Sikkerhedssoftware udstiller medarbejderes svage kodeord med falske phishing-mails

Syv ud af ti åbner målrettede spearphishing-mails, når de havner i indbakken. Sikkerhedssoftware kan lære dem at lade være, mener udbyder.

Infosecurity. Mails fra banken om betalingskortproblemer eller opfordringer om hurtigt at skifte dit kodeord samles rutinemæssigt op af spamfilteret. Men mere sofistikerede phishingangreb, der imiterer kendte afsendere, giver stadig store sikkerhedsproblemer ude i virksomheden.

Trods alle sikkerhedsforanstaltninger bliver 70 procent af spearphishingmails, der kommer forbi spamfilteret, stadig åbnet, viser en analyse fra sikkerhedsvirksomheden Rapid7.

Læs også: Omfattende rapport: It-folk bøvler rundt i en forstokket sikkerhedstankegang år efter år

Selskabet har lavet sikkerhedssystemet Metasploit, som kan detektere problematiske mails og se, om de bliver åbnet. Men systemet har også til formål at opdrage brugere til at slette phishing-mails.

»Systemet rummer en række skabeloner til at designe phishing-mails,« forklarer Craig Everson, der er technical director hos Rapid7, ved sikkerhedskonferencen Infosecurity, som afholdes i København med Version2 som medarrangør.

Gode snydemails trækker kliks

Med Metasploit kan man udforme en snedig mail, der for eksempel opfordrer brugeren til at skifte kodeord til intranettet hurtigst muligt. Hvis brugeren falder i fælden, bliver medarbejderne advaret om, at de kunne været blevet hacket.

Tricket er at tale til modtagernes følelser og skabe en fornemmelse af, at noget haster, fortæller Henrik Åkerstrand, der er Account Executive Nordics for Rapid7.

Læs også: Sikkerhedschef på DTU: Oplæring af medarbejdere i it-sikkerhed er vigtigere end tekniske løsninger

»En mail, der oplyser, at der er sket organisatoriske ændringer, og linker til et organisationsdiagram, trækker typisk mange klik,« siger han.

Afslører svage kodeord

Brugerne slipper ikke nødvendigvis med en advarsel. Softwaren har mulighed for at omdirigere offeret for den falske phishing-mail til en login-side til for eksempel LinkedIn. Herfra kan softwaren opsnappe de login-informationer, som medarbejderen indtaster.

»På den måde finder man ikke bare ud af, hvem der hopper på, men også hvem der har svage kodeord,« siger Craig Everson.

Læs også: 2.000 loggede på usikkert wifi i Barcelonas lufthavn i sikkerhedseksperiment

Kan det ikke give bagslag at narre sine medarbejdere på den måde?

»Det er vigtigt, at man tænker sin sikkerhedskampagne godt igennem, det er klart. Nøglen er at understrege over for sine brugere, at dette ikke bare handler om virksomhedens sikkerhed, men også om din og din families private it-sikkerhed,« fortæller Craig Everson og tilføjer, at en sådan manøvre naturligvis også kræver grønt lys fra virksomhedsledelsen.

For nyligt kunne en sikkerhedsrapport fra Verizon afsløre, at 63 procent af kendte sikkerhedsbrud involverede svage, stjålne eller standard-kodeord.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Schack

At de kriminelle tjener godt på phishing er der ikke nogen tvivl om, ellers var de holdt op for længe siden.

Den anden store vinder i phishing spillet er sikkerhedsfirmaerne der nu i over 4 år har undgået at tale om DMARC, som ville kunne dæmpe truslen fra phishing ganske betragteligt.
Men der er vel langt flere penge at tjene på brandslukning end på forebyggende arbejde.

  • 2
  • 0
Log ind eller Opret konto for at kommentere