Artikler / Security & identity

Office 365 Sikkerhed – E-mail

Når man arbejder med IT, er en af de vigtigste opgaver, hvordan vi beskytter vores virksomhed mod forskellige typer cyber–angreb.

Når vi taler om at forhindre angreb mod vores organisation, er vi nødt til at starte fra det mest anvendte angreb, som også fra angriberens synspunkt, er det mest succesrige – E-mail.

E-mail er den primære angrebsvektor til hacking og bedrageri, og udviklingen bliver kun værre. Fra 2017 til 2018 steg e-mail-baserede angreb på virksomheder med 476% ifølge den seneste trusselsundersøgelse fra cyber–sikkerhedsfirmaet Proofpoint. Hvis vi kigger på statistikken, kan vi se, at der er ca. 14’000 succesrige svindel med e-mail over hele verden, der koster virksomheder omkring 10 milliarder euro. Er det er kun tallene der er blevet offentligt gjort.

Office 365 Sikkerhed – Hvorfor er E-mail angreb så populære?

E-mail er en nem måde at få hurtig information om det firma, de angriber. Hvis vi tænker på vores egen mailboks, har de fleste mennesker visse oplysninger i vores mailboks, som ikke burde være der. Dette kan være plantegninger, kreditkortoplysninger, organisationsdiagrammer eller andre følsomme oplysninger, der er sårbare for din organisation.

Et andet punkt er, at afhængig af ens rolle i virksomheden, modtager vi en masse E-mails hver dag. Og afhængigt af virksomhedens størrelse, kender vi ikke altid alle ansatte.

Næste punkt er, din E-mail-konto bruges til at bekræfte din identitet, E-mailadresser er ofte brugernavne, og en vellykket overtagelse af kontoen er et indgangspunkt for yderligere angreb.

Alle disse og andre punkter gør e-mail-angreb så attraktive, og det er derfor, sikker E-mail-praksis skal være en prioritet for din virksomhed.

Office 365 Sikkerhed – Mest almindelige angreb

I denne sektion vil vi se på de mest almindelige angreb der bruges. Bemærk, at disse eksempler ikke er den eneste metoder der benyttes.

Svindel (Scamming)

Der er forskellige typer scam mails. I denne artikel vil jeg opdele dem i tre typer:

Almindelig“-scam: Dette er e-mails, som alle helt sikkert har modtaget. Dette er e-mails fra fremmede, der håber at sende dig millioner af euro, guld osv., Forudsat at du dækker deres overførelsesgebyr på forhånd. Virksomheder er ofte målet for mere sofistikerede svindel, der bruger social engineering.

Blackmail-e-mails“: Denne type meddelelser er allerede lidt mere sofistikerede. Angriberen bruger normalt din egen e-mail-adresse som ”bevis” på, at personen har fået adgang til din computer og følsomme filer. Nu prøver de at afpresse dig og få dig til at overføre en sum af bitcoins til en konto. Hvis du ikke gør dette, offentliggør de dine personlige filer, ofte billeder eller videoer.

Nogle gange lægger disse svindler mere pres på deres offer ved at hævde, når du har klikket på deres mail, er der udløst en nedtælling, og du har kun 5 dage til at gennemføre transaktionen.

Tricket med den falske e-mail-adresse og det faktum, at brugerne er usikre om svindleren taler sandt og frygten for offentliggørelsen af personfølsomt indhold, har sådanne angreb desværre alt for ofte succes. Eksakte tal kendes ikke, men da skammen hos ofret spiller en vigtig i angrebet, er det ukendte antal meget højt.

Forretningsscam“: Denne variant er meget almindelig mod virksomheder. Ofte forfalsker svindleren afsender e-mailadressen som i “Blackmail-e-mails“. Angriberen sender normalt beskeder som en leder fra dit eget firma med instruktion om at gøre noget.

I de fleste tilfælde skal du starte en betaling eller nulstille din leders adgangskode.

Disse angreb kan være tilfældige og være lette at opdage. Hvis du arbejder for et dansk firma, men chefens flaske mail er på engelsk. Eller angriberen har forsøgt at oversætte mailen til dansk, men hvis du læser mailen ordentlig igennem, vil du opdage simple dramatiskfejl. Til sidst, bør din virksomhed have procedure for password-reset og betalingsmetoder.

Men vær altid varsom. Disse angreb kan også være meget specifikke for din virksomhed. Et eksempel fra et par år siden i Italien. I processen blev en medarbejder i en italiensk fodboldklub fra Serie-A, der arbejdede i finans, bedt om at udløse en betaling, der havde at gøre med en reel overførsel. Angriberen har skrevet i denne mail, at der stadig er et gebyr for denne overførsel, og at dette skal overføres til en passende konto.

Phishing

Phishing-angreb forsøger at narre ofrene til at klikke på links eller downloade vedhæftede filer i e-mails, der ser ud til at være legitime. Mange phishing-e-mails er åbenlyst falske. Men de mere avanceret kan forfalske “fra” -adressen for at ligne en officiel afsender og designe e-mailen på en overbevisende måde.

Hvad skal du være opmærksomme for at identificere, en modtaget e-mail der er en phishing-e-mail? Der er fem hovedpunkter, som du vende der til at lægge mærke til når du modtager en mail:

Upersonlig hilsen: Starter e-mailen med “Hej”, “rbm” (den forreste del af min e-mail-adresse), “Hr. / Fru. (Mr. / Mrs.)” kan angive en phishing-e-mail. Angriberen kender ikke dit rigtige navn. Dette gælder ikke for målrettede angreb og der er en masse spam e-mail, der er også kan være upersonlig. Men når en modtaget e-mail starter med en upersonlig hilsen, bør du være ekstra opmærksom.

Du er ikke engang en kunde: Hvis du modtager e-mail med en opfordring til handling fra en finansiel institution, som du ikke er kunde til, er det en phishing-e-mail.

Mistænkelige vedhæftede filer: Faktura eller ordrebekræftelse som et Word-dokument eller en vedhæftet uopfordret applikation som PDF: Vær forsigtig med at trykke på filen i sådanne tilfælde. Især hvis filnavnet er meget generisk (“faktura.docx”). Ifølge Verizonlanden er to tredjedele af malware inficering via vedhæftede filer på en computer. Hvis du er i tvivl, skal du spørge den (påståede) afsender. Men ikke ved at besvare mailen. Men ved at besøge virksomhedens websted og kigge efter kontaktoplysninger.

Stavefejl og simpelt sprog: Dårligt dansk eller engelsk og et meget simpelt sprog bliver ofte brugt i phishing-mail. Dog skal du stadig være opmærksom på de andre punkter, selvom en e-mail er velformuleret.

Specifikation af personlige data: ønsker afsenderen, at du skal svare på mailen med personlige oplysninger? Det er næsten en garanti for en phishing e-mail, f.eks. I tilfælde af fiktive vinder i lotteriet, din bank, Skat eller enhver anden onlineudbyder vil aldrig bede om din adgangskode. Sådanne anmodninger er en anden indikation. Denne form for phishing er blevet bedre, da de ofte indeholder et link til et website der er en kopi af det originale website. Hvis du er i tvivl, skal du ikke klikke på linket i e-mailen, men åbne browseren og indtaste adressen på den (påståede) afsender der.

Lad os se på nogle phishing-eksempler

I det første eksempel ser det ud til, at vi har modtaget en e-mail fra Nets, og at der er et problem med vores konto. Vores konto er suspenderet, og vi er nødt til at følge linket for at opdatere vores personlige oplysninger og legitimationsoplysninger for at låse kontoen op igen.

I det andet eksempel har vi klikket på en e-mail med et link, ligesom den fra det første eksempel med PayPal. I dette eksempel ser det ud til, at vi er nødt til at logge ind på vores Facebook-konto, og webstedet ligner det rigtige Facebook-websted. Hvis vi imidlertid ser nærmere på web-adressen, ser vi, at dette ikke er den rigtige Facebook-side. Vi ser, at der er et andet domæne og intet SSL-certifikat, der beviser, at vi er på Facebook.

I dette eksempel har vi en (phishing) e-mail med oplysningerne, at vi har afsluttet vores Netflix-medlemskab. Meddelelsen ser rigtig ud, og den viser endda et supporttelefonnummer i bunden. Hvis du har Netflix, men ikke afslutter, kan du blive forvirret. Så den første ting i dit sind kan være, at du ønsker at “genstarte medlemskabet”, og du trykker på knappen for at indtaste dine legitimationsoplysninger.

Dette eksempel er desværre også meget almindeligt. Du får en besked fra Postnord (eller ethvert andet pakketransport firma) med den besked, at du ikke overholde leveringsbetingelserne og du risikere at miste pakken. Hvis du klikker på sporingsnummeret, bliver din enhed straks inficeret med malware.

Office 365 Sikkerhed – E-mail løsninger

Der er selvfølgelig tekniske hjælpemidler til at opfange ondsindet e-mails, før de leveres til brugernes mailboks. Hvis vi tager Exchange Online Protection (EOP) som et eksempel, er ca. 97% af ondsindet e-mails allerede filtreret ud. I EOP sendes e-mails igennem adskillige antivirus- og antimalware-systemer, før de ankommer til brugeren i mailboks. Du kan finde mere information om EOP her.

Med hvad kan man gøre ved de sidste 3-5%?

Det er vigtigt at skabe en kultur og bevidsthed for sikkerheds i din organisation, og e-mail-sikkerhed skal være øverst på listen.

Det er vigtigt at udføre træning indenfor e-mail sikkerhed regelmæssigt.

Træning skal ske kort efter, at en ny medarbejder starter og derefter opdateres med jævne mellemrum. Uddannelsen skal understrege de vigtigste aspekter af cyber-sikkerhedspolitikken og samtidig give medarbejderne en forståelse af de specifikke trusler, som dit ledelsesteam har identificeret. Truslerne skal være specifikke for din organisation og din branche. For eksempel, hvis der er kendte trusler, der er målrettet mod virksomheder der ligner din, er disse træningssessioner en glimrende mulighed for at uddanne dit personale til at forhindre sådanne angreb.

Der er også tredjeparts IT-firmaer, der kan hjælpe dig. Både med træning af dine medarbejder, test af din IT-sikkerhed, samt analyse af trusselbilledet.

Nogle afdelinger eller enkeltpersoner kan være mere sårbare over for angreb end andre baseret på deres specialitet, arbejdsopgaver eller adgangsniveau. Netværksadministratorer, ledere og enhver, der håndterer lønningsliste eller kundedata, kan have behov for yderligere træning og opmærksomhed.

Foretag løbende phishing-test og se hvordan dine medarbejder reagere. Dine medarbejders opførsel når de modtager en suspekt e-mail, er et, hvis ikke det bedste forsvar mod phishing.

Office 365 Sikkerhed – Gør MFA (Mulit-factor-authentication) til et krav

Alle medarbejdere i din organisation, der bruger en firmakonto i skyen eller har adgang til den ved hjælp af virksomhedens legitimationsoplysninger, skal være aktiveret med MFA. I Office 365, giver Microsoft os muligheden for at aktivere denne funktion for alle eller for en bestemt gruppe af brugere. Vi kan vælge mellem MFA ved hjælp af SMS eller en godkendelsesapp. For mere information om, hvordan du aktiverer MFA i Office 365, klik her.

Office 365 Sikkerhed – Krypterede (og underskrevne) e-mails

Hvis du bruger en e-mail-tjeneste, der ikke bruger slutbruger-til-slutbruger-kryptering, er der en mulighed for, at opsnappe data i dine e-mails. For visse organisationer kan dette også øge deres risiko for sanktioner i henhold til GDPR.

Hvis vi bruger Exchange online i vores Office 365 Tenant, kan vi også bruge Office 365 Message Encryption (OME).

Office 365 Message Encryption tilbydes som en del af Office 365 Enterprise E3 og E5, Microsoft Enterprise E3 og E5, Microsoft 365 Business, Office 365 A1, A3 og A5, og Office 365 Government G3 og G5. Kunder har ikke brug for yderligere licenser for at modtage de nye beskyttelsesfunktioner, der er drevet af Azure Information Protection.

Med Office 365 Message Encryption kan din organisation sende og modtage krypterede e-mail-meddelelser mellem mennesker i og uden for din organisation. Office 365 Message Encryption fungerer med Outlook.com, Yahoo, Gmail og andre e-mail-tjenester. Kryptering af e-mail-meddelelser hjælper dig med at sikre, at kun de tilsigtede modtagere kan se e-mailens indhold.

Hvis du ikke ønsker eller ikke kan kryptere beskeder, kan du stadig “underskrive” dem. Meddelelsessignering kan udføres ved hjælp af S / MIME-certifikater eller PGP. Dette er et bevis på, at afsenderen virkelig er afsenderen, og e-mailen ikke blev afbrudt af et angreb. Slutbrugeren kan se et lille rødt bånd ved den modtagne e-mail. Dette bånd kan ses i eksemplet:

Zwable kan hjælpe din organisation med at implementere OME, du kan kontakt os for at høre mere her.

E-mail-adressepolitikker

Hver en e-mailadresse er en mulighed for et angreb. Så hvis du reducerer antallet af ansatte med offentligt kendte e-mailadresser, kan du reducere dine potentielle angribers muligheder. Du skal kun angive vigtige medarbejdernavne og kontakter på din organisations websted. Du kan også overveje at bruge ikke-åbenlyse e-mailadresseformater, der er vanskelige at gætte. I stedet for desmond.miles@contoso.com kunne du f.eks. Bruge dm2381@contoso.com.

Hvis du udgiver ikke-personlige e-mailadresser som info@contoso.com eller support@contoso.com, skal du sørge for, at KUN veltrænet medarbejdere har adgang til disse delte mailbokse. Ansatte med adgang, skal have en fornemmelse af de e-mailtrusler, de udsættes for.

Office 365 Sikkerhed – Konklusion

E-mail er en af de mest brugte it-services til at sprede malware og svindel på nettet. De fleste e-mail trusler kan vi opfange ved hjælp af tekniske løsninger. For dem der kommer igennem til vores slutbrugere, er det vigtigt, at vores medarbejdere er trænet. Dette hjælper både virksomheden og den enkelte medarbejder.

Hos Zwable tilbyder vi opsætnings- og implementeringstjenester Office 365, Security & compliance, MFA og Office 365 Message Encryption –Vi kan hjælpe med sårbarhedsanalyse og træning af dine medarbejdere mod sikkerhedstrusler – Kontakt os, hvis du har brug for hjælp til dette.