.

Den er fra chefen - men er den nu også det?

Cyberkriminelle kan nemt designe mails og sms’er, så de er troværdige, og ser ud til at komme fra chefen, kunder, bank eller samarbejdspartnere. Der er desværre også eksempler på, at kriminelle hacker sig ind på mails og telefoner, så den falske besked reelt sendes fra disse.

Hvis der opstår mistanke om, at afsenderen ikke er reel, er bedste råd at dobbelttjekke med en opringning ud fra kontaktoplysninger, som du er sikker på, er ægte.

Klik generelt ikke på links i mails og sms’er, som kommer fra nogen, du ikke kender. Hvis du er interesseret i indholdet, bør du undersøge, hvem afsender er, og vurdere troværdigheden. Undersøg for eksempel firmaer i CVR og spørg andre, om de kender firmaet. Tag i første omgang kontakt direkte ud fra oplysninger, du er sikker på, er ægte.

Tal om phishing, og om hvordan I vil sikre virksomheden

For det første skal man spørge sig selv, om man forventer at få denne mail eller sms. Hvis ikke, bør man være ekstra påpasselig.

Grundlæggende bør man aldrig give efter for nysgerrighed og klikke på links i mails eller sms-beskeder, som man er i tvivl om, er ægte.

Til en start er det en rigtig god idé at finde ud af, hvem i virksomheden, som vil være mest udsat for phishing og smishing. Hvem læser og svarer på mails til og fra virksomheden? Måske er det kun ejer, men det kan også være nogle få ansatte eller måske alle i virksomheden?

Hvem har arbejdstelefoner, hvor I kommunikerer om for eksempel arbejdsopgaver i mails eller sms-beskeder?

Tal om de mails og beskeder, I normalt modtager og sender. Som leder er det en god anledning til at fortælle om, hvordan du vil håndtere økonomiske transaktioner. For eksempel at du altid vil give personligt besked om pengeoverførsler.

Tjek linket:

Tjek om afsenderens mailadresse/telefonnummer ser ægte ud. Hold øje med mærkelige kombinationer af bogstaver, numre og tegn.
Tjek, om linket ser ægte ud. Hold igen øje med mærkelige kombinationer af bogstaver, tal og tegn. Dette er dog ikke altid et sikkert tegn, da nogle typer af ægte links er oprettet som kombinationer af tal, tegn og bogstaver.
På computeren kan linket i mailen ofte, men ikke altid, tjekkes ved at holde curseren hen over linket. Men undgå at klikke.
På mobil kan du klikke på ’fra’, så mailadressen vises. Her har du ikke mulighed for at se linket uden at klikke på det, så undlad det, hvis du er usikker på afsender.
I sms-beskeder kan du ikke tjekke afsender, så her skal du være ekstra opmærksom.

Hvis du stadig er i tvivl, skal du kontakte afsender eller besøge deres hjemmeside. Ikke via links eller telefonnumre fra mailen eller beskeden, men via de officielle kanaler. For eksempel deres hjemmeside eller hovednummer.

Du kan læse mere om phishing på Styrelsen for Samfundssikkerheds hjemmeside.

Phishing: Lær at spotte mistænkelige mails

Mindre virksomheder angribes med phishing

Phishing var tidligere ofte rettet mod de lidt større virksomheder. I dag er det i lige så høj grad små virksomheder, som angribes.

Det skyldes blandt andet, at kunstig intelligens har gjort det nemt og hurtigt for it-kriminelle at skabe falske mails, som umiddelbart ser troværdige ud. De ser for eksempel ud til at komme fra chefen, kunder eller banken, men er i virkeligheden sendt af cyberkriminelle.

De cyberkriminelle har ofte en strategi om at masseudsende og vente på, at nogen går i fælden.

Lederens rolle i den cybersikre virksomhed

Som leder vil du sikkert gerne gå foran, også når det gælder om at gøre din virksomhed mere cybersikker. Her må du ikke lade dig stoppe af, at du ikke føler dig særligt it-kyndig. Det vigtige er, at du tager et initiativ og sørger for at involvere dine medarbejdere - og efter behov også ekstern bistand.