Phishing

Social manipulation

Angripare letar alltid efter den enklaste vägen in i verksamhetens system – och den vägen går ofta via anställda. Genom skadliga e-postmeddelanden, sms eller meddelanden försöker kriminella lura användare att uppge lösenord eller godkänna falska inloggningar.

Social manipulation är i dag en av de vanligaste metoderna för att få obehörig åtkomst till verksamheter.

Hur minskar man risken?

För att minska risken räcker det inte att bara satsa på utbildning. Verksamheter bör kombinera mänskliga, organisatoriska och tekniska åtgärder.

En viktig åtgärd är bra e-postfilter som stoppar phishing innan den når användaren. Dessutom är phishingresistent autentisering (Passkeys / FIDO2) i dag den mest robusta lösningen mot phishing.

Phishingresistent autentisering ersätter lösenord och är knuten till både användare och tjänst. Det betyder att även om en anställd klickar på en falsk länk kommer inloggningen inte att fungera – eftersom nyckeln endast fungerar mot den riktiga tjänsten.

Rekommenderade åtgärder

Stöd för phishingresistent autentisering finns redan hos ledande leverantörer som Microsoft, Google och Apple, vilket gör införandet enklare.

Genom att kombinera tekniska åtgärder med goda rutiner och utbildning minskar ni attackytan avsevärt.

För att skydda verksamheten bör ni:

Införa phishingresistent autentisering.

Säkerställa compliant device – det vill säga pc/mobil/enhet som är godkänd av verksamheten för inloggning.

Säkerställa regelbunden utbildning i phishing och social manipulation.

Genomföra simulerade phishingövningar

Etablera tydliga rutiner för rapportering av misstänkta meddelanden

Vad är phishingresistent autentisering?

Phishingresistent autentisering innebär att inloggning inte kan missbrukas, även om användarnamn och lösenord kommer på avvägar.

Behöver du hjälp med att konfigurera phishingresistent autentisering?

Kontakta oss

Inloggning kräver en fysisk nyckel eller inbyggd säkerhetsmekanism

Inloggning kan inte kopieras

Skyddar mot de flesta moderna phishingattacker

Phishingövning

För att mäta nivån på informationssäkerheten kan simulerade phishingattacker genomföras, där realistiska e-postmeddelanden skickas till anställda. Klick, inloggningar och respons analyseras för att avslöja sårbarheter.

En phishingövning ger värdefulla insikter i hur motståndskraftig verksamheten är – och vad ni bör arbeta vidare med för att stärka säkerhetskulturen.

Vi erbjuder olika former av phishingövningar

Skräddarsydd e-postattack

Skräddarsydd falsk webbplats

E-postattack med skadlig programvara

Insamling av inloggningsuppgifter

Analys av detaljer från kampanjer

Årshjul med flera kampanjer med olika svårighetsgrad

Lösenordsverifiering, där vi kontrollerar om inloggningsuppgifter finns i läckta databaser med inloggningsinformation

Anonym rapport, eller med detaljer efter önskemål

Rådgivning och stöd i utbildning om säkerhetsmedvetenhet

Kunderfarenhet

Kristiansands kommun upplevde mardrömmen när två stulna användarkonton ledde till 5 miljoner utskickade spammejl till hela Norge. Läs om deras dyrköpta erfarenhet och varför de valde att genomföra en phishingövning för alla anställda i efterhand.

Läs mer