Værvarsel fra Yr, levert av NRK og Meteorologisk institutt

ytringen.no

Naivt å tro at svindelmail ikke lurer medarbeiderne

Sikkerhetsekspert Kai Roer

Ytring · Publisert 13:17, 11 mar 2021


Vi ser det gang på gang. Det går nesten ikke en uke mellom hver gang vi hører om et nytt stort, alvorlig dataangrep her i Norge. Flere av dem, sånn som de i Østre Toten og Drammen, er det ikke utenkelig at begynte med e-post. Langt på vei de fleste angrep lykkes ved å bruke phishing og sosial manipulering. Selv om vi alle nok tror at ikke vi kommer til å bli lurt, skjer det likevel for ofte. Når skal vi lære?

- Oljefondet blir utsatt for utallige forsøk på kompromittering hele tiden, sa lederen for eierskap og etterlevelse i fondet, Carine Smith Ihenacho til DN nylig. Selv om virksomheten er mer attraktiv enn de fleste, er det et varsko til alle norske virksomheter. For mange av disse angrepene kunne muligens vært unngått om virksomhetene hadde brukt mer tid på sikkerhetsopplæring av sine ansatte.

Man kan ikke overlate ansvaret til den enkelte, dette ansvaret må lederne ta. Tilbyr du ikke IT-sikkerhetsopplæring til dine ansatte kan du egentlig takke seg selv neste gang ubudne gjester får tilgang på sensitiv informasjon eller tømmer kontoen deres. I en undersøkelse vi har gjort kommer det fram at så mange som én av fem ikke får tilstrekkelig opplæring i IT-sikkerhet der de jobber.

Roger Grimes ga nylig ut boken "Comprehensive Phishing Guide". Han gir noen sentrale råd for å styrke sikkerheten for virksomheter, med en sjekkliste for e-posthåndtering.

-Vær kritisk til avsenderen
Det første du må gjøre er å sjekke hvem som har sendt mailen. Er e-posten fra noen du kjenner, og som du pleier å kommunisere med via e-post? Hvis ikke bør du være ekstra oppmerksom før du klikker på noe. Sjekk avsenderadressen, om den ser ut som en valid adresse, og at den ikke er full av for eksempel vilkårlige tall og bokstaver. Posten er et av selskapene som har blitt utnyttet for å gjennomføre svindelforsøk i de siste månedene, men e-postene kommer aldri fra posten.no.

Sjekk også om den er sendt til flere. Står du på kopi i en e-post som er sendt til flere enn deg? Er de andre mottakerne folk du kjenner og som det er naturlig at ville fått samme e-post som deg? Hvis du ikke kjenner de andre som har mottatt e-posten, eller det ser ut som den er sendt til en vilkårlig gruppe med mottagere, ville jeg blitt skeptisk.


-Samsvar i tittel og melding

Stemmer tittelen i e-posten med innholdet? Emnefeltet i en e-post skal helst fortelle noe om hva den handler om. Får du en e-post som handler om noe helt annet enn det som antydes i emnefeltet, er det god grunn til å bli skeptisk. Det samme gjelder hvis du får en e-post som svarer på noe du aldri har etterspurt.

- Vær kritisk til lenker og vedlegg
Sjekk eventuelle lenker. Hold musepekeren over lenka, og se om du får opp samme nettadresse som det tilsynelatende er lenket til. Kommer det opp en annen adresse ville jeg definitivt ikke trykket på lenken. To andre faresignal er lange hyperlenker uten beskrivelse, og feilstavinger av ellers kjente nettadresser.

-Vurdér vedleggene.

Det er stort sett en grei huskeregel å ikke åpne vedlegg du ikke har forventet, fra noen du ikke vet hvem er.

-Det siste er å sjekke hva mailen handler om.

Les godt gjennom innholdet og se etter skrivefeil og logiske brister. Ber avsenderen deg om å betale penger, eller oppdatere personverninformasjon for å unngå en negativ konsekvens, bør det skrus på en varsellampe hos deg.

Skulle du likevel komme i skade for å trykke på noe farlig, eller gi fra deg informasjon, så er det aller viktigste å gi beskjed til IT-avdelingen. Slik kan de sørge for at skaden blir så liten som mulig.

Høytflyvende sykkeltur?

Nyheter søndag 13:30

Ett år med nye hobbyer

Helg søndag 07:15