Phishing mails vildleder folk til at installere malware, og hele 30 procent af denne type mails bliver åbnet, hvoraf 12 procent klikker videre på selve linket, der hacker. 3,6 procent af de afsendte mails har med andre ord held med at lokke modtageren til at klikke.
Det sker på private computere men også på arbejdet.
Et typisk eksempel på phishing er, at den it-kriminelle udgiver sig for at være en medarbejder i organisationen og derefter opstarter en korrespondance frem og tilbage med offeret. Når den it-kriminelle har skabt et troværdigt forhold med offeret, sendes herefter en mail med et link, som installerer malwaren. Der er altså ikke noget tabu i at have klikket på sådan en mail, da de forudgående mails virkede troværdige.
Tallene er fra seneste rapport fra Verizon (pdf), som beskriver ovenstående eksempel, som ‘social engineering’, der er på vej frem blandt hackere.
‘Vi er i en periode, hvor mange af de vanlige tekniske sikkerhedskontroller giver fortabt over for nye angrebstyper, der foregår igennem phishing-mails og specielt fænomenet ransomware. Medarbejderne er derfor ofte det vigtigste led i sikkerhedskæden. Er leddet svagt, og medarbejderen klikker på et skadeligt link, kan det gå ud over hele virksomhedens data, hvilket kan medføre store tab,’ udtaler Rasmus Theede, formand for Rådet for Digital Sikkerhed og en del af ITB’s it-sikkerhedsudvalg.
Tallene er en stigning siden 2014, hvor 23 procent åbnede phishing mails og 11 procent af disse klikkede videre på et link. Dermed er det altså blevet nemmere for it-kriminelle at snyde medarbejdere og bryde it-sikkerheden i en virksomhed.
‘Det er enormt vigtigt at både medarbejdere og virksomhed tager phishing seriøst. Det nytter ikke, at medarbejderne godt ved, at de ikke bør klikke på mistænkelige links i e-mails, men alligevel gør det. Det gælder ikke kun om at give medarbejderne viden, men at få dem til at ændre adfærd. Og det kræver en målrettet og ihærdig indsats,’ fortsætter Rasmus Theede.