• Den mänskliga faktorn farligast i cybersäkerhet
Artiklar:

Den mänskliga faktorn farligast i cybersäkerhet

18 oktober 2019

Den svagaste länken i en organisation är dess medarbetare. Organisationer inser inte alltid hur viktigt det är att ha en strategi för cybersäkerhet, förrän något faktiskt händer. Vi vill hjälpa dig att säkerställa så att din organisation aldrig hamnar den situationen.​

Fakta:

  • Antalet rapporterade e-postmeddelanden som innehåller phishing fortsätter att öka avsevärt (nästan 40% jämfört med förra året).
  • Eftersom fler phishing-meddelanden rapporteras kommer människors medvetenhet att öka och de som arbetar med cybersäkerhet kan blockera fler skadliga webbplatser.
  • Phishing är den populäraste tekniken bland bedragare eftersom den vänder sig till den svagaste delen av organisationen – dess medarbetare. Men phishing är inte begränsat till e-post. Idag använder de meddelandetjänster som till exempel Whatsapp, Facebook, Messenger och SMS. Detta kallas för ”smishing” eller ”sms-phishing”.

Hur identifierar man ett misstänkt e-postmeddelande eller sms?

  • Ett phishing-meddelande eller sms dyker ofta upp oväntat och utan någon tydlig anledning.
  • E-postmeddelandet eller sms:et kan vara skrämmande (uppmana dig att agera omedelbart) eller tvärtom göra dig nyfiken.

De ”uppenbara” kännetecken som du kan hålla utkik efter i phishing-meddelanden inkluderar:

  • Misstag i stavning och grammatik. Phishing-meddelanden kan ibland se oprofessionella ut, till skillnad från de genuina e-postmeddelanden som de vill utge sig för att vara.
  • Felaktiga eller vaga hälsningsfraser. Phishing-meddelanden inleder ofta med ”Bästa/bäste…” eller ”Bästa kund” eftersom bedragarna, till skillnad från en verklig avsändare, faktiskt inte vet vem du är.
  • Felaktig lokalisering. Phishing-meddelanden kan använda felaktiga valutasymboler, ett ovanligt datumformat eller ett oväntat ord som en verklig avsändare inte skulle använda.
  • Felaktiga eller osannolika webblänkar. Phishing-meddelanden förlitar sig oftast på att du ska klicka dig vidare till en webbdomän som skiljer sig från den verkliga webbplatsen.
  • Men inte alla bedragare gör dessa misstag. Så det går inte att endast förlita sig på förekomsten av uppenbara misstag för att upptäcka phishing.
  • Riktigt skickliga bedragare riktar in sina attacker mot nyckelpersoner i organisationen på ett sätt som kan vara svårt att genomskåda. Ofta utger de sig för att vara vd, skickar meddelande från en falsk avsändare (så kallad spoofing) och beordrar t ex utbetalningar eller uppmanar att du ska logga in på en falsk webbsida. Naturligtvis är det alltid väldigt bråttom. Dessa riktade attacker kallas för Spear-phishing eller vd-brev.

Andra användbara tips

  • Skriv inte in lösenord på inloggningssidor som visas efter att du klickat på en länk i ett e-postmeddelande. Lägg upp bokmärken för de officiella inloggningssidorna till de webbplatser du använder mest eller skriv in webbadresserna i din webbläsare om du kommer ihåg dem.
  • Kontrollera länkar i e-post genom att låta muspekaren vila över den. Då visas den faktiska adressen länken leder till. Ser den konstig ut, klicka inte.
  • Undvik att öppna bilagor i e-postmeddelanden från mottagare som du inte känner igen, även om du arbetar inom HR eller med kontohantering och ofta använder bilagor i ditt arbete.
  • Ignorera inte webbläsarvarningar om osäkra webbplatser och inmatningsformulär. Okrypterade webbsidor är vanligtvis tecken på en bedragare som inte har ansträngt sig särskilt mycket, eller en webbplatsoperatör som inte har uppdaterat sin säkerhet.

Rätt och fel för att skapa ett säkert lösenord

RÄTT! FEL!
Kombinera stora och små bokstäver, siffror och symboler

Använd inte ett förutsägbart lösenord
(t ex Dittnamn1988)

Använd ett långt lösenord

Korta lösenord kan snabbt gissas med hjälp av en kraftfull dator

Basera det på något som du lätt kommer ihåg

Använd inte lösenord som kan kopplas till din person eller som kan hittas i en ordbok

För att lättare komma ihåg ett långt lösenord är det en fördel att göra en lösenfras istället t ex tomTenkommer24de$ember Dela inte ditt lösenord och håll det hemligt
Ändra lösenordet regelbundet – minst var tredje månad
Aldrig byta för att du inte får frågan om lösenordsbyte
 
Använd en tvåstegskontroll: kombination mellan något du har (mobiltelefon/fingeravtryck) och något du vet (lösenord).
Steg 1 = logga in med ett lösenord
Steg 2 = kontot skickar en kod till din mobiltelefon för verifiering
Använd inte samma lösenord för olika konton
Använd en lösenordshanterare som t ex LastPass, Fastlane, LogMeOnce, Myki, 1Password, Dashlane, etc som hjälper till att hålla alla dina konton och associerade lösenord säkra

Använd inte hemliga frågor (såsom namnet på din svärmor etc)


För att ta reda på mer om BDO:s globala cybersäkerhetstjänster, läs här.