I Norden har företag länge varit stolta över sin digitala infrastruktur och det förtroende som finns bland användare. Men detta förtroende har blivit ett verktyg för cyberbrottslingar, vilket ställer IT-beslutsfattare inför en ny utmaning. Det handlar nu om mer än att bygga tekniska skydd; fokus ligger på att rusta medarbetarna, som utgör den sista försvarslinjen.
Enligt den senaste rapporten om phishingtrender från KnowBe4 ser vi en markant förändring i angreppssätten. Cyberkriminella har övergett den tidigare massutskickstrategin, ”spray and pray”, till förmån för mer riktade och lokaliserade angrepp. Detta skifte är oroande, eftersom attacker som innehåller mottagarens företagsnamn har visat sig ha högre klickfrekvenser.
Än mer alarmerande är att nästan 90% av de mest framgångsrika attackerna involverar domänförfalskning, där angriparna efterliknar legitima e-postadresser. Många anställda är vana vid att snabbt reagera på interna förfrågningar, vilket utnyttjas av kriminella. Rapporten visar att interna ämnesrader fanns med i 100% av de mest klickade e-postmeddelandena, medan HR-relaterade ämnen stod för 46%.
Oavsett om det rör sig om falska IT-aviseringar eller utbildningsuppdateringar, lyckas dessa bedrägeriförsök kringgå användarens naturliga skepsis. Kända varumärken som Microsoft, som stod för nästan 23% av alla varumärkesimitationer, samt Zoom och Google utnyttjas ofta i dessa attacker.
Traditionella säkerhetsåtgärder, som antivirusprogram och brandväggar, har länge varit grunden i cybersäkerhet. Men i ljuset av att 90% av framgångsrika attacker kan förfalska domäner, räcker dessa åtgärder inte längre till. Det är värt att notera att 9% av intrång börjar med en spear-phishing-attack. Cyberbrottslingar behöver inte ”hacka” sig in; de loggar in med stulna inloggningsuppgifter från anställda.
I en värld där AI kan producera felfria e-postmeddelanden på flera språk, blir den mänskliga faktorn avgörande. Det är viktigt att veta hur många av medarbetarna som skulle klicka på ett riktat bedrägeriförsök. Att vänta på ett verkligt intrång för att få svar är inte ett alternativ.
IT-specialister i hela Norden inser alltmer att phishing-simuleringar riktade mot interna användare är ett värdefullt verktyg för att stärka den mänskliga faktorn i säkerhetsarbetet. Genom att implementera en heltäckande strategi för att hantera mänskliga risker kan medarbetarna förvandlas från en sårbarhet till en ”mänsklig brandvägg”.
Att skapa en säkerhetsmedveten kultur behöver inte vara en börda; det kan istället vara en engagerande och informationsdriven process som ger snabb avkastning på investeringen. Genom att genomföra kostnadsfria phishing-säkerhetstester kan organisationer få en uppfattning om hur många av deras anställda är benägna att falla för nätfiske. Dessutom kan de jämföra sin säkerhetsstatus med konkurrenterna via nya branschbenchmarks.
I dagens hotlandskap är den mest effektiva säkerhetsåtgärden en vaksam och medveten personal. Det är dags att påbörja tester och utbildning.
