Phishing kostet bedrift 735 000 kroner

I helgen skrev NRK om en liten bedrift som hadde blitt frastjålet 735 000 kroner på grunn av cyberkriminalitet. Hackerne hadde fått tilgang til bedriftens Office 356-konto og e-post med falske fakturaer hadde blitt mottatt fra tilsynelatende kjente leverandører, men med et annet kontonummer.

I artikkelen på nrk.no kan man lese følgende:

«Det er en ansatts jobb å ta mot e-poster. Det er deres jobb å trykke på linker og vedlegg, og det er deres jobb å gjøre utbetalinger. Man skal ikke ansvarliggjøre enkelte ansatte av den grunn. Da skaper man en fryktkultur, for det er ikke deres feil»

Det er nettopp dette med fryktkultur som bør endres i arbeidslivet. Vi tror at ved å gjøre IT-sikkerhet til en spennende og positiv del av hverdagen kan man sammen motivere og hjelpe hverandre på en positiv måte, i stedet for å fokusere på frykt og negativitet. 

I denne saken er det benyttet en teknikk som heter spear phishing. Dette er en metode som benytter e-post for å få tilgang til systemer ved å sende målrettet e-post med relevant innhold og som skal lokke mottakeren til å åpne og utføre visse handlinger som er oppgitt i e-posten. I denne e-posten finnes ofte et kompromittert vedlegg maskert som et Word eller PDF-dokument som inneholder malware, eller den vil inneholde en lenke til et nettsted maskert som kjent og troverdig, men som henter ut sensitiv informasjon som brukernavn og passord.

Vi har utviklet vårt produkt MailRisk med nettopp dette i tankene og vi fokuserer på at det skal være enkelt å dobbeltsjekke en e-post, uten at noen dømmer deg, eller at det skal være flaut å spørre om hjelp hvis du lurer på om en e-post er falsk eller ekte.

Dessuten er det nasjonal sikkerhetsmåned i oktober, og årets opplæringstiltak for ansatte vil blant annet fokusere på nettopp å minske tabuet for de som opplever å bli lurt. Vi oppfordrer til å sjekke ut tilbudet på sikkert.no, og delta på åpningskonferansen 27. september i Oslo.

 

Les hele artikkelen på nrk.no.

Lyst til å lære mer om hvordan du kan sikre din bedrift?

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →