Phishing: Det er ingen skam at bide på krogen…
Phishing-mails bliver stadig mere raffinerede i både udseende og metode, og det stiller store krav – både til it-sikkerhed og den enkeltes opmærksomhed. Falder man i, er det ingen skam – det vigtigste er, at vi er åbne og reagerer hurtigt.
En lørdag for kort tid siden fik jeg en mail fra rektor om en hasteopgave. Ved første øjekast så mailen meget troværdig ud, og det var først og fremmest min mavefornemmelse, der gjorde, at jeg sendte ham en sms for at dobbelttjekke. Mailen var falsk. Jeg forstår godt, man kan hoppe i fælden. Vi er vidne til en udvikling, hvor it-kriminelle bliver mere og mere opfindsomme og udspekulerede i deres forsøg på at skaffe sig adgang til brugernavne og passwords. Og derfor udgør phishing-mails en stigende trussel mod it-sikkerheden på Aarhus Universitet.
Angrebene kan som i mit tilfælde være målrettet en enkeltperson, men de kan lige så vel være spredt ud på mange. Tidligere på denne måned oplevede AU et angreb, hvor mange modtog en mail om Aarhus Universitets bibliotekssystem. Der var link til en identisk kopi af WAYF-siden, hvor man blev bedt om at skifte password. Det særlige var, at mailen kom samtidig med, at Det Kgl. Bibliotek var i gang med nogle konkrete omlægninger. Angrebet var tilsyneladende tilrettelagt, så mailen kom på et tidspunkt, hvor modtagerne havde paraderne nede. Sådan er der mange eksempler – ikke bare på AU, men i sektoren generelt. I sommer gik det ud over 500 medarbejdere ved Københavns Universitet, som afgav deres KU-brugernavn og password via en falsk hjemmeside. De lækkede data blev derefter lagt ud på internettet, frit tilgængeligt.
It-sikkerhed er noget, vi skal tage alvorligt. Som universitet er vi ekstra sårbare – bl.a. fordi vi som forskningsinstitution er underlagt et krav om åbenhed. Det rimer ikke altid på it-sikkerhed, og derfor er det ekstra vigtigt, at det også er noget, vi dagligt tager stilling til.
Det kan vi hver især gøre
Og hvad er det så, vi hver især kan gøre? Vi kan være opmærksomme – og vi kan være åbne!
Jeg kan godt lide at beskrive brugernavn og password som nøglen til vores hjem – giver vi nøglen væk, har vi åbnet døren for tyven. Derfor er det allervigtigste, vi selv kan gøre, at være opmærksomme på, hvornår vi giver den nøgle til andre. Tjek afsenderen en ekstra gang – og ved den mindste tvivl, tag fat i AU’s afdeling for informationssikkerhed, tjek med afsenderen eller vend det med en kollega. Jeg har selv fået mails, hvor min mistanke viste sig at være ubegrundet – men ’better safe than sorry’.
I forlængelse af det mener jeg, at der i endnu højere grad er brug for, at vi er mere åbne om phishing-mails – både hvis vi falder i, og hvis vi har den mindste mistanke om at være gået i fælden. AU’s afdeling for informationssikkerhed modtager langtfra så mange anmeldelser, som der er phishing-mails i omløb. Jo før, AU IT får besked om mulige angreb, jo før kan de blokere indholdet og tage de rette forholdsregler. Jeg tror ikke, nogen falder i en phishing-fælde med vilje, og ingen skal frygte for repressalier, hvis de gør. Jo bedre vi er til at tale om it-sikkerhed, dele vores mistanke eller uheldige erfaringer, jo bedre bliver vi til at lære af vores fejl, forebygge angreb og handle korrekt, hvis vi uheldigvis bider på krogen.
Trusselsbilledet mod Aarhus Universitet vurderes at ligge højt. Derfor kommer vi også fremadrettet til at have fokus på, hvordan vi skærper opmærksomheden hos den enkelte. I næste uge ruller universitetet en kampagne ud, hvor tilfældigt udvalgte studerende modtager en falsk phishingmail. På et senere tidspunkt gentages kampagnen over for medarbejdere. I løbet af 2018 og starten af 2019 har der været lignende indsatser. Resultaterne her viste, at omkring 30 pct. åbnede mailen, mens 10 pct. klikkede sig hele vejen igennem mailen og udleverede brugernavn og password.
Vi ved, at denne type kampagne er effektiv, fordi den skærper vores opmærksomhed. Vi erfarer hver især, hvor svært det kan være at opdage phishing. Jeg vil derfor gerne opfordre alle til at se de her kampagne-initiativer som en tilbagevendende træning i at spotte phishing-mails og en chance for at blive opmærksom på, hvordan man handler korrekt. Og de erfaringer skal vi gerne dele med hinanden.
Sammen kan vi på den måde højne it-sikkerheden.
Vil du vide mere om informationssikkerhed, og hvad du gør, hvis skaden er sket, så læs mere på https://au.dk/phishing.