Slik avslører du de skjulte hackerangrepene mot bedriften
Fire råd som hjelper deg med å oppdage angrepene som har størst risiko for å gå under radaren akkurat nå.
Hva gjør du når et svindelforsøk eller datainnbrudd fremstår som en helt vanlig oppringning på jobb?
At cyberkriminelle forsøker å bryte seg inn i bedriften via falske oppringninger og e-poster, er ikke noe nytt. En ny trend er derimot at stadig flere av disse aktørene snakker flytende norsk og har god kunnskap om bedriften din.
I flere phishing- og svindelsaker de siste månedene, har mange av ofrene opplevd å bli kontaktet av unge norske menn som utgir seg for å ringe i jobbsammenheng – med en konkret utfordring eller oppgave.
Les mer: Slik gjennomskuet Shafi hackeren
Ved hjelp av spoofing kan aktørene i tillegg maskere hvor de ringer fra, slik at nummeret du får opp på skjermen virker kjent og trygt.
Skillet mellom hva som er en reell jobbtelefon og hva som er en potensiell trussel mot bedriften din, har med andre ord blitt langt vanskeligere å spotte enn før.
Men selv om hackerne tar i bruk stadig mer overbevisende fremgangsmåter for å få kloa i sensitiv informasjon, trenger du ikke å bli paranoid og slutte å ta telefonen på jobb av den grunn.
Det er derimot viktig at du og kollegaene dine vet hvordan dere skal gå frem hvis dere aner mistanke, eller i verste fall frykter at dere kan ha blitt lurt.
1. Blir du bedt om å åpne en nettside?
Dobbeltsjekk alltid at URL-en er reell og den samme som blir brukt på nettsidene for øvrig.
2. Blir du bedt om å installere en applikasjon?
Vær alltid på vakt hvis noen ber deg laste ned noe!
3. Blir du bedt om å oppgi sensitiv informasjon?
Undersøk om det finnes retningslinjer for hvordan dere deler informasjon.
4. Føles noe rart eller mistenkelig ved henvendelsen?
Dobbeltsjekk at henvendelsen er reell før du går videre, og varsle alltid til leder eller kollega ved mistanke eller om du frykter å ha blitt lurt.
1. Har bedriften god åpenhetskultur?
Sørg for at de ansatte føler seg trygge på at de kan si fra om alt som virker mistenkelig – også hvis de frykter at de selv har blitt lurt.
2. Kan dere laste ned hva som helst?
Vurder om du bør innføre begrensninger for hva som kan lastes ned på PC-er og mobiler som brukes i jobbsammenheng.
3. Vet de ansatte hva de bør være på vakt for?
Legg til rette for god opplæring og sørg for at de ansatte er oppdatert på kjente hacking- og svindelmetoder.
4. Har bedriften retningslinjer for deling av sensitiv informasjon?
Sørg for at de ansatte følger fast prosedyre når dere deler viktig data. Kommer det en forespørsel som ber dem om å bryte retningslinjene, bør det alltid varsles.
Derfor er det viktig at alle i bedriften følger disse rådene
Falske nettsider brukes til å stjele brukernavnet og passordet ditt
Selv om det er nytt at svindlerne snakker norsk, er det fremdeles en vanlig fremgangsmåte at den som ringer ber deg om å gå inn på en nettadresse og logge inn eller fylle ut et skjema.
Når noen ber deg åpne en lenke eller besøke en nettside, bør du derfor alltid sjekke at URL-en i nettleseren matcher navnet på bedriften som er oppgitt på siden.
I mange tilfeller kan falske nettadresser minne om en reell URL, men inneholder små endringer som ekstra ord og bokstaver. I andre tilfeller kan nettadressen være noe helt annet enn det som står på siden.
At det står en hengelås ved siden av URL-en i nettleseren din, markerer om koblingen er trygg eller ikke – men er ingen garanti for at nettsidens innhold i seg selv er ekte.
Applikasjoner og programvare kan gi andre tilgang til enheten din
En annen kjent metode akkurat nå, er at svindlerne ber deg om å laste ned en applikasjon til PC-en eller mobilen for å hjelpe deg med noe.
Det kan være fordi du ikke klarer å logge inn på en side de har sendt deg til, eller fordi de ber deg om å gjøre en teknisk oppgave som du ikke kjenner til.
Litt større bedrifter bør alltid sørge for at det kreves administratortilgang for legge til eller fjerne applikasjoner som ikke er hvitelistet.
Jobber du i en mindre bedrift, er det en god tommelfingerregel at du aldri laster ned noe til PC-en eller mobilen, dersom du ikke er 100 prosent sikker på hva det er.
Målet er som regel å få deg til å oppgi sensitiv informasjon
Et viktig tiltak for å forhindre denne typen angrep, er at bedriften din har klare retningslinjer for hvordan sensitiv informasjon skal formidles – og at den aldri skal deles via telefon eller e-post uten at det er avklart på forhånd.
Har bedriften din interne retningslinjer for deling av sensitiv informasjon, bør alarmklokkene ringe hvis forespørselen ber deg om å gjøre noe som avviker fra disse.
I veldig mange saker den siste tiden, har svindlerne vært avhengig av å hente ut viktig informasjon eller verdier ved at du enten fyller ut et skjema, laster ned en applikasjon eller gjennomfører en hastetransaksjon. Ha klare prosedyrer som forhindrer dette.
Varsle alltid ved mistanke – hvis ikke kan kollegaen din bli neste offer
Hackere og svindlere jobber ofte systematisk. Har de kontaktet deg, er sjansen stor for at de kommer til å kontakte flere i bedriften din. Derfor er det viktig at du sier fra til nærmeste leder eller kollega så raskt som mulig, så alle i bedriften blir kjent med fremgangsmåten som blir brukt.
Frykter du at du kan ha blitt lurt, så ikke vær redd for hva andre kommer til å si. Det er det mye bedre at du sier fra og forhindrer at det samme skjer med flere. Åpenhetskultur er kanskje det beste våpenet dere har for å avverge omfattende angrep mot bedriften.
Fremdeles i tvil om hva du skal gjøre dersom du mottar en mistenkelig henvendelse?
Det er sjeldent av noe haster så mye at du ikke kan ringe opp igjen om ti minutter. Mistenker du at noe ikke er som det skal, så legg heller på og dobbeltsjekk at telefonnummeret eller e-postadressen stemmer med det som er oppgitt hos bedriften.
Hør gjerne også med en kollega eller overordnet før du ringer tilbake eller svarer.
