Guide: Hvordan kan man se, om en mail er sikker?

Som medarbejder i en dansk virksomhed er din indbakke formentlig en af dine vigtigste arbejdsredskaber. Men den er også en af de primære adgangsveje for cyberkriminelle. De fleste bruger e-mail på daglig basis, hvilket giver de cyberkriminelle et kæmpe område at arbejde på.

Et stigende trusselsbillede for danske virksomheder

Trusselsbilledet er alvorligt:

• Der modtages dagligt omkring 6 milliarder spam-emails alene i Danmark
• SOCRadar har registreret 593 phishing-angreb rettet mod danske virksomheder over de seneste seks år med banker og finansielle virksomheder, transport- og energisektoren som de mest ramte
• I 2023 blev der anmeldt 254 tilfælde af it-relateret økonomisk kriminalitet i Danmark – en stigning på 30% fra året før

Center for Cybersikkerhed vurderer, at de fleste cyberangreb starter med en phishing-mail, og at trusselsniveauet er “meget højt”. Derfor er det afgørende at kunne vurdere, om en mail både er teknisk sikker og legitim.

Hvad er phishing?

Phishing er en form for cyberangreb, hvor kriminelle forsøger at narre dig til at udlevere følsomme oplysninger som adgangskoder, kreditkortoplysninger eller personlige data. Dette sker typisk via falske e-mails, der udgiver sig for at være fra troværdige virksomheder eller myndigheder.

Phishing udnytter først og fremmest menneskelig tillid, hvor angriberen udgiver sig for at være en kollega, chef eller kendt virksomhed. Angrebene kan se meget troværdige ud, da de ofte efterligner logoer, sprogbrug og afsenderadresser fra rigtige organisationer.

Selv om vi ofte griner af mails fra den ‘rige onkel’ i Nigeria eller at Skat vil overføre X-antal kroner til dig, så kan det dog have alvorlige konsekvenser, hvis man som virksomhed rammes af et phishing angreb:

• Danish Agro blev i 2020 ramt af et ransomware-angreb, der startede med en phishing-mail fra en kompromitteret underleverandør, hvilket førte til alvorlige driftsforstyrrelser
• FACC, en østrigsk flyproducent, mistede omkring 42 millioner euro, da en medarbejder blev narret af en falsk e-mail der udgav sig for at være fra den administrerende direktør
• Selv tech-giganter som Google og Facebook blev mellem 2013 og 2015 snydt for tilsammen 100 millioner dollars gennem phishing-kampagner med falske fakturaer

I en travl hverdag hvor der lander mange mails i din indbakke, er det derfor afgørende at kunne skelne mellem legitime og skadelige mails.

To aspekter af mailsikkerhed

Når vi taler om, hvorvidt en mail er “sikker”, er der faktisk to forskellige aspekter:

1. Teknisk sikkerhed: Er mailen krypteret og beskyttet mod aflytning?
2. Legitimitet: Er afsenderen virkelig den, de udgiver sig for at være, eller er det et phishing-forsøg?

Lad os se på, hvordan du kan vurdere begge dele.

Sådan identificerer du en teknisk sikker mail

En teknisk sikker mail er krypteret, hvilket beskytter indholdet mod uautoriseret adgang under transporten.

Her er, hvad du skal kigge efter:

• Krypteringsmarkører: Ord som “Sikker”, “Krypteret” eller “Beskyttet” i emnelinjen eller i selve mailen.
• Digitale signaturer: En digital signatur bekræfter afsenderens identitet og at indholdet ikke er blevet ændret undervejs. Indikeres typisk med et lakseglsikon eller med vedlagt signaturbevis/afsenderinformation.
• Sikker protokol: For webmail, tjek at forbindelsen bruger “https://” og viser et hængelåsikon i browserens adresselinje.

Se i øvrigt vores guide til sikker mail og krypteret kommunikation her.

Autentificeringsmekanismer

Mange sikre mailløsninger, herunder Bluewhale, anvender metoder til at sikre, at kun den rette modtager kan læse indholdet:

• Sikre portaler med to-faktor autentificering
  Mailen indeholder et link til en sikker portal, hvor du kan læse indholdet. Ved login bliver du bedt om at bekræfte din identitet med en SMS-kode, MitID eller lignende.
• MitID Erhverv-certifikater
  Mange danske virksomheder bruger MitID Erhverv-certifikater til sikker mail, især i kommunikation med offentlige myndigheder. Hvis du har en sikker mailløsning, vil denne automatisk sørge for at dekryptere mailens indhold.

Sådan gennemskuer du phishing-forsøg

Mest almindelige typer af phishing-mails

Det er vigtigt at kende de hyppigste former for phishing, så du kan være ekstra opmærksom:

• Klassisk e-mail-phishing: Den almindeligste type, hvor afsenderen udgiver sig for at være en kendt virksomhed eller myndighed
• Falske fakturaer: Svindlere sender mails, der ligner regninger fra leverandører, ofte med pres for hurtig betaling
• Falske beskeder fra fragtfirmaer: Falske beskeder om pakkelevering, hvor du opfordres til at betale gebyrer eller oplyse personlige data
• Spear phishing: Målrettede angreb mod specifikke personer, hvor angriberen bruger personlige oplysninger for at virke troværdig
• Whaling: Målrettet mod ledere eller nøglepersoner (“store fisk”) i organisationer, ofte meget sofistikeret
• HR- eller kontoopdateringer: Mails, der beder dig opdatere loginoplysninger eller adgangskode under dække af sikkerhedsopdateringer

Sådan identificerer du mistænkelige mails

Her er de tydeligste tegn på phishing:

1. Kontrollér afsenderadressen grundigt

• Tjek den fulde e-mailadresse: Klik på afsenderens navn for at se den komplette e-mailadresse. Kontrollér domænet (delen efter @) omhyggeligt.
• Vær opmærksom på små afvigelser: Cyberkriminelle bruger ofte domæner, der ligner legitime, men med små ændringer som ekstra bogstaver eller bindestreger (f.eks. “virksomhed-dk.com” i stedet for “virksomhed.dk”).
• Se efter uoverensstemmelser: Hvis emnelinjen eller signaturen indikerer én afsender, men e-mailadressen afslører en anden, er det et klart advarselstegn.

2. Vurder indholdet i mailen kritisk

• Uventet kommunikation: Hvis du modtager en mail, som du ikke forventer, bør du være ekstra på vagt.
• Sproget og tonen: Store virksomheder og myndigheder sender sjældent mails med stavefejl, grammatiske fejl eller dårlige oversættelser. Vær også opmærksom på unaturligt formelt eller kunstigt sprog.
• Handling her og nu: Hvis mailen bruger udtryk som “Handel nu”, “Vi lukker din konto”, “Øjeblikkelig bekræftelse krævet” eller indeholder trusler om konsekvenser bør du være på vagt, da det er typiske phishing-taktikker.
• Generiske hilsner: Hvis mailen ikke nævner dit navn, men bruger standard hilsner som “Kære kunde”, bør du være ekstra opmærksom.

3. Vær skeptisk over for anmodninger om følsomme oplysninger

Legitime virksomheder beder normalt ikke om følsomme oplysninger via e-mail:

• Loginoplysninger: Din IT-afdeling eller andre afdelinger vil aldrig bede om dit password via e-mail.
• Økonomiske oplysninger: Vær yderst påpasselig med anmodninger om bankoplysninger, kreditkortdata eller ændringer i betalingsinformation.
• Personlige data: Anmodninger om CPR-numre eller andre personfølsomme oplysninger bør altid verificeres gennem andre kanaler.
• Uventede gevinster eller betalinger: Får du besked om, at du har vundet noget, eller at der er problemer med din konto, uden at du har forventet det, bør du være ekstra skeptisk.

4. Undersøg links og vedhæftninger omhyggeligt

• Klik aldrig på links, før du har undersøgt dem: Hold musen over linket (uden at klikke) for at se den faktiske URL i bunden af din browser. Tjek om den fører til det forventede domæne.
• Vær opmærksom på forkortet URLs: Links som bit.ly eller tinyurl kan skjule den faktiske destination. Vær ekstra påpasselig med disse.
• Vurder vedhæftninger kritisk: Åben ikke vedhæftede filer, især hvis de har filendelser som .exe, .bat, .vbs, .js eller .zip. Disse kan nemlig indeholde malware.

Hvis du modtager en mistænkelig mail

Hvis du modtager, hvad du mistænker for at være en phishing-mail, bør du:

1. Undlad at klikke på links eller åbne vedhæftninger
2. Rapportér mailen til din IT-afdeling eller sikkerhedsansvarlige
3. Advér kolleger, hvis mailen ser ud til at være målrettet din organisation
4. Slet mailen fra din indbakke

Sådan understøtter Bluewhale sikker mailkommunikation

Bluewhale har siden 2007 specialiseret sig i sikker mailkommunikation for danske virksomheder. Løsningen sikrer, at jeres virksomhed kan kommunikere sikkert med kunder, leverandører og samarbejdspartnere:

• End-to-end kryptering: Alle mails sendt via Bluewhale er fuldt krypterede fra afsender til modtager.
• Brugervenlig integration: Løsningen integreres nemt med Outlook, så sikker mail bliver et naturligt valg i arbejdsdagen.
• Fleksibel autentificering: Modtagere kan valideres via SMS, MitID eller adgangskode, afhængigt af sikkerhedsniveauet.
• ISAE 3000: Bluewhale overholder de højeste sikkerhedsstandarder og er fuldt GDPR-compliant.

Best practices for mailsikkerhed

Her er konkrete anbefalinger, der kan styrke jeres sikkerhed:

1. Implementér sikker mail-løsning: Brug en dedikeret løsning som Bluewhale til at håndtere følsomme oplysninger og fortrolig kommunikation.
2. Etablér klare procedurer: Skab tydelige retningslinjer for, hvornår og hvordan medarbejdere skal bruge sikker mail, især ved håndtering af personfølsomme eller forretningsmæssigt fortrolige oplysninger.
3. Gennemfør regelmæssig awareness-træning: Sørg for, at alle medarbejdere er opdaterede om de seneste phishing-metoder og ved, hvordan de spotter mistænkelige mails.
4. Indfør verifikationsprocedurer: Etablér procedurer for at verificere anmodninger om økonomiske transaktioner eller følsomme oplysninger gennem sekundære kanaler.
5. Rapportér mistænkelige mails: Opret en enkel proces, hvor medarbejdere kan rapportere mistænkelige mails til IT-afdelingen eller sikkerhedsansvarlige.
6. Hold systemer opdaterede: Sørg for, at alle mailklienter og sikkerhedssoftware er opdateret med de seneste patches.

Konklusion

I en tid, hvor cyberkriminalitet er i kraftig stigning i Danmark, er evnen til at identificere sikre og legitime mails afgørende for virksomheders sikkerhed.

Phishing er et af de mest udbredte og effektive indgangspunkter for cyberkriminelle, og selv store virksomheder som Google og Facebook har været ofre. Ved at forstå både de tekniske aspekter af mailsikkerhed og de psykologiske teknikker bag phishing, kan du effektivt beskytte både dig selv og din virksomhed.

Ved at implementere tekniske sikkerhedsløsninger som Sikker Mail fra Bluewhale og opbygge en stærk sikkerhedskultur blandt medarbejderne, kan din virksomhed markant reducere risikoen for at blive offer for phishing og andre mailbaserede angreb.

Husk, at sikkerhed er et fælles ansvar. Som medarbejder er du virksomhedens første forsvarslinje mod cybertrusler. Din evne til at identificere sikre mails og rapportere mistænkelig aktivitet er afgørende for at beskytte både dig selv og din virksomhed.