Huvudinslaget i kvällens TV4-nyheterna handlade om en nätfiskeundersökning som TV4:s reporter Emil Hellerud utfört. Han testade att skicka (ofarliga) nätfiskemejl till Kriminalvårdens ledningsgrupp. I mejlen stod det att personens lösenord var på väg att gå ut och att han eller hon behövde byta det. Detta är en klassisk nätfiskemetod som används frekvent av angripare för att komma över lösenord. I en skarp attack länkas offret in på en klonad version av webbtjänstens lösenordsbytarsida. Där luras offret att skriva in sitt lösenord, vilket då skickas till nätfiskarna.
Som vi nämner i kurser, poddar och bok uppmanar vi att aldrig klicka på länkar som kommer i mejl. I TV4:s test klickades det ändå på sex av nio länkar. Länkarna var självfallet ofarliga och TV4 ledde inte in mottagarna på några falska inloggningssidor. Det innebär samtidigt att vi inte vet vad som hade hänt efter länkklicken. Kanske hade mottagarna upptäckt att adressen i adressfältet var felaktig innan de skrev in sina lösenord. Kanske hade de skyddats av multifaktorsautentisering. Vi vet inte heller ifall säkerhetschefen, en av de som klickade på länkarna, gjorde det omedvetet eller för att undersöka mejlet. Undertecknad klickar ofta på länkar (i en virtuell miljö) för att se ifall angriparna har uppfunnit någon ny intressant attackmetod som är värd att skriva om.
TV4-inslaget visar att Kriminalvården behöver se över sin IT-säkerhet på e-postfronten (där finns även ett annat problem som inte nämns i inslaget). Ur ett större perspektiv är kriminalvårdsincidenten dock av liten vikt. Nätfiskeattacker är ett universellt problem som drabbar alla organisationer. Ta därför tillfället i akt och fundera över hur du och dina medarbetare skyddar er.
Rekommendationer
Här följer våra tre rekommendationer för att minska risken för lyckade nätfiskeattacker.
- Säkerställ att alla medarbetare förstår hur domänsystemet fungerar samt hur de går till väga för att avslöja nätfiskemejl. Med anledning av TV4-inslaget har vi lagt ut kapitel 18 ur Bli säker-boken som en gratis PDF.
- Aktivera tvåstegsverifiering för alla konton där möjligheten erbjuds. Använd med fördel Webauthn, i andra hand Google Authenticator-metoden.
- Mejla mindre! Använd säkrare kommunikationskanaler (t.ex. Microsoft Teams) för när så är möjligt. Ju färre mejl vi skickar, desto tydligare märks nätfiskemejlen.
Utöver detta rekommenderar vi självfallet att använda en modern och korrekt konfigurerad e-posttjänst med ett effektiv skräppostfilter.
Jag såg en följdfråga om huruvida det vore farligt för medarbetarna att klicka på mejllänkar om de aldrig skriver in sina lösenord därefter. I ett sådant teoretiskt scenario hade medarbetarna skyddat sig mot nätfiske, men det är inte det enda hotet. Ifall webbläsaren eller något webbläsartillägg har en allvarlig sårbarhet kan datorn i värsta fall infekteras bara av att en infekterad webbsida visas. Det är därför vi helt enkelt säger ”låt bli att klicka på länkar i mejl”.
Så du menar, helt ärligt, att du aldrig klickar på länkar i mejl? Inte ens när du registrerar konton, du får mejl med erbjudanden från t ex Ica eller Jula, från dina barn skola (om du har några) etc…?
Problemet med länkar är ju att de har en enda uppgift här i livet – att bli klickade på.