Hem / Säkerhet & GDPR / E-post och phishing: skyddsrutin för småföretag

Säkerhet & GDPR

E-post och phishing: skyddsrutin för småföretag

De flesta lyckade bedrägerier via e-post bygger inte på avancerad teknik, utan på att någon i teamet hinner klicka, logga in eller godkänna en betalning innan misstanken hinner väckas. Här är en enkel rutin för att upptäcka phishing och falska fakturor tidigt, vad ni gör om något redan hänt, och när händelsen behöver dokumenteras eller anmälas.

Nätfiske, eller phishing, är en form av social manipulation där någon utger sig för att vara en betrodd avsändare för att lura till sig känsliga uppgifter som lösenord, kontouppgifter eller kortnummer. Ett mejl som ser ut att komma från en leverantör, en bank eller en kollega kan alltså vara en riktad attack snarare än ett misstag, vilket är en del av varför metoden är svår att filtrera bort helt tekniskt.

Ett litet team har sällan en egen IT-avdelning som filtrerar bort varje falskt mejl, vilket gör den mänskliga rutinen till det viktigaste skyddet mot phishing. Den handlar om tre saker: att kunna känna igen ett misstänkt mejl innan någon agerar på det, att veta exakt vad som ska göras om någon ändå klickat eller loggat in, och att veta när händelsen ska dokumenteras eller anmälas vidare. Ingen av delarna kräver dyra verktyg, men de behöver vara bestämda i förväg, inte improviserade mitt i en stressad situation.

Så bedömer ni läget snabbt

Första frågan efter ett misstänkt mejl är alltid densamma: har någon redan hunnit agera på det, eller upptäcktes det innan skada skedde? Om någon klickat på en länk, angett ett lösenord, öppnat en bifogad fil eller godkänt en betalning är läget akut och kräver åtgärd samma dag, inte bara en varning i en teamkanal. Har mejlet däremot bara landat i inkorgen utan att någon agerat räcker det att varna kollegor, spara mejlet som underlag och blockera avsändaren. Utse i förväg vem i teamet som är ansvarig kontaktperson för den här typen av händelser, så att ingen behöver leta upp rätt person mitt under pågående stress.

Risk, åtgärd och vad ni dokumenterar

Vilken åtgärd som är rätt beror på vad som redan hunnit hända. Tabellen nedan utgår från fyra vanliga lägen och vad som bör göras och sparas i varje enskilt fall.

Vad som häntÅtgärd samma dagVad ni dokumenterar
Klick på länk, inget lösenord angivetVarna teamet, blockera avsändaren, kontrollera att enheten inte laddat ner något okäntTidpunkt, avsändaradress, vem som klickade
Lösenord angivet på en falsk inloggningssidaByt lösenordet på den riktiga tjänsten, aktivera tvåfaktor, granska inloggningshistorikenVilket konto, tid för lösenordsbytet, tecken på obehörig inloggning
Falsk faktura godkänd för betalningKontakta banken samma dag, informera den riktiga leverantören, polisanmäl bedrägerietBelopp, mottagarkonto, kommunikation med bank och leverantör
Delat adminkonto använt i samband med attackenByt lösenord, inför individuella inloggningar, gå igenom vilka som haft åtkomstVilka som delat kontot, ändringar som gjorts under perioden

Rutin för behörigheter minskar skadan

Hur stor skadan blir av en enskild phishingattack beror ofta mer på vilka behörigheter det drabbade kontot hade än på själva mejlet. Enligt IMY ska behörigheter begränsas till vad varje användare faktiskt behöver för sitt arbete, och de bör följas upp när roller eller anställningar ändras, så att gamla åtkomster inte blir kvar i onödan. Delade adminkonton gör det svårare att i efterhand se vem som gjort vad, vilket enligt IMY försvårar utredningen om en incident väl inträffar. NCSC rekommenderar av samma anledning stark autentisering tillsammans med en aktiv förvaltning av behörigheter, där konton med höga rättigheter begränsas till ett fåtal personer, skyddas extra noga och bara används när det verkligen behövs för uppgiften. En enkel rutin i praktiken är att gå igenom vilka konton som har adminrättigheter till e-post, hemsida och ekonomisystem en gång per kvartal, och ta bort åtkomst som inte längre motiveras av någons faktiska roll.

Teknisk grund: SPF, DKIM och DMARC

Rutinerna ovan minskar skadan när ett falskt mejl ändå når fram, men en del av skyddet sitter i hur er egen domän är konfigurerad. SPF, DKIM och DMARC är tre DNS-inställningar som tillsammans avgör om e-post som påstår sig komma från er domän godkänns av mottagarens system, och om någon annan kan skicka mejl som ser ut att komma från er. Rätt inställda gör de det svårare för en angripare att skicka trovärdigt förfalskad e-post i ert namn, men de är en teknisk grundinställning snarare än något som stoppar varje phishingmejl ni själva tar emot. Vår systersajts genomgång av SPF, DKIM och DMARC går igenom hur de tre delarna hänger ihop, och domän och e-post beskriver grunderna för att koppla e-post till en egen domän.

När ni kontaktar leverantör, bank eller polis

Vissa lägen kräver hjälp utifrån snarare än att teamet löser det själv. Kontakta e-post- eller domänleverantören direkt om ni misstänker att ett konto är kapat och ni inte längre kan logga in normalt, eftersom leverantören ofta kan låsa eller återställa kontot snabbare än ni kan själva. Kontakta banken samma dag om en betalning redan gått iväg till ett bedrägeri, eftersom chansen att stoppa eller återkalla överföringen minskar för varje timme som går. Polisanmäl bedrägeriet oavsett belopp, både för er egen dokumentation och för att bidra till bilden av vilka metoder som används mot företag just nu. Är ni osäkra på om skadlig kod spridit sig vidare på fler enheter efter ett klick, ta hjälp av en IT-konsult för att gå igenom nätverket innan ni själva friskförklarar situationen.

Byt aldrig lösenord via en länk i ett mejl ni fått, även om avsändaren ser ut att vara den egna IT-avdelningen eller e-postleverantören. Gå alltid in på tjänsten direkt via webbläsaren eller appen och byt lösenordet därifrån. Det är den enskilt vanligaste fällan som gör att en misstänkt phishingattack faktiskt lyckas.

Vanliga frågor

Vad betyder phishing (nätfiske)?

Phishing, eller nätfiske, är en form av social manipulation där någon utger sig för att vara en betrodd avsändare, till exempel en bank, en leverantör eller en kollega, för att lura till sig lösenord, kontouppgifter eller annan känslig information. Målet är sällan att knäcka teknik, utan att få mottagaren att själv lämna ut uppgifterna eller klicka på en skadlig länk.

Hur känner vi igen ett phishingmejl innan någon hinner klicka?

Vanliga tecken är en avsändaradress som nästan men inte helt stämmer, brådska om att agera direkt, en begäran om att klicka på en länk eller öppna en bifogad fil, och en hälsning som är generell istället för personlig. Känns mejlet ovanligt brådskande eller känsligt, kontrollera avsändaren via ett annat känt kontaktsätt innan ni klickar eller svarar.

Vad gör vi om någon redan har loggat in på en falsk sida?

Byt lösenordet direkt genom att gå till den riktiga tjänsten via webbläsaren, aldrig via en länk i mejlet. Aktivera tvåfaktorsinloggning om det inte redan är på, och gå igenom kontots inloggningshistorik för att se om någon obehörig hunnit logga in innan lösenordet byttes.

Måste en phishingattack anmälas till IMY?

Bara om händelsen är en personuppgiftsincident, det vill säga att personuppgifter kan ha kommit i orätta händer eller gått förlorade, och det inte är osannolikt att det innebär en risk för de berördas rättigheter och friheter. Då ska anmälan göras till IMY inom 72 timmar från att företaget fick vetskap om incidenten. Ett klick som stoppades innan skada skett behöver inte anmälas, men bör ändå dokumenteras internt.

Varför är delade adminkonton ett problem vid en attack?

Med ett konto som flera personer loggar in på går det inte i efterhand att se vem som faktiskt klickade, loggade in eller ändrade något, vilket gör det svårare att utreda vad som hänt och hur långt en attack spridit sig. Individuella konton med egna lösenord gör både vardagsanvändning och incidentutredning enklare att hålla ordning på.

Hur undviker vi att en falsk faktura godkänns för betalning?

Kontrollera nya eller ändrade betalningsuppgifter mot ett känt kontaktsätt till leverantören, till exempel ett telefonnummer ni själva sökt fram sedan tidigare, inte den kontaktinformation som står i det aktuella mejlet. Låt gärna mer än en person godkänna större betalningar innan de går iväg.