Nyheder

Phishing – den mest udbredte cybertrussel i dag

Faglig nyhedDanske virksomheder er i større grad end nogensinde ramt af phishing-angreb, og revisorer kan spille en vigtig rolle i forebyggelsen af disse angreb – blandt andet via rådgivning og generel awareness.

CybersikkerhedOm revisor

En ny undersøgelse fra Dansk Erhverv viser, at den mest udbredte cybertrussel i de danske virksomheder i dag er phishing. Mere end halvdelen af Dansk Erhvervs medlemmer har inden for de seneste 2-3 år været forsøgt ramt af phishing, heraf har 5% været ramt. Øvrige typer af cyberangreb, som danske virksomheder rammes af, er CEO-fraud, malware, hacking og ransomware. Nedenfor kan du se udbredelsen.

Hvad er phishing?
Phishing er en form for svindel, hvor hackere prøver at franarre personlige oplysninger eller oplysninger om virksomheden. Det kan fx være oplysninger såsom dit navn, kreditkortoplysninger, CPR-numre, brugernavne, passwords til dine tjenester, kontonumre, NemID og mange flere. Phishing foregår primært ved at sende utallige e-mails ud til intetanende personer og virksomheder. Ofte er cyberangrebet via phishing ikke målrettet enkeltpersoner eller virksomheder.

Typisk starter phishing-angrebene med, at man modtager en e-mail, SMS eller telefonopkald, hvor afsender udgiver sig for at være fra SKAT, banken, chefen eller en underleverandør. Her kan man fx blive gjort opmærksom på, at ens konto er blevet misbrugt, og at betalingsoplysninger skal genbekræftes.

Herefter henvises der ofte med et link til en hjemmeside, hvor der kan indtastes og opdateres fx betalingsoplysninger. Når oplysningerne er blevet indtastet, sendes de direkte til den cyberkriminelle. En phishing e-mail virker ofte realistisk, og man kan dermed let falde i fælden, hvis ikke man er opmærksom. En phishing e-mail kan fx se således ud:

Eksempel på phishing mail – afsender ligner at være nets, men er en cyberkriminel

Det er forskelligt, hvad de cyberkriminelle ønsker at opnå via deres phishing e-mails. Det kan være motiver som økonomisk vinding, hvis de kan få udleveret bankoplysninger, eller hvis de kan få dig til at overføre penge til deres konto. Det kan også være at stjæle oplysninger fra dig og din virksomhed, som de kan bruge til videresalg.

Hvordan undgår du at blive offer for phishing?
Det er mange gange svært at skelne falske e-mails fra de ”rigtige”, og mailsystemerne har ligeledes svært ved at blokere de falske e-mails. Derfor stiller det store krav til brugernes dømmekraft og adfærd i forhold til håndtering af henvendelser, som kan se suspekte ud.

For at komme phishing-problematikken til livs kræver det, at virksomhederne har særlig fokus på netop dette. Revisor kan i den forbindelse spille en aktiv rolle i rådgivningen af sine kunder, da det ikke kræver teknisk indsigt eller særlige it-kompetencer at rådgive om forebyggelse mod phishing. Awareness er nemlig et af de bedste værktøjer til at øge sikkerhedsniveauet i de danske virksomheder, og revisor kan ved at følge nogle få, men effektive guidelines rådgive sine kunder herom:

  • Vær altid kritisk over for e-mails, selv hvis du tilsyneladende kender afsenderen. Som vist i eksemplet ovenfor kan adressen og oplysningerne være forfalsket.
  • Implementering af DMARC (gratis teknologi til forebyggelse af phishing, ransomware, spam og sikring af bedre e-mail leverancer fra virksomhedens domæne).
  • Lad være med at klikke på links i e-mails.
  • Bliver du bedt om personlige eller virksomhedsfølsomme oplysninger, så vær opmærksom på, at banker og myndigheder aldrig beder om dette via almindelig mail-korrespondance.
  • Hvis du er i tvivl om troværdigheden, så kontakt afsenderen af e-mailen. Tjek eventuelt afsenderens e-mailadresse, hvis du bliver mistænksom, jf. ovenstående eksempel fra nets.
  • Slet straks mailen, hvis du kan se, at der er tale om phishing.
  • Hav faste procedurer om, at medarbejderen tager kontakt til den it-ansvarlige i virksomheden, hvis en suspekt e-mail bliver opdaget.
  • Hvis skaden er sket, og du har udleveret oplysninger eller klikket på et tilsendt link, så spær straks dine konti og underret den it-ansvarlige. 

FSR – danske revisorer udbyder også kurser om digitalisering og herunder cybersikkerhed

Læs i øvrigt vores nyhed fra august 2019, hvor vi blandt andet kommer med simple, men effektive praktiske råd om cybersikkerhed, som en SMV-revisor kan rådgive sine kunder med. Disse råd er baseret på anbefalinger fra den britiske myndighed for it-sikkerhed (NCSC).

Du finder Dansk Erhvervs analyse i dette link.



Abonnér på nyt fra FSR
Vælg nyhedstype