Derfor er e-post hackernes beste venn – og din bedrifts største trussel

Over 90 prosent av skadelig programvare hos en bedrift kommer opprinnelig fra e-post.

E-post hack

 

Om bedriften din rammes av et dataangrep, er det veldig sannsynlig at angriperne fant veien inn gjennom en e-post. Det er litt urovekkende at den største sårbarheten til de fleste bedrifter, også er den nesten alle har. Selv bedrifter som ikke er spesielt digitale har i det minste e-post. 

Med oppdatert brannmur og antivirus som følger med på nye trusler, er det som regel enklere for hackerne å utnytte menneskelige svakheter enn teknologiske. Tross alt – sitter du i en mellomstor norsk bedrift og svarer på e-post, er ikke internasjonale datakriminalitetskarteller noe du tenker særlig over. 

Og så har du plutselig gått i fella.

 

Direktørsvindel og sphear-phishing kan ramme deg

Om du er oppdatert på de nyeste formene for datakriminalitet, har du kanskje hørt om direktørsvindel. Det er en svindelmetode som går ut på at en økonomimedarbeider mottar en e-post som fremstår som om den er sendt av ledelsen. «Ledelsen» trenger å få overført en sum til et kontonummer, snarest. 

Har du ansatte som ikke er spesielt datakyndige, kan det være de går rett på, så lenge e-posten er velformulert. Men det kan gjøres enda mer utspekulert.

Det er nemlig ikke uvanlig at datakriminelle har tilgang til innboksen i en periode på 6–12 måneder, og sanker inn informasjon om hvem som har ansvar for hva, hvordan forskjellige personer pleier å formulere seg, og så videre. Når de setter inn nådestøtet bruker de denne informasjonen til å fremstå troverdige. 

I de verste tilfellene kan det ha foregått falsk kommunikasjon over en lengre periode for å bygge tillit, som vi nylig så i Norfund-saken. 100 millioner kroner gikk tapt. Dessverre er ikke datakriminalitet kun forbeholdt de største aktørene. Kripos opplyste nylig i et webinar at lokale idrettslag er like utsatt som store konserner. Forskjellen går bare på at de kriminelle senker pengekravene til et realistisk nivå for dem de rammer.

Det er ikke uten videre lett å oppdage om noen har tilgang til innboksen din, og ja, det kan dessverre hende du har noen der allerede. Bruker hverken du eller medarbeidere tofaktorautentisering, er det ikke vanskelig å lure til seg innloggingsinformasjon. Har passord og e-post først havnet på avveie, ender de opp i store databaser som er åpne for alle.

 

Lurer ondsinnede lenker forbi antivirus og spamfilter

Verizon har anslått at i median-bedriften kommer over 90 prosent av skadelig programvare fra e-postlenker. Dette kan være alt fra overvåkningsprogramvare til løsepengevirus eller utvinning av kryptovaluta. Og mens den mest åpenbare søppelposten plukkes opp av spamfilteret ditt, har datakriminelle jobbet hardt for å finne veier utenom.

Et klassisk triks er å inkludere et vedlegg som pdf, og putte den farlige lenken inni dette dokumentet. Dette finnes det selv store, populære e-postsikkerhetsverktøy som vil slippe gjennom.

En annen populær taktikk er å legge ved en lenke som faktisk er trygg, for deretter å oppdatere nettsiden den leder til med skadelig programvare etter at e-posten har sluppet gjennom spamfilteret. 

Selv om du har antivirus som sjekker lenken før den åpnes, har datakriminelle funnet et smutthull i at lenken deretter markeres som trygg. Nå ligger den i registeret, markert som harmløs, og det er bare å oppdatere nettsiden med hva enn de måtte ønske.

Mange spam- eller URL-løsninger sjekker kun for skadelig kode eller innhold ved mottak. Dette er også godt kjent hos angriperen. En sikkerhetsløsning må derfor også sjekke alle URLer både ved mottak og ved klikk - ALLTID.

Dette er grunnen til at det er ekstremt farlig å tro at du er trygg, uten å ha et aktivt forhold til datasikkerhet. De kriminelle vet nøyaktig hva beskyttelsen din består av, og de er dessverre smarte nok til å finne veier rundt den.

 

Datakriminelle utgir seg for å være deg via e-post

Det er også viktig å være klar over at et slepphendt forhold til datasikkerhet ikke bare rammer deg. Har du lukrative kunder, leverandører eller andre samarbeidspartnere, kan du så å si brukes som brekkstang inn i deres systemer eller bankkontoer.

Med tilgang til din e-postkonto, kan kriminelle selvsagt også sende ut e-poster i ditt navn. Ved siden av dette har de tilgang på kalendere og annen informasjon som kan kompromittere dem du jevnlig er i kontakt med. 

For det første kan det fort få deg i hardt vær GDPR-messig om dine kundedata lekker ut og brukes mot dem. For det andre er det en omdømmekatastrofe dersom dine e-postrutiner fører til økonomiske tap for kunder og samarbeidspartnere. 

Vi har ikke lyst til å sitte her med streng pekefinger og irettesette folk, men når du jobber med datasikkerhet blir du skremmende bevisst på hvor mange bedrifter som kjører nedover motorveien uten hverken setebelte eller kollisjonsputer. Om du krasjer, hjelper det lite å installere disse i ettertid.

Oppfordringen vår er derfor klar: Spenn på deg setebeltet nå, og ta e-postsikkerhet på alvor.

 

Få med deg alt du må vite om datasikkerhet for små og mellomstore bedrifter. Trykk her.
 

epost-sikkerhet-webinar-1-v4

 

E-post er i disse dager et brennhett tema

31. august leste vi at Stortinget ble angrepet i form av innbrudd på e-postkontoene hos stortingsrepresentanter og ansatte. 1. september ble over 10.000 kommunalt ansatte i syv kommuner i Innlandet rammet i et alvorlig e-post-angrep

Vi leser om de store angrepene, men daglig blir også små og mellomstore bedrifter angrepet. For de er dette like alvorlig, selv om vi ikke leser om det i avisen. 

Det er viktig at man forstår alvoret og tar de forholdsreglene man kan for å hindre datakriminelle i slike målrettede angrep – for ALLE offentlige og private virksomheter er i målgruppen for datakriminalitet. 

Da passer det bra at Nasjonal Sikkerhetsmyndighet (NSM) nå kommer med oppdaterte råd og anbefalinger for sikring av e-post. Bli med på webinar 24. september og hør NSM presentere disse.

Trykk her for påmelding

 

 

 

Rune Bruget sirkel

Rune Bruget

Rune har jobbet over 20 år i IT-bransjen hvor han har levert sikkerhets- og netttverksløsninger til våre kunder. Hans (og vårt) mål er at alle norske bedrifter skal ha samme mulighet til å sikre sine digitale verdier, uavhengig av størrelse.