Kategorier
Security awareness

Tillbakablick och nya Nimblr-tider

2023; ett nytt år, ett nytt nummer att vänja sig vid och att ersätta ett gammalt nummer med.  Fyra siffror som framkallar förväntningar, förhoppningar och farhågor. Vad är och vad månde bliva? Årsskiftet är vanligen en tid för bokslut och nya målformuleringar, med funderingar kring sådant som ska förändras och sådant vi hoppas ska fortsätta; utsikter och insikter. Nimblr välkomnar år 2023 med en tillbakablick på det gångna året.

Medvetenhet om säkerhetsmedvetenhet

Allt fler får upp ögonen för vikten av säkerhetsmedvetenhet. I den digitala världen består hoten inte enbart av tekniska fel och mänskliga misstag, utan även av medvetet utförda försåtliga handlingar. Rysslands invasionskrig i Ukraina har tydliggjort att cyberbrott inte bara utförs av energidrycksstinna tonåringar i dunkla källarlokaler, utan även i statsfinansierad regi, och med mer än bara pengar på spel. I en alltmer digitaliserad värld är därför säker hantering, förvaring och överföring av data en viktig angelägenhet, inte bara för individer och organisationer utan även för nationer och nationsförbund. Denna fokusökning har märkts på många sätt – och på många nivåer – under året som varit, väl exemplifierat av skärpningen av EU:s NIS-direktiv.

Fler kunder, fler marknader.
I takt med att säkerhetsmedvetenhet blir en internationell angelägenhet ökar behovet av tillhandahållna säkerhetstjänster med användaranpassat och dagsfärskt innehåll. Nimblr har under 2022 sett en ökning av antal kunder och användare om 202 respektive 288 procent. Vår omsättning har tredubblats, och våra säkerhetslösningar finns idag tillgängliga på 23 språk. Under året har vi dessutom öppnat kontor i Lissabon och etablerat oss på den portugisiska, franska och spanska marknaden. Tyngden i dessa siffror är dock underordnade kvaliteten på de tjänster som levereras. Nimblr inser och anser att ett ökat fokus på säkerhetsmedvetenhet bör medföra en ökad granskning av de tjänster och träningsredskap som står till buds. Vi välkomnar en sådan utveckling, och ser med spänning fram emot att vidareförädla våra säkerhetslösningar i samarbete med våra kunder, och i linje med nutida och framtida evidensbaserade forskningsrön.

Kulturell vidsynthet
Säkerhetsmedvetenhet är en global angelägenhet, således bör lösningarna för att stärka sagda medvetenhet genomsyras av en tvärkulturell gångbarhet. I takt med att Nimblrs användargrupp vuxit och blivit mer nationellt diversifierad har behovet av att internt kunna återspegla denna utveckling ökat. Nimblrs personalstyrka har under 2022 mer än dubblerats, och vi är för närvarande en grupp bestående av svenskar, danskar, fransmän, portugiser, brasilianare, ukrainare och argentinare. Som alla större förändringar har denna tillväxt på kort sikt medför nya missförstånd och konfliktytor, men på längre sikt lett till nya lärdomar och utveckling, både personligt och organisatoriskt. I egenskap av aktör på en global marknad, i en modern värld, och inför ett globalt säkerhetshot, anser vi att en pluralistisk och vidsynt organisationskultur är en stor, nästan oumbärlig, tillgång. Under år 2023 tar vi sikte mot en fortsatt utveckling i denna riktning, där vi lär av varandra och blir ännu bättre. Tillsammans.

Andreas Berglund, CEO, Nimblr

Kategorier
Security awareness

Vanity Awards – ett hot mot både plånbok och värdighet

Under de senaste åren har erbjudanden om utmärkelser mot betalning – s.k. Vanity Awards – blivit allt vanligare. Nimblr beskriver fenomenet, dess vanliga förlopp, samt diskuterar eventuella säkerhetsrisker förknippade med dessa “lånta fjädrar”. Slutligen ges förslag på ett mindre laddat terminologiskt alternativ: Pyrrhus-priser.

Pris, men till vilket pris?

Många och djupa är de fallgropar vi riskerar att hamna i när vår strävan efter uppmärksamhet och erkännande inte regleras av bättre vetande. Ett gott exempel på detta är Vanity Awards, där företag erbjuds att acceptera vagt beskrivna nomineringar, alternativt att nominera sig själva, till “prestigefyllda utmärkelser” för att sedan bli varse att priserna är prissatta, dvs. kan lösas ut mot betalning. Företagen bakom dessa charlatanerier är vanligtvis noga med att befinna sig på rätt sida av lagen, och kan därför leva gott på sina godtrogna offers förhävelser. Nimblr får inte sällan denna typ av erbjudanden, och kan därför ge en beskrivning av ett typiskt “Vanity Award”-förlopp.

Hur det kan gå till

Under november och december 2022 mottar Nimblr mer än ett halvdussin e-postmeddelanden från ett företag – låt oss kalla det Corporate Foresight – vars uttalade agenda är att “uppmärksamma och hylla företag över hela världen som varje dag strävar efter att bli bättre än de var tidigare”. Det inledande meddelandet är välutformat och kan, vid första anblick, verka förtroendeingivande och seriöst. Vi informeras att “Nimblr Ab har identifierats som en potentiell kandidat till Security Awards 2023” och ges, via två länkar, möjligheten att acceptera denna potentiella nominering eller inte. Vidare får vi följande information: “Det finns inga obligatoriska kostnader om du väljer att acceptera nomineringen eller om du blir framgångsrik. Om ett företag blir framgångsrikt erbjuder vi paket för att få ut det mesta av det som uppnåtts, men dessa är helt frivilliga, och vi erbjuder alltid ett kostnadsfritt paket till våra pristagare.” Så långt allt väl, eller? Företaget är registrerat, har adress, telefonnummer och en väldesignad hemsida. Med mailet följer dessutom ett fotografi på personalstyrkan, fem leende kvinnor som – likt Spice Girls – på ytan exemplifierar fem olika arketyper eller stilar. Vi får till och med reda på deras förnamn/smeknamn; korta, lättutalade, “vanliga” namn.

Vid närmare granskning…

I Security Awareness-branschen får man tidigt lära, att det som inte sägs många gånger är mer informativt än det som sägs. Vi får inte veta på vilka grunder denna potentiella nominering vilar; vad vi har lyckats med? Inget sägs heller om vem eller vilka som nominerat oss. En diskursiv granskning av meddelandet tydliggör dessutom några klassiska bondfångerier:

  1. Vi är utvalda/speciella/enastående
  2. Belöning (kanske) väntar, på kort och lång sikt
  3. Vi behöver agera skyndsamt

Utöver dessa varningstecken framstår meddelandet – inklusive fotografi – som lite väl tillrättalagt: ett pluralistiskt fångstnät, vars differentierade maskor avses snärja ett vitt spektra av tilltänkta bytesföretag. I Nimblr vet vi, att det bästa sättet att avstå från ett suspekt online-erbjudande är att ignorera det, dels för att negera den risk som interaktion med osäkra länkar innebär och dels för att undersöka motpartens beteenden vid utebliven respons. Vi lät således meddelandet från Corporate Foresight gå obesvarat. Genast inleddes ett intensivt spammande, där skyndsamhetsbudskapet mer och mer hamnade i förgrunden samtidigt som Nimblr, okommenterat, gick från “potentiellt nominerad” till “nominerad”. Självklart besvarade vi inte heller något av dessa meddelanden.

Vad händer sedan?

Det finns dock företag som – av misstag eller ren nyfikenhet – accepterat denna typ av nomineringar. Från deras erfarenheter kan vi lära, att nomineringar alltid leder till vinster och att en vinst emellanåt innebär någon form av kostnadsfri exponering, exempelvis via en kort intervju i utmärkelseföretagets egen nättidning. Utöver detta tillkommer erbjudanden om s.k. prispaket, med plaketter, troféer och dylikt, till en kostnad av allt från 1500 till över 50000 kronor. Eventuella kostnadsfria intervjuer tycks – i bästa fall – ge minimala positiva revenyer. En mer trolig följdverkan av Vanity Awards är ett fortsatt och intensifierat spambombardemang med liknande erbjudanden.

Mer än pengar på spel

Det är lätt att betrakta Vanity Awards som störningsmoment mer än som reella hot, då interaktion med deras spam-meddelanden, länkar och erbjudanden är på frivillig basis, utan explicita köpkrav. Det rör sig således varken om phishing eller om rena bedrägerier. Verksamheten och tillvägagångssättet är inte olagligt, men kan med fog rubriceras som oseriöst, och i detta sammanhang står mer än bara pengar på spel. Som redan nämnts, öppnar deltagande ofta upp dammluckorna för en störtflod av liknande “erbjudanden”, vilket medför en ökad säkerhetsrisk. Till yttermera visso innehåller spammeddelandena en mängd olika länkar, vars legitimitet kan och bör ifrågasättas. För ett Security Awareness-företag som Nimblr kan den negativa exponering som ett Vanity Award bibringar vara förödande, då aktivt deltagande vittnar om brister i både säkerhet och medvetenhet.

”Fler sådana priser, och vi är förlorade.”

Det går dock att ha förståelse för att företag låter sig duperas på detta vis. Den globala affärsvärlden är en djungel, och varken karta eller kompass erbjuder skydd mot de rovdjur som lurar i mörkret. Det är av stor vikt att, på ett tydligt och icke-dömande vis, kunna diskutera Vanity Awards och andra typer av lurendrejerier utan att driva gäck med de som låtit sig luras. På så vis sprids information om fenomenet, vilket leder till att företag blir mer vaksamma och motståndskraftiga. I denna anda vill Nimblr föreslå ett terminologiskt skifte, där det stigmatiserande begreppet Vanity Awards byts ut mot den mer neutrala termen Pyrrhus-priser, uppkallat efter kung Pyrrhus som, efter en dyrköpt seger över romarna i slaget vid Asculum 279 f.Kr., lär ha yttrat frasen ”En sådan seger till, och jag är förlorad.” Till skillnad från kung Pyrrhus för du, som företagare – tack och lov – inte en kamp mot ett resursstarkt Romarrike, utan i detta fall står kampen mellan förnuft och högfärd. Om du företräder och/eller har byggt upp ett varumärke och en affärsidé som du tror på och är stolt över så är det bättre att fokusera på välförtjänta och genuina utmärkelser, och om du inte ids vänta på sådana kan du alltid investera i en “världens bästa chef”-mugg till dig själv. Dessa är både billigare och mer användbara än Pyrrhus-priser.

Kategorier
News Security awareness

NIS2 och Security Awareness

Nu har det hänt! EU-parlamentets klubba har svingats och mött bordsytan i en resolut knackning. Direktivet om nät- och informationssäkerhet – NIS – uppdateras till NIS2 och EU:s medlemsländer skall nu, inom 21 månader, implementera direktivet i sina respektive nationella lagstiftningar. Vad innebär detta, och vilka berörs? Säger direktivet något specifikt angående säkerhetsmedvetenhet och säkerhetsutbildning? Nimblr reder ut begreppen.

NIS-direktivet, vars syfte är att uppnå hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU, trädde i kraft 2018 genom ”Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster”. Direktivet har sedan införandet kritiserats för att vara ofullständigt, ospecifikt och uddlöst, samt för att ha underskattat den ökade hotbilden och den snabba utvecklingen inom området. Vidare har behovet av utökat samarbete och samordning mellan EU:s medlemsländer inom detta område lyfts. Den 28 november 2022 klubbades därför beslutet om NIS version 2 igenom. Uppdateringen innebär en vidgning och skärpning av det ursprungliga direktivet, med nya bestämmelser och ökade skyldigheter för betydligt fler aktörer än tidigare.

Allriskperspektiv med ökad tillsyn

NIS2-direktivet fastställer skyddsåtgärder för både lagring och överföring av data som anses vara av vikt för upprätthållande av samhällsbärande funktioner. Här förespråkas ett allriskperspektiv, med höjd beredskap för såväl naturbetingade risker och tekniska fel som för mänskliga misstag och cyberbrott. NIS2-direktivet betonar även vikten av säkra leverantörskedjor, vilket innebär att högre säkerhetskrav ställs på betydligt fler företag, myndigheter och organisationer än tidigare. Vidare får EU-ländernas tillsynsmyndigheter ökade möjligheter att utdöma varningar och sanktioner när berörda aktörer brister i sitt säkerhetsarbete.

Fler berörda parter

Det ursprungliga NIS-direktivet gällde verksamheter inom följande sektorer: 

  • Energi
  • Transport
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektor
  • Leverans och distribution av färskvatten
  • Digital infrastruktur

NIS2 fortsätter gälla för dessa sektorer samt för följande sektorer:

  • Leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster
  • Avlopps- och avfallshantering
  • Rymdverksamhet
  • Tillverkningsindustrin
  • Post
  • Livsmedel

Utöver direkt berörda verksamheter kommer antalet indirekt berörda entiteter att öka, då dessa ingår i samhällsviktiga leverantörskedjor. NIS2-direktivet omfattar dessutom verksamheter utanför EU som levererar tjänster till EU-länder.

Cybersäkerhetsutbildning och medvetandehöjande åtgärder 

Ytterligare en nyhet i det uppdaterade NIS-direktivet är ökade krav på säkerhetsmedvetenhet hos företagsledningar. Det kommer inte längre att vara tillräckligt att enbart lämna över säkerhetsfrågor till verksamhetens IT-avdelningar, då direktivet fastslår att: ”Medlemsstaterna ska säkerställa att ledningsorganens medlemmar regelbundet genomgår särskild utbildning för att skaffa sig tillräckliga kunskaper och kompetenser så att de förstår och kan bedöma cybersäkerhetsrisker och praxis för hantering av cybersäkerhet och deras inverkan på entitetens verksamhet.” Som ett led i denna säkerställan lyfts behovet av mätbarhet; verksamheters policyer skall på ett tydligt sätt påvisa en prioritering av cybersäkerhet, bl.a. genom relevanta utbildningsprogram och medvetandehöjande åtgärder för alla anställda. Direktivet förespråkar således inte enbart en skärpning av synen på IT-säkerhet utan även en vidgning av begreppet, där inte enbart tekniska och reaktiva skyddsåtgärder nämns utan även pedagogiska och proaktiva ansatser.

Nimblr och NIS2

I Nimblr ser vi positivt på att det från EU:s håll förordas ett ökat cybersäkerhetsfokus, då vårt samhälle blir alltmer beroende av säkra system för lagring och överföring av data. Vi förstår samtidigt att omställningen till NIS2 kan bli tids- och resursmässigt kostsam. Dessutom uppstår lätt en osäkerhet i samband med förändring, med frågor som “Vad är tillräcklig säkerhetsnivå?” och “Hur vet vi om våra vidtagna åtgärder har effekt?”. Rörande träning och utbildning är Nimblr’s automatiserade lösning ett utmärkt sätt för er verksamhet att uppnå de utbildningskrav som fordras av NIS2-direktivet. Med Nimblr Security Awareness Training tryggas er NIS2-övergång genom tillgång till relevant och uppdaterad information, interaktiva simuleringar och verksamhetsanpassade utbildningsmoment.

Kategorier
News Security awareness Uncategorised

5 julklappar dina användare ska se upp för

Det är samma sak varje jul, cyberbrottslingar utnyttjar digitala julkort och julhälsningar för att infektera och lura användare. Hoten och bedrägerierna är inte unika men attackerna är fler och blir allt mer sofistikerade. Nimblr listar fem av de vanligaste typerna av ”julkamouflerade” hot.

Under juletid skickas mängder med digitala julkort och julhälsningar. Samtidigt är julen en av de högtider då vi handlar som mest online, söker efter lämpliga julklappar och kommunicerar med avlägsna vänner som vi normalt inte har kontakt med.

De digitala julkorten blir allt mer avancerade och innehåller inte sällan programkod, animationer eller formulär. Detta utnyttjas varje år av cyberbrottslingar i syfte att lura av oss inloggningsuppgifter, kreditkortsnummer eller att infektera våra system med skadlig programkod. I den här artikeln listar Nimblr fem av de vanligast förekommande digitala hoten i juletid.

Falska leveransbesked om försändelser
Under juletid ökar vanligtvis mängden falska leveransbesked, där cyberbrottslingar vill få dig att tro att fel eller försening uppstått med en leverans. Leveransbeskeden kan se ut att komma från flera olika expeditörer, t.ex. FedEx, DHL, eller Postnord, och innehåller ofta en länk eller en bifogad fil som kan infektera ditt system. Undvik att öppna bifogade filer eller klicka på länkar i denna typ av meddelanden. Om du är osäker på ett leveransbeskeds äkthet kan du testa att spåra det försändelse-ID som anges i meddelandet på expeditörens egna webbsida.

Presentkort från banker och affärer
Med förfalskade meddelanden från välkända företag vill cyberskurkar lura dig att du – genom speciella julerbjudanden – har möjlighet att få en julbonus. För att ta del av julerbjudandet hänvisas du till en webbsida som liknar en välkänd bank eller onlineshop, där du uppmanas att mata in personliga uppgifter som t.ex. namn, kreditkortsuppgifter, bankkonto mm. Uppgifterna används av bedragarna för att kapa dina konton eller säljs vidare till andra kriminella.

Falska shoppingsidor
Genom legitima banners, eller via spamutskick, lockas du att handla från falska webbsidor. Webbsidorna använder ofta kända logotyper och kända produkter som erbjuds till förmånliga priser. Du lockas att beställa varor och betala med kreditkort men varorna skickas aldrig. Var noggrann med att kontrollera att länken till de onlineshops du besöker är korrekt och att HTTPS-sidor har korrekta certifikat.

Digitala julkort med skadlig programkod
Det är vanligt med falska julhälsningar via e-post, där du uppmanas att klicka på en länk för att ta del av julhälsningen. Länkarna i denna typ av attacker leder ofta till webbsidor som infekterar dina system. Legitima julhälsningar skall, som ett minimum, innehålla avsändarens namn och e-postadress, men även dessa kan ha stulits för att användas i attacken. Klicka aldrig på länkar i e-postmeddelanden som inte uppger avsändarens riktiga namn och e-postadress, och ladda aldrig hem någonting från den sida du hänvisas till.

Falska välgörenhetskampanjer
Många välgörenhetsorganisationer håller under julen kampanjer och människor är ofta extra givmilda under högtiderna. Detta utnyttjas av bedragare som använder kända välgörenhetsorganisationers logotyper i falska utskick, där du ombeds uppge personuppgifter och skänka pengar. Personuppgifterna kan komma att användas vid ID-kapningar och de pengar som doneras går inte alls till välgörande ändamål. Använd välgörenhetsorganisationernas egna hemsidor om du vill skänka pengar till välgörenhet i jul.

Nimblr’s Micro Training kan genomföras direkt i mobilen eller i datorns webbläsare. Inga inloggningsuppgifter krävs av användaren, istället identifieras varje användare genom den unika länken i e-postinbjudan. Systemet skickar också påminnelser till de användare som inte slutfört kurser inom ett givet tidsspann och rapporterar kontinuerligt genomförandegraden till administratören.

Kategorier
Malware News Security awareness

Sårbarheter i Exchange öppnar för nya e-postattacker

Under hösten 2021 noterade flera säkerhetsföretag hur många Microsoft Exchange-system utsatts för Proxyshell-angrepp (en kombination av sårbarheterna CVE-2021-34473, CVE-2021-34523 och CVE-2021-31207).

Den senaste veckan har de angripna systemen börjat utnyttjas för att skicka phishing-attacker mot organisationer som tidigare haft e-postkontakt med det utnyttjade systemet. Phishing-attackerna är i många fall relativt dåligt utformade, men risken är ändå stor att de lyckas lura mottagarna eftersom de skickas som svar på pågående eller tidigare e-postkorrespondens. I flera fall anpassas även språket i de falska svar som skickas till det språk som tidigare använts i kommunikationen. Att phishing-mejlen dessutom skickas från annars legitima e-postsystem ökar också risken för att de lyckas kringgå många e-postfilter.

De exempel som Nimblr tagit del av innehåller ett kort meddelande som hänvisar till en länk. Länken leder till en ZIP-fil som i sin tur innehåller en Excel-fil med ett skadligt makro. När filen öppnas presenteras en bild som uppmanar användaren att aktivera makrot.

I ett av de exempel som Nimblr granskat är det enligt VirusTotal endast 4 av 92 säkerhetsleverantörer som identifierar länken som skadlig.

När Makrot exekveras laddas flera skadliga filer ner och därpå följer en process som gör det svårt, både att upptäcka och, att rensa bort den skadliga koden. Sedan tar den skadliga koden, steg för steg, över fler och fler rättigheter i nätverket och som sista steg aktiveras en ransomware som krypterar filerna i det infekterade nätverket.

Denna typ av angrepp förlitar sig till stor del på att lura slutanvändare att utföra olika handlingar. Nimblr erbjuder en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Lösningen kombinerar interaktiva utbildningar om IT-säkerhet med simulerade attacker, praktiska övningar, och dagsfärskt innehåll om de senaste hoten i ett kontinuerligt utbildningsprogram.

Kategorier
News Security awareness

Vad vet dina användare om GDPR?

Vad ska man göra om något inträffar som riskerar att personuppgifter hamnar i obehörigas händer? Vad klassas som personuppgifter? Vilka påföljder det kan få att bryta mot GDPR? Nimblr introducerar en ny kurs, i microtraining-format, som ger dina användare en grundläggande förståelse om GDPR och personuppgifter.

I dagens informationssamhälle är det svårt att undgå att, på ett eller annat sätt, hantera personuppgifter i sitt arbete. Nimblrs nya kurs riktar sig till alla medarbetare och höjer på ett enkelt sätt lägsta-nivån samt hjälper medarbetarna att förstå och tillämpa GDPR i praktiken.

Kursen är en del av Nimblrs automatiserade Security Awareness-program. Innehållet är utvecklat i samarbete med IT-säkerhetsexperter, jurist och psykolog för att vara relevant och enkelt att ta till sig.

Nimblr’s Micro Training kan genomföras direkt i mobilen eller i datorns webbläsare. Inga inloggningsuppgifter krävs av användaren, istället identifieras varje användare genom den unika länken i e-postinbjudan. Systemet skickar också påminnelser till de användare som inte slutfört kurser inom ett givet tidsspann och rapporterar kontinuerligt genomförandegraden till administratören.

Kategorier
Security awareness

Security Awareness för Google Workspace

I tillägg till Azure-integration kan organisationer som använder Google Workspace nu enkelt integreras med Nimblrs onlinebaserade utbildningsplattform som är utformad för att stärka slutanvändarnas säkerhetsmedvetenhet och minimera risken för lyckade attacker. Nimblr kombinerar interaktiv IT-säkerhetsträning med simulerade attacker, praktiska övningar och färskt innehåll om de senaste hoten i ett kontinuerligt utbildningsprogram. Läs mer om Nimblr Security Awareness här.

Med Nimblrs nya Google Cloud Directory Integration kan organisationer synkronisera användare i Google Cloud Directory med Nimblr-tjänsten, vilket ger ett helt automatiserat Security Awareness Program. Nya Google Directory -användare aktiveras automatiskt och introduceras till utbildningsprogrammet, medan inaktiverade användare tas bort automatiskt.

Förra kvartalet rapporterade Google Cloud en ökning med 46% jämfört med föregående år för dess molntjänster inklusive Google Workspace. Organisationer som använder Google för användarhantering och molnbaserade katalogtjänster och som letar efter ett helautomatiserat Security Awareness Program bör definitivt överväga Nimblr.

Kategorier
Security awareness

Ny phishingkampanj riktad mot domäninnehavare

Just nu pågår en ny phishingkampanj som riktas mot domäninnehavare och kunder hos Sveriges största webbhotell Loopia. Genom att hämta information från publika DNS-servrar kan angriparna identifiera e-postadresser som är kopplade till utvalda webbhotell och domännamnregistratorer.

Angriparna påstår att en session mot Loopias kundportal inte avslutats korrekt och mottagaren ombeds logga in och avsluta sessionen korrekt. Syftet är att komma över inloggningsuppgifter till Loopias kundportal och därigenom få möjlighet att t.ex. styra om e-posttrafiken så att den enkelt kan avlyssnas, sprida skadlig eller att omdirigera webbtrafik till någon annan sida.

Det falska e-postmeddelandet skickas till e-postadresser angivna som kontakter i DNS-servrarna.

Om man följer länken i e-postmeddelandet hamnar man på en webbsida snarlik Loopias egna. Anslutningen sker över https med giltigt certifikat. Men var uppmärksam på URL:en – den stämmer inte alls överens med Loopias webbadress.

Den falska Loopia-sidan är nästan identisik med den riktiga sidan.

Den falska webbsidan ligger på en amerikansk server och gömmer sig i en underkatalog hos en online shop. Nimblr har meddelat innehavaren av webbplatsen om problemet.

Det är inte första gången som angripare ger sig på Loopias kunder, liknande tillvägagångssätt har förekommit under en längre tid i olika former. Nimblr har tidigare registrerat phishing-meddelanden som påstår att e-postadresser behöver verifieras eller att avgiften för ett domännamn inte betalats.

Kategorier
Malware Security awareness

Falska mejl från Telia lockar med iPhone

Under tisdagen fick många svenskar ett falskt erbjudande från någon som utgav sig för att vara Telia. Meddelandet utlovade en gratis iPhone som tack för att man varit en lojal kund och att genom att klicka på en länk ska man kunna ange vart man vill ha sin gåva levererad. I själva verket gömmer sig skadlig kod bakom länken.

Telia Phishing Email

Det falska meddelandet är slarvigt ihopsatt och skrivet på relativt dålig svenska. Däremot har man ansträngt sig för att penetrera spamfilter och andra säkerhetsfunktioner, bland annat genom att gömma en stor mängd text som handlar om GDPR och cookie-hantering inne i meddelandet, troligtvis i syfte att förvirra spamfilrens granskning av innehållet.

Texten och länken till den skadlig sidan är också kodad för att undgå att upptäckas. De meddelanden som Nimblr har analyserat är skickade från ett legitimt e-postkonto i Apples e-posttjänst iCloud som kan antagas vara hackat.

Länken skickar användaren vidare i flera hopp för slutligen att landa på en Malaysisk server som tidigare använts för att sprida skadlig kod. Den skadliga koden ser ut att analysera användarens system och angriper bara om den anser sig ha en chans att lyckas infektera enheten, medans användare som t.ex. klickar på länken från en iPhone skickas vidare till Google.

De som ligger bakom meddelandet ser ut att ha lyckats väl med att ta sig förbi spamfilter och säkerhetsskydd, så sent som kl. 13 på tisdagen kunde meddelandet fortfarande passera Googles spamfilter utan att varken stoppas eller märkas upp som ”osäkert”. Man använder sig också av en välbeprövad metod för att få tveksamma mottagare att klicka på på länken – nämligen att varna för att erbjudandet är tidsbegränsat.

Alla delar i ett e-postmeddelande kan enkelt förfalskas. Den här gången används ”bara” ett falskt avsändarnamn så bluffen kan relativt enkelt genomskådas genom att granska avsändarens adress som inte alls är Telia.

Kategorier
Security awareness

Utbilda mina användare hur då?

Med en strid ström av varningar om nya cyberhot, phishing-attacker och bedrägerier i tidningar och säkerhetsbloggar så följer också vanligtvis något klokt expertutlåtande. Ett antal råd till företag och organisationer om hur de ska skydda sig. 

I nio av tio fall trycker man extra hårt på vikten av att utbilda sina användare om IT-säkerhet, men sällan presenteras något konkret förslag om hur det kan göras. Vi på Nimblr har länge funderat över frågan om hur man lyfter säkerhetsmedvetenheten hos vanliga datoranvändare. 

Både dagspress och branschtidningar varnar oss ständigt för nya attacker, falsk e-post och andra e-bedrägerier. Få kollegor i IT-branschen blir särskilt förvånade över att höra hur företag drabbats av kostsamma IT-bedrägerier eller tidskrävande virus. Många av oss skulle kunna återge experternas råd och förslag i sömnen; uppdaterad mjukvara, fungerande antivirus och så viktigast av allt, att utbilda sina användare. 

Redan för fem år sedan började jag och mina kollegor fundera över experternas ständiga förmaningar om vikten av att utbilda sina användare. Företaget som jag då arbetade för utvecklade och levererade tekniska säkerhetslösningar såsom antivirus, spam- och web-filter och vi kunde erbjuda våra kunder lösningar som hjälpte dem med mjukvaruuppdateringar och antivirus. Men det viktigaste rådet, det om att utbilda sina användare, hade vi inga lösningar för.

Att utbilda sina användare om IT-säkerhet kan låta som ”mission impossible”. Hur ska vanliga datoranvändare hitta tid och motivation att sätta sig in i ett, för gemene man, så ointressant ämne som IT-säkerhet? Även om vi, mot förmodan, lyckas samla alla våra användare för en dags utbildning är risken stor att kunskaperna snabbt blir inaktuella eller glöms bort. Dessutom hade det blivit mycket kostsamt att avsätta en heldag för samtliga anställda.

På Nimblr började vår idé om att utbilda användare att växa. Tillsammans med beteendevetare, e-learningexperter och psykolog utformade vi ett online-baserat koncept med fokus på att förändra användarens beteende och stärka säkerhetsmedvetandet. 

Genom korta interaktiva mikroutbildningar, övningar och simuleringar kunde vi nå samtliga användare. Vi lånade hackarnas egna modell, som de använder för att motivera användare att klicka på skadliga länkar, och skapade ofarliga simuleringar som leder användarna till mikro-utbildningar i just det ögonblicket de gjort ett potentiellt skadligt val.

Resultatet talade för sig själv. Hos våra tidiga test-kunder kunde vi, efter bara några månader med Nimblr Security Awareness, notera en signifikant minskning av antalet klick på våra simulerade attacker. Genom att automatiskt använda information som våra kunder registrerat hos oss gör vi med tiden simuleringarna mer avancerade och svårare att genomskåda – precis som hackare gör i verkliga attacker. Användarna bygger successivt upp en medvetenhet och försiktighet och motiveras av sina egna misstag. Vi hade äntligen ett svar på frågan; hur utbildar man sina användare? Det gör man inte – användarna utbildar sig själva!

www.nimblr.se

Nimblr Security Awareness är en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Utbildningsprogrammet bygger på en holistisk inlärningsmodell och uppdateras löpande med intelligent teknologi, smarta illustrationer, expertkompetens om IT-säkerhet och modern pedagogik.